각종 서비스형 소프트웨어(SaaS)를 서비스하는 스타트업들이 선제적으로 최고정보보호책임자(CISO)를 선임하는 등 보안 체계를 강화하고 있다. 이들 기업은 법적으로는 법인 대표 외에 CISO를 따로 선임해 비용을 들일 필요가 없지만 서비스 안정성을 높이고 개인정보 관련 리스크에 대비하기 위해 관련 투자를 늘리는 추세다. 네이버와 같은 정보기술(IT) 대기업도 개인정보 유출로 인해 ‘라인 사태'를 겪는 등 개인정보 보호 중요성이 높아지고 있어 스타트업 업계의 선제적인 보안 체계 강화 흐름은 이어질 전망이다.
17일 스타트업 업계에 따르면 채용 관리 솔루션을 운영하는 두들린과 전자계약 서비스를 제공하는 모두싸인, 기업 주주 관리 솔루션 운영사 주주는 각각 CISO를 선임하고 보안 전담 팀을 꾸리는 등 개인정보 보호 체계를 강화하고 있다.
두들린은 채용 관리 솔루션 ‘그리팅’을 운영하는 기업으로 직원 규모가 30명에 불과했던 2022년 8월 정일권 CISO를 영입했다. 두들린이 제공하는 채용 솔루션은 기업별로 적게는 수백 명에서 많게는 수천 명에 달하는 각종 지원자의 개인정보를 안전하게 보관하는 것이 중요한데, 보안 이슈가 핵심 사업 모델과 맞닿아있다고 보고 관련 전문가를 선제적으로 영입한 것이다. 정보통신망법 등 현행법에 따르면 일 평균 이용자 수가 100만 명을 넘는 등 일정 조건을 갖추지 않는 소기업은 법인 대표 외에 CISO 등 정보보호 최고책임자를 두지 않아도 된다. 두들린 관계자는 “당시 CISO 영입은 법적 의무 사항은 아니었지만 사업 전개를 위해 반드시 필요했던 보안 안정성 확보를 위한 투자였다”고 전했다.
전자계약 솔루션 선두 기업 모두싸인 또한 김진범 CISO를 영입하고 전담 보안 팀을 꾸리는 등 개인정보 보호에 앞장서고 있다. 2015년 설립된 모두싸인은 계약서 작성·검토·보관·이행·관리를 모두 디지털 상에서 진행할 수 있게 돕는 전자계약 전문기업으로 각종 계약상 민감 정보를 취급하게 된다. 김 CISO 주도 하에 모두싸인은 모든 전자 계약서를 암호화한 뒤 아마존웹서비스(AWS) 데이터센터 여러 곳에 분산 저장하고 백업도 수시로 하는 방식으로 보안 관련 리스크 발생을 차단하고 있다. 모두싸인 관계자 역시 “CISO 선임이나 전담 팀 구성에 대한 법적 의무는 없었다”며 “관련 비용이 많이 발생하지만 사업 영위를 위한 투자 차원에서 바라보고 있다”고 말했다.
기업 주주 관리 솔루션 ‘코드박스’를 운영하는 기업 주주 또한 자체적으로 CISO를 두고 보안 전담 팀 ‘정보보호팀’을 구성하는 등 보안 강화에 나섰다. 코드박스는 주주명부 관리를 비롯해 비상장 주식 계약 등 기업 행정 업무를 일괄적으로 지원하는 서비스다. 역시 개인정보 보호가 중요하다보니 사업 고도화에 맞춰 보안 인증 ‘ISMS’ 인증 획득을 추진하는 등 정보 보호 강화에 나서고 있다. 두들린과 모두싸인의 경우 ISMS 인증을 비롯해 정보 보호 관련 국제 표준 인증인 ISO 27001(정보보호경영시스템) 등을 CISO 선임 이후 받았다.
이영준 모두싸인 대표는 “계약 사업 특성상 보안과 신뢰가 중요할 수밖에 없다”며 “개인정보 보호 관련 투자를 지속하고 사업 확장도 보안과 신뢰를 지키는 선에서 구상하고 있다”고 말했다.