brunch

매거진 The Startup

You can make anything
by writing

C.S.Lewis

by 다방 Jun 20. 2019

스타트업에서 정보보호의 중요성

스테이션3 다방의 ISMS 인증 획득 비하인드 스토리



정보보호의 중요성은 아무리 강조해도 지나치지 않는다. 하지만 업무 현장에서 간과하기 쉬운 게 바로 정보보호다. 흔히들 정보보호의 중요성을 이야기할 때 많이 빗대는 비유가 ‘제방에 난 구멍’이다. 


Photo by Lode Lagrainge on Unsplash


정보보호 수칙이 잘 지켜지고 있을 때는 마치 빈틈이 없는 제방 같아서 개인정보, 중요한 기술 등이 유출될 확률이 적다. 하지만 제방에 난 자그마한 구멍을 무시하면 결국 마을 전체가 물에 잠겨버리듯, 사내 정보보호도 이와 같다. 기술, 개인정보 유출 등으로 막대한 손해를 입는 회사들을 우리는 알고 있을 것이다.  



# 얼마 전 모 국회의원이 한 지자체의 보안문서를 민간에 유출한 사고가 있었다. 해당 국회의원은 자신의 보좌관이 해당 문서를 소지하는 과정에서 민간이 훔쳤다고 증언을 했다. 


# 보통 핵심 기술 등의 유출은 담당자가 퇴사하는 과정에서 빈번히 일어난다. 퇴사한 사람이 회사의 중요 문서, 기술 설계도 등을 경쟁사나 이직한 회사에 유출하는 것이다. 


회사에서 흔히 주고 받는 보안 문서도, 사실 문서작성자의 손을 떠나게 되면 허술하게 관리되는게 현실이다. 




스테이션3 다방의 정보보호 수칙


스테이션3 다방은 업무 문서 및 정보를 기업 자산이라 인식하고 사내 별도로 정보 보호를 전담하는 인력을 두는 한편, 정보보호 정책 및 지침을 제정해 전사적으로 공유하고 신규 입사자 및 기존 조직원들에게도 정기적으로  정보보호 교육을 실시하고 있다.  



▲스테이션3 정보보호 교육 사진


직원들이 입사하자마자 지켜야 하는 중요 보안 지침은 '빈손 출퇴근', '10분 법칙', '패스워드 락(Password Locking)'이다. 


다방 직원들은 출근은 빈손, 퇴근도 빈손으로 해야한다. 외부에서 반입, 외부로 유출되는 종이 문서 및 파일을 최소화하기 위해서다. 외부에서 가져온 USB 나 외장하드를 사용할 때는 반드시 정보보호 담당자에게 사전 승인부터 받아야 한다. 퇴근할 때 책상 위에 외장하드, USB, 중요 문서 등은 모두 말끔히 치우고 퇴근해야 한다. 


10분 이상 자리를 비울 시에는 PC에 자동으로 화면보호기가 실행된다. 


중요문서, 특히 개인정보가 담긴 파일을 송·수신 시에 비밀번호를 걸어 암호화해야 하는데 이를' 패스워드 락'이라 한다. 


▲스테이션3 다방 전사 화면보호기_한유순 대표 사진을 재치 있게 활용해 보안에 대한 경각심을 주고 있다.



사내 메신저 역시 비인가 메신저 소프트웨어를 차단하고, 업무 전용 메신저를 사용하고 있다. 

정보보호파트에서는 각 PC에 전사 보안 프로그램을 설치해 실시간으로 문서유출을 모니터링할 수 있는 시스템을 구축하고 있다. 


퇴근과 동시에 스테이션3 임직원은 ‘다방’서비스에 관리자로 접근할 수 없다. 스테이션3는 허용된 IP주소 말고 외부에서 ‘다방’서비스의 관리자로 접근을 못하도록 원천 차단하고 있다. 혹여 휴가나, 연차 중에  외부에서 서비스 관리자로 접근이 필요할 때는 정보보호 담당자에게 가상사설망(VPN)을 사전에 신청해야 한다. 




사내 정보보호 수칙에 대해 직원들의 의견은 어떨까? 


스테이션3 기업홍보팀 최광제 씨는 "입사 후 개인 외장하드에 저장돼 있는 문서를 사내 PC로 옮기려다 실패하면서 위와 같은 행위가 사내 보안정책에 위반된다는 사실을 알게 됐다. 이전 회사에서는 보안정책이 엄격하지 않아 적응하는데 조금 시간이 걸렸지만, 지금은 오히려 엄격한 업무 보안이 워라벨에 도움이 된 측면이 있다고 생각한다. 사내에서는 자유롭고 빠른 의사소통, 회사 밖에서는 철저한 업무 보안이 구분 돼 있어 업무 효율을 높이는 한편, 업무시간과 자유시간을 구분 지을 수 있어 만족한다”고 말했다. 



개발실 김은수 씨는 “외부에서 다방의 어드민 접근이 불가하게 막아놓은 것은 개발실에서 먼저 낸 의견이다. 사실 365일 24시간 운영되는 서비스이기 때문에 언제 어디서 문제가 생길지 모른다. 따라서 업무 효율성을 위해 어드민을 외부에서 접근 가능하도록 여는 것이 당연하게 느껴질 수도 있지만, 외부 IP 접근을 허용하다 보면 보안에 취약해 지는 게 사실이다. 다방 직원들은 업무의 효율성과 정보보호가 상충한다면 정보보호를 우선시 하도록 독려하고 있다”고 말했다. 



스테이션3 정보보호관리체계(ISMS) 인증 획득


지난 5월 스테이션3 다방은 국내 최고 수준의 종합 정보보호관리체계 인증제도인 ISMS 인증을 획득 했다. 서비스 내에서 고객 정보보호 시스템의 체계성과 신뢰성을 공식적으로 인증 받은 셈이다. 



▲ISMS인증 획득을 위해 애써준 스테이션3 다방 개발실, 정보보호파트


ISMS인증을 받기 위해서는 정보보호 관리 과정 분야 12개, 정보보호 대책 부문 92개, 총 104개 기준에 대한 적합성 평가를 모두 통과해야 한다. 심사 기준뿐만 아니라 심사 과정도 엄격해 인증을 획득하기가 쉽지는 않은데, 사내 정보보호 전담 인력을 두고 전사적으로 정보보호를 위해 노력한 결과 인증을 획득하게 됐다.  



Photo by Christin Hume on Unsplash


스테이션3 다방의 중요한 자산 및 기술 정보가 외부에 새 나가지 않도록

다방을 쓰는 소중한 고객들의 정보가 외부에 유출되지 않도록 

다방의 직원들은 오늘도 자기 책상, 노트북에서부터 정보보호 수칙을 지키기 위해 노력하고 있다.  


보다 많은 사람들이 다방을 더욱 안전하게 이용할 수 있는 그날까지...




브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari