ISMS 인증 스타트업 증가···개인정보 방어 총력전

[시사저널e=차여경 기자] 플랫폼 스타트업들이 정보 유출과 사용자 데이터 보안을 위한 방어전에 총력을 다하고 있다. 금융앱 뿐만 아니라 패션, 숙박, 여행 등 다양한 플랫폼 스타트업들이 한국인터넷진흥원(KISA) 정보보호 및 개인정보보호 관리체계(ISMS-P) 등 국내외 보안인증을 받는 추세다.

ISMS는 정보보호를 위한 관리체계가 기준에 적합하다는 인증이다. ISMS-P는 고객 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 국가공인 인증기준에 적합함을 증명하는 제도다. 인증을 받기 위해서는 기업이 정보보호 관리체계 80개 기준과 개인정보보호 관리체계 22개 기준에 대한 적합성 평가를 통과해야 한다.

27일 한국인터넷진흥원에 따르면 ISMS-P 발급 인증서 수는 342건이고, 이 중 유지되고 있는 인증서는 340건이다. 발급현황 기업을 살펴보면 서울특별시, 카카오, 롯데쇼핑 등 공공앱과 대기업 IT서비스들이 인증을 받았다. 스타트업들도 적지 않은 수가 인증을 받은 것으로 나타났다.

마이리얼트립과 지그재그는 각각 여행업계 최초, 패션 플랫폼 중 최초로 ISMS-P 인증을 받은 스타트업이다.

마이리얼트립은 지난 26일 여행업계 최초로 ISMS-P 인증을 획득했다. 항공이나 숙박, 티켓, 패스 등 여행관련 전반적인 서비스에서 고객 개인정보보호 체계를 인증받았다. 지그재그는 올해 6월 ISMS-P 인증을 받았다. 지그재그는 한국인터넷진흥원과 '신규 취약점 신고포상제'도 공동운영해 취약점을 사전에 찾아내며 보안 시스템을 강화하고 있다.

콘텐츠 플랫폼 중에서는 리디가 눈에 띈다. 리디는 지난 19일 ISMS 인증으로 리디북스, 라프텔 서비스의 보안 체계를 더욱 강화하게 됐다. 리디는 인프라 90% 이상이 아마존웹서비스(AWS) 클라우드 환경으로 구성돼 기존 인터넷센터(IDC) 환경과는 다른 클라우드 환경에서 보안 인증을 받았다고 강조했다.

앞서 금융핀테크앱 토스, 숙박여가플랫폼 야놀자, 모바일식권전문플랫폼 식권대장 등도 같은 산업에 있는 스타트업 중에서는 최초로 ISMS 또는 ISMS-P 정보보호체계를 획득했다. 야놀자는 자체 개발한 호텔 자동화 솔루션 ‘와이플럭스’로 글로벌 결제 데이터 보안 인증인 ‘PCI DSSv3.2.1’를 인증받기도 했다.

스타트업들이 개인정보 유출에 신경쓰는 이유는 시중 은행앱, IT플랫폼에서 개인정보가 유출되는 사례가 종종 일어났기 때문이다. 이에 스타트업들은 사용자 데이터를 많이 활용하는만큼, 보안에 대해 신경쓰기 시작했다. 업계 관계자들은 보안체계 인증을 통해 철저한 보안체계를 사용자에게 보여줌으로써 신뢰도를 올리기 위한 총력전을 펼치고 있다고 강조했다.

지그재그 관계자는 “ISMS-P 인증을 받으려면 100가지 이상 보안성 요구 기준을 통과해야 하는데, 이러한 요구 기준을 갖춘다는 것 자체가 철저한 보안 체계를 갖고 있다는 뜻”이라며 “회사는 인증 준비를 하며 보안 시스템을 강화할 수 있고 사용자는 자신의 개인정보가 유출될 걱정을 덜고 안심하고 서비스를 이용할 수 있다”고 설명했다.

정재훈 마이리얼트립 최고기술책임자(CTO)는 “여행업계 특성상 가이드, 현지여행사, 민박업체, 탑습 예약업체 등 이해관계자가 많아 개인정보 관리의 사각지대가 발생할 확률이 높다”며 “따라서 ISMS보다 요구하는 보안수준이 높고 까다롭지만 ISMS-P 인증을 취득했다.인증을 통해 여행객들이 안심하고 마이리얼트립 서비스를 지속적으로 이용할 것이라 기대 중”이라고 말했다.

정 CTO는 이어 “보안을 위해 보안 조직구성을 강화하거나 강력한 보안정책 설정, 취약점 점검, 보안 로그 분석 등 보안 분야 인재들을 채용하고 있다”며 “지속적인 모니터링과 임직원 보안 인식 변화를 위해 정보보호 및 개인정보보호 인식 개선 교육 등을 하고 있다”고 덧붙였다.

한편 스타트업들의 규모나 데이터 활용량이 늘어난 배경도 있다. ISMS 의무대상자는 연간 전체 매출 1500억원 이상, 정보통신 서비스 부문 전년도 매출액 100억원 이상, 3개월 간 일일 평균 이용자수 100만명 이상이다. 한 업계 관계자는 “ISMS는 정보통신 서비스 제공자를 대상으로 일정 기준에 충족하면 의무적으로 인증을 획득해야 한다”면서 “그만큼 대형 플랫폼 스타트업들이 늘어나 데이터를 보호하는 정보 보안의 중요성도 커진 것"이라고 분석했다.