스타트업이 보안 컴플라이언스를 지켜야 하는 이유

capybara·2023년 11월 21일
보안스타트업컴플라이언스
0
post-thumbnail

회사에서의 보안 컴플라이언스 준수는 이제 선택이 아닌 필수입니다.

국내의 대표적인 보안 컴플라이언스는 ISMS, ISMS-P가 있습니다. ISMS(-P)는 정보보호 및 개인정보보호 관리체계를 말하며, 회사에서 사용하는 정보들을 보호하기 위해 필요한 일정 기준을 충족하면 인증서를 회사에 제공합니다.
특히 ISMS의 경우에는 다음과 같이 의무적으로 인증을 받아야 하는 회사가 있습니다.

1. ISP
2. IDC
3. 연매출이 1500억원 이상인 상급종합병원 혹은 학교
4. 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
5. 전년도 직전 3개월 간 정보통신서비스 일일평균 이용자가 100만명 이상인 자

최근 개인정보 보호의 중요성이 증대됨에 따라 의무대상자 기준에 해당하지 않더라도, 자발적으로 신청하는 기업들도 늘어나고 있습니다.

인증을 취득하게 되면 회사 입장에서 얻는 이점은 아래와 같아요.🤩

  • 회사에 대한 고객의 신뢰도가 증가하여 서비스 사용자를 늘릴 수 있어요.
  • 정부와의 협업 시 가산점을 받을 수 있어서, B2G 등으로 비즈니스를 넓힐 수 있어요.
  • 개인정보를 다루고 있거나 정보 보호가 중요한 기업에서 인증을 취득하면 투자 및 자금 조달에 유리하게 작용될 수 있어요.
  • 인증 기준에 맞춰 조직 문화 및 개발 체계를 개선할 수 있어요.

스타트업에서는 당장 제품 개발이나 판매가 급하기 때문에, 보안에는 상대적으로 덜 신경쓰는 경향이 있어요. 하지만, 적어도 만들고 있는 제품에 대한 신뢰성을 확보하는 것이 중요하기에, 내가 만들고 있는 제품을 다른 사람들이 믿고 쓸 수 있을까? 고민해보는게 좋아요.🤔

스타트업을 운영하면서 보안 전문 인력을 별도로 고용하기는 어렵기 때문에, 어떤 것들을 준수해야 하는지 하나씩 고려하기가 쉽지는 않은 일입니다. 간단하게 스타트업에서 보안을 고려할 수 있는 여러 방법들을 소개해 드릴게요!🥸

1. 스타트업을 위한 정보보호 가이드라인 참고💡

KISA에서 배포한 정보보호 가이드라인은 창업 단계에 맞춰 어떤 것들을 고려해야 하는지 알려주고 있어요.

출처: KISA

해당 가이드라인을 참고하여, 예비 창업의 단계에서는 핵심 기술을 보호하고, 기본적인 사항들에 대해서 고려해볼 수 있을 것입니다.



2. 지역정보보호센터의 정보보호 컨설팅 및 SECaaS 서비스 지원 신청하기💡

사업 운영 단계에서는 고객이 확보되면서 고객의 개인정보나 접속 로그들이 많이 쌓이게 될 것입니다. 만약 이때 개인정보가 유출된다면, 매출 실현에서 가장 중요한 고객을 잃게될 수 있어요.

일정 규모 이상의 인프라를 보유한 중소기업을 대상으로 지역정보보호센터에서 정보보호 컨설팅을 50만원 가량의 저렴한 가격으로 받을 수 있어요. 컨설팅 뿐만 아니라 약 100만원 정도의 가격으로 국가와 제휴를 맺은 보안 솔루션을 사용할 수 있어요.

매년 6월 경 수요기업을 모집하고 있으니, 관심있으신 분들은 확인해보시면 좋을 것 같습니다.



3. ISMS(-P) 가이드라인 확인하기💡

안전한 개발 환경, 운영 환경을 위해서 어떤 것들을 해야하는지 ISMS 가이드라인을 보면서 알아볼 수도 있어요.

ISMS(-P)는 크게
1. 관리체계 수립 및 운영
2. 보호대책 요구사항
3. 개인정보 처리 단계별 요구사항
으로 나누어져 있어요.

1번에서는 주로 회사를 어떻게 운영해야 하는지에 대해 명시하고 있고,
2번에서는 주로 실질적으로 어떻게 회사 인프라나 제품을 구성해야 하는지 명시하고 있으며,
3번에서는 개인정보 처리와 관련한 요구사항을 명시하고 있어요.

가이드라인에는 각 조항마다 어떤 것들을 준수해야 하는지 자세히 설명하고 있으며, 해당 가이드라인을 충족하지 않는 예시들을 포함하고 있어서 우리 회사는 어떤 것들을 해야 하는 지 더 깊이있게 고민할 수 있어요.

가이드라인을 따라가며 회사의 내부 관리체계와 개발체계를 수정하다 보면, 보안 위협에 대응할 수 있는 힘을 기를 수 있고 이후 실제로 인증과정을 거칠때 보다 수월하게 인증이 가능할 것이라 생각합니다.🔮


보안 컴플라이언스 준수는 단순히 법적 의무를 넘어서 회사의 신뢰성과 지속 가능성을 구축하는 기초가 됩니다. ISMS와 ISMS-P와 같은 인증은 우리가 고객의 데이터를 얼마나 소중히 다루는지를 보여주는 중요한 지표입니다. 오늘 소개한 가이드라인은 보안 문제에 효과적으로 대처하고 성장하는 데 필수적인 첫걸음이 될 것입니다.


클라우드 인프라 보안 쉽게 하고 싶다면? 이닛클라우드

profile
capybara
이전 포스트

IaC를 써도 빠져나갈 수 없는 클라우드 보안위협

다음 포스트

Init Cloud의 혁신적인 IaC 교육 플랫폼, EDUIaC를 소개합니다!😊

0개의 댓글