IT 스타트업을 위한 ISMS-P 따라하기

ISMS-P 가 뭔가요?

ISMS와 ISMS-P

ISMS(Information Security Management System)와 ISMS-P(Information Security Management System for Privacy)는 정보 보안 관리 시스템과 관련된 두 가지 중요한 기준입니다. 또한, ISMS-P는 ISMS의 모든 요소를 포함하면서 개인정보 보호를 추가적으로 측정하는 인증입니다.

ISMS와 ISMS-P는 '정보보안관리체계-개인정보보호'는 정보보안과 개인정보보호를 체계적으로 관리할 수 있는 표준 프레임워크이며, 개발자 여러분이 창출하는 혁신적인 IT 기술과 서비스를 보호하기 위해 국제 표준과 법률을 바탕으로 한 고급 인증입니다.

ISMS-P는 보안 리스크를 식별하고, 이에 대응하는 효과적인 관리 전략을 수립하는 데 도움을 줍니다. 이는 개인정보의 취급, 저장, 전송 및 파기에 이르기까지 전 과정을 포괄합니다. 이를 통해 개발자들은 기술 개발에 집중하면서도, 보안과 개인정보보호에 관한 법적 요구사항을 충족하고, 고객의 신뢰를 확보할 수 있습니다.

ISMS-P 인증을 회사에 적용함으로써, 사업체의 보안 사고의 위험을 크게 줄일 수 있으며, 이는 장기적으로 비용 절감과 기업의 신뢰도 향상으로 이어집니다. 이런 점에서 ISMS-P는 단순한 규제 준수를 넘어서 비즈니스의 가치와 지속 가능성을 높이는 중요한 도구가 됩니다.

"Q. 당장 개발에 집중해야 해서 보안은 관심없어요!"

IT 스타트업에겐 꿈만 같은 ISMS-P 인증

실제 인증 절차

  많은 IT 스타트업들에게 ISMS-P 인증은 마치 높은 산을 오르는 것과 같습니다. 이 인증은 정보보안관리체계와 개인정보보호를 체계적으로 관리하고 증명하는 중요한 기준이지만, 인증 과정은 시간과 자본이 상당히 많이 소요되는 복잡한 과정입니다

  대부분의 스타트업은 개발과 시장 진출에 모든 역량을 집중하고 있어, 보안과 관련된 복잡한 인증 절차에 필요한 시간과 자금을 할당하기가 어렵습니다. 일반적으로 ISMS-P 인증을 취득을 준비하는 것에는 많은 기간이 소요되며, 이 과정에는 전문가의 상담, 보안 시스템의 개선, 지속적인 모니터링 및 평가 등이 포함됩니다. 여기에 드는 비용은 소규모 스타트업에게는 상당한 부담이 될 수 있습니다

  현재 시장에는 ISMS-P 인증을 겨냥한 보안 컨설팅 회사들이 이미 존재합니다. 그러나 대부분의 컨설팅업체는 자금적 여유가 있는 기업들이 기존의 사업을 안전하게 보안하는 것에 초점을 두고 있습니다.

  ISMS 인증 컨설팅은 약 2억정도 소모되며 설계와 구축시간을 포함하면 8개월 이상 예상됩니다. 자금적, 시간적 자원이 부족한 스타트업 기업체나 중소기업체에게는 꿈만 같은 외부 보안컨설팅입니다.
  이러한 컨설팅업체들은 애초에 스타트업과 중소 사업체를 염두하여 만든 프로그램이 아니기 때문에 소규모의 사업체에게 고급화된 보안 프로세스는 교육되지 않은 종업원들에게 업무 효율 저하를 야기할 수 있기 때문에 인증 요소들을 이해하고 자 사업에 스스로 적용시켜나가야 합니다.

  스타트업들이 보안에 충분한 주의를 기울이지 못하는 주된 원인은 자원의 부족과 전문 지식의 결여입니다. 사업주와 종업원들은 보안 적용 중요함을 대부분 알고는 있지만 실제 실행에는 어떻게 적용해야 하는지, 프로세스의 어느 부분에 보안이 들어가야 마땅한지 어떤 부분이 적법한지 등의 전문지식의 부족합니다.

 따라서, 이러한 스타트업들이 ISMS-P를 기반으로 천천히 최소한의 비용으로 정보보호를 시작하며 체계적인 보안 관리를 할 수 있도록 도와주는 가이드를 제공하려합니다.

"A. 스타트업 또한 피해갈 수 없는 보안위험"

응답자의 70%는 자사의 기업이 사이버 공격에 대비되어있다고 확신했으며, 44%는 바이러스, 백신 프로그램이 보호한다고 믿고 있다고 답했다.


문제는 기업 규모와 상관없이 사이버보안 대응 주문은 늘어나는데 이를 대처할 역량은 차이가 있다는 점이다.

  스타트업이라 할지라도, 보안 위협은 회피할 수 없는 현실입니다. 사이버 공격은 규모를 가리지 않고 발생하며, 오히려 공격자들은 공격 부담이 큰 대기업보다 소규모의 핵심 기업을 타겟으로 잡으며,
스타트업에게 기술유출이나 고객정보 유출은 그 영향이 더 치명적일 수 있습니다.

   보안 사고는 단순히 데이터 손실을 넘어서 회사의 명성과 고객 신뢰를 심각하게 해치며, 재정적 손실과 법적 책임을 초래하며, 법적 공방으로 넘어갈 시에 시간과 금전적 여유가 없는 스타트업 사업체는 순식간에 무너질 수 있습니다.
따라서, 보안은 개발과 더불어 사업체의 우선 순위가 되어야 합니다.

"A. 혹시 개인정보를 수집하고 계신가요? 개인정보 보호는 의무입니다!"

개인정보란?

---

개인정보를 통해 데이터를 수집하는 것은 사업체의 발전에 중요한 작업이지만, 이를 보호하는 것은 필수적인 책임으로 가져야합니다.

  고유식별번호인 주민등록번호를 시작으로 이름, 이메일, 주소, 전화번호, IP주소, GPS, 고객의 기호 정보, 성향, 신념, 사상, 신체정보, 신용정보 등 여러 정보들이 모여 한 사람을 특정할 수 있는 정보들을 모두 개인정보라 칭합니다.

사실 서비스를 개발하며 개인정보를 전혀 수집하지 않기란 쉽지 않은 일입니다.

고객 정보 식별을 위해 이메일을 고유 식별자로 저장하고 계셨나요?

디도스 공격 방어를 위해 IP를 수집하고 계셨나요?

지도 API 연동을 위해 사용자의 GPS를 수집하고 계셨나요?

이러한 정보들이 온라인 상에서 취급되거나, DataBase에 저장되는 순간 당신도 개인정보보호 대상자의 의무를 가져야합니다.

개인정보보호 실패 사례

---

해커의 SQL 인젝션 공격으로 이용자의개인정보(38,209명)가 유출되었는데, 해킹 공격을 당한 웹 사이트의 입력값 검증 등 보안 취약점에 대한 점검·조치 등 안전조치 의무를 제대로 지키지 않은사실을 확인하였다.


2019년 7월 한 경찰관이 국제운전면허증을 발급하러 경찰서를 찾은 여성의 개인정보를 알아내 사적으로 연락한 일이 드러나 논란
개인정보보호법은 정보주체인 국민의 개인정보를 더욱 엄격히 보호하기 위해 개인정보를 사적인 목적으로 이용하는 행위를 엄격히 금지하고, 위반할 경우 5년 이하의 징역 또는 5천만원 이하의 벌금에 해당하는 형사처벌을 하도록 했다.

  많은 국가에서 개인정보 보호에 관한 엄격한 법률과 규정이 시행되고 있습니다. 이러한 법적 요구사항을 준수하지 않을 경우, 사업체는 높은 벌금과 법적 제재에 직면할 수 있으며, 이는 스타트업의 재정적 안정성과 지속적인 성장에 부정적인 영향 미칩니다.
따라서, 개인정보 보호는 단순히 법적 요구사항을 넘어서 기업의 책임과 신뢰성을 나타내는 중요한 지표로 생각해야합니다.

  보안 사고는 예고 없이 발생하고, 그 결과는 막연했던 보안의식에 비례해 예상을 초월합니다.
  하지만 ISMS-P 토대로 정보보안과 개인정보보안을 이 사이트와 함께 스타트업인 지금 시작한다면, 스타트업은 이러한 사고에 대비할 뿐만 아니라, 사전에 위험을 관리하고, 잠재적 위험인 보안사고에 대한 대응 계획을 수립할 수 있습니다.
  이는 단기적인 비용과 노력을 요구할 수 있지만, 장기적으로는 사업체의 지속 가능한 성장과 성공을 위한 핵심적인 투자가 됩니다. 적절한 보안 조치와 관리는 장기적으로 사업체의 성장과 가능성을 보장하는 핵심 요소가 됩니다.

  우리는 스타트업들에게 ISMS-P 인증을 향한 길을 한 발짝씩 천천히 나아갈 수 있는 방법을 제시합니다. 스타트업이 현재의 자원과 상황에 맞추어 보안 관리 체계를 점진적으로 개선하고, 인증 준비 과정을 효율적으로 진행할 수 있도록 지원합니다. 이를 통해 스타트업들은 개발에 집중하면서도 보안의 중요성을 잊지 않고, 결국에는 ISMS-P 인증이라는 꿈을 현실로 만들어 갈 것입니다.

보다 라이트하고 , 비용 효율적인 보안 솔루션

우리의 비즈니스 성공은 단순히 혁신적인 제품과 서비스에만 달려있는 것이 아닙니다. 고객의 신뢰와 법적 준수를 위해 보안과 개인정보 보호는 필수적인 부분입니다. 지금 바로 여러분의 사업에서 정보보안과 개인정보 보호를 강화할 방법을 찾아보세요.