INSIDE NHN

검색

요즘 잘나가는 기업이라면 필수라는 이들 (feat.인증심사원)

NHN 피플 · 2021-09-13 11:28:08.92

-

▲ 이번 INSIDE NHN은 인증심사원 자격을 갖고 있는 최병호 수석, 김윤정 수석, 조성민 책임(왼쪽부터)를 만나 인증심사원의 A to Z를 알아보았다.

 

 

“인정? 어! 인정!”

 

인증심사원을 한마디로 요약하면 ‘공신력 있는 프로 인정러’입니다. 

“ㅇㅈ!”이라고 외칠 수 있는 자격이 주어진 전문가들이기 때문인데요.

 

모든 기업은 기업 가치를 증명하고자 합니다. 성장 가능성을 주주와 투자자, 고객에게 알려야 사랑받는 기업으로 오랜 기간 성장할 수 있기 때문인데요. 매출이나 이익과 같은 정확한 수치로 실적을 널리 알리기도 하고, 공식적인 인증이나 자격 취득으로 전문 분야를 인정받기도 합니다.

 

이 과정에서 “당신의 기업은 고객 개인정보 보호에 힘쓰고 있군요!”, “이 기업은 부패 방지 가이드가 확실하네요! 인증 부여! 땅땅땅!” 라고 공신력 있게 말해줄 프로 인정러가 필요하겠죠?

 

인증심사원은 이처럼 기업이 기업다울 수 있는 요소들을 심사하고, 소위 ‘잘 나가는 기업’임을 공식적으로 인정하는 역할을 수행합니다. 피심사기업(심사를 받는 기업)이 인증 획득을 위해 어떤 활동을 했는지 살피고 적합성을 판단해 심사기관과 함께 인증을 부여하는데요.

 

NHN 내에도 다양한 분야의 인증심사원이 존재한답니다. 오늘은 특별히 컴플라이언스와 부패 방지를 맡고 있는 김윤정 ISO 인증심사원, ISMS-P 인증을 담당하는 최병호, 조성민 인증심사원을 만나 ‘인증’의 중심에서 ‘ㅇㅈ’을 외치는 인증심사원의 모든 것을 샅샅이 파헤쳐 보았습니다.

 

 

Q. 만나서 반갑습니다! 맡고 계신 인증심사원 자격에 대해 소개 부탁드려요.

 

-

 

김윤정 : 안녕하세요. 감사팀 김윤정입니다. 저는 ISO37301과 ISO37001 인증심사원 자격을 취득했는데요. 해당 영역은 ISO(국제표준화기구)가 사회적 합의를 통해 컴플라이언스와 부패 방지에 대해 정한 국제 표준 인증을 말합니다. 기업을 비롯한 조직이 ISO 기준에 맞추어 컴플라이언스와 부패 방지에 대한 시스템의 수립, 개발, 실행, 평가, 유지 및 개선을 하고 있는지 평가하고 심사하는 역할을 맡고 있죠.

 

 

 

-

 

최병호 : 안녕하세요, 정보보호팀 최병호입니다. 저는 2012년에 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 인증심사원을 취득했고, 이번에 법개정으로 갱신 자격을 획득했습니다. 의무적으로 ISMS-P 인증을 받아야하는 대상기업 또는 ISMS-P 인증을 희망하는 기업을 대상으로 인증심사를 수행하고 있습니다.

 

 

-

 

조성민 : 안녕하세요. 보안정책팀 조성민입니다. 저는 2019년 ISMS-P 인증심사원 자격을 취득했는데요. 최병호 수석님과 같은 역할을 수행하고 있습니다. ISMS-P 인증은 현재 다양한 산업군의 약 750여개 기업이 매년 심사를 받고 있고 해마다 증가하는 추세입니다.

 

 

Q. 자격 요건과 선발되는 기준이 있나요?

 

김윤정 : 관련 업무 경력이 수년 이상 필요합니다. ISO가 인정하는 교육기관에서 일정 시간 이상 교육 수료한 뒤 최종 시험에 합격하면 심사원(보)가 주어집니다. 이후 심사를 여러 차례 참관하여 다른 심사원 및 인증기관에서 심사원 자격이 있다고 판단하면 (정)심사원이 됩니다.

 

조성민최병호 : ISMS-P 인증 심사원이 되기 위해서는 한국인터넷진흥원(KISA)이 주관하는 자격시험에 통과하여야 합니다. 시험은 매년 1회 실시됩니다. 개인정보보호 및 정보보호 두 분야에서 6년 이상의 경력을 보유해야 시험 응시 자격이 주어집니다

시험은 필기시험 결과의 상위 4~5%를 선발하여 별도 교육 및 실기 시험을 진행하고, 여기서 합격한 최종 응시자만 심사원 자격이 부여됩니다.

 

 

Q. 인증을 받는다는 것은 기업에 어떤 의미를 지니나요?

 

김윤정 : 기업이 ISO37301과 ISO37001 인증을 받았다는 것은 컴플라이언스와 부패 방지를 위한 노력을 국제 기준에 맞추어 이행하고 있으며, 인증된 시스템으로 예방 및 적발/개선이 가능함을 의미합니다. 인증 과정과 결과를 통해 내부적으로는 시스템을 갖춰 기업 경영에 도움이 되고, 외부적으로는 긍정적인 기업 평판을 갖출 수 있죠.

 

 

-

 NHN은 2013년 9월 기존의 ISMS(정보보호 관리체계)와 PIMS(개인정보보호 관리체계) 인증을 취득하여 매년 엄격한 사후심사를 통해 정보보호 및 개인정보보호 관리체계를 검증받았으며, 2019년 11월 통합된 ISMS-P 제도의 인증을 취득했다.

 

 

조성민 : ISMS-P 인증을 받는다는 것은 해당 기업이 개인정보보호 및 정보보호 관리체계를 체계적이고 종합적으로 구현하고 있음을 뜻합니다. 또한 침해사고와 개인정보 유출사고 발생시 신속한 대응 및 피해/손실을 최소화할 수 있는 기반을 갖추고 있다는 것을 공식적으로 인증 받는 것이기도 하죠. 따라서, 인증을 획득한 기업은 안전한 기업 이미지로 대외 신뢰도가 제고되고 이는 곧 사업 경쟁력으로 이어지는 의미가 있습니다.

 

 

Q. NHN 내 인증심사원이 많아질수록 어떤 기업 경쟁력을 갖추게 될까요?

 

-

 

김윤정 : ISO 인증 획득 전 글로벌 우수사례를 참고해 지정한 국제 표준을 지표 삼아 내부 시스템을 스스로 평가하고 개선할 수 있겠죠. 기업 내부에 가장 효과적이면서 효율적인 프로세스를 습득한 전문가가 있다면 기업이 따로 인증을 받지 않아도 관련 프로세스 수립 시 회사가 겪을 시행착오를 줄일 수 있습니다. 인증을 준비하는 과정에서도 외부 기관의 리소스를 들여 컨설팅을 받기 전 회사를 잘 아는 구성원이 인증을 평가하고 준비한다면 리소스를 줄이면서 더 좋은 결과를 낼 수 있겠죠.

 

사실 부패방지와 컴플라이언스 경영 시스템은 해외에 비해 국내 도입이 늦었습니다. 특히 컴플라이언스 인증인 ISO37301은 올해 4월에 새로 설립된 국제 표준이기에 국내에 인증 받은 기업도 10 여 곳 뿐이고 심사원의 수도 턱없이 부족한 실정입니다. NHN 소속의 인증심사원을 보유하고 있다는 것은 다른 회사보다 효율적이고 빠르게 ISO 표준을 적용할 수 있다는 이점이 있습니다.

 

 

Q. ISO 인증 획득은 ESG경영과도 큰 상관관계가 있다고 들었습니다. 

 

김윤정 : 네 맞습니다. 기업의 비재무적 요소인 환경(Environment) · 사회(Social) · 지배구조(Governance) 즉, 사회적 책임인 ESG 경영이 기업들의 매출과 투자에도 큰 영향을 끼치면서, 고객과 투자자, 기업들도 과거 재무제표 위주 경영에서 ESG 경영에 관심을 많이 가지게 되었습니다. 국제표준화기구인 ISO는 ESG 경영이 중요해짐에 따라 관련된 국제 표준의 필요성을 느껴 이에 발맞춰 2016년 ISO 37001에 이어 2021년 ISO 37301을 제정했습니다. 즉, ISO37301, 37001은 현시대 기업들의 존폐에 큰 영향을 미칠 수 있는 ESG 경영의 초석이자 기준이 될 수 있다고 생각합니다.

 

 

-

 

▲NHN은 2015년 정보보호 관리 체계 국제표준 'ISO27001' 인증을 획득했다.

 

 

Q. NHN 내 인증심사원이 많아질수록 어떤 경쟁력을 갖추게 될까요?

 

조성민 : ISMS-P 인증심사원을 보유한 기업은 인증기준에 대한 높은 이해도와 심사 경험을 활용해 자사 서비스가 인증기준에 적합한 개인정보보호 및 정보보호 관리체계를 갖추고 있는지, 보다 안전한 서비스 제공을 위한 방안은 무엇인지 자체적으로 검토 할 수 있는 역량을 내재화 할 수 있습니다. 인증 획득을 위한 시행착오도 줄여 나갈 수 있고요. 신규로 인증획득이 필요한 법인에 자문을 제공하여 원활한 인증 획득을 기대할 수도 있겠지요.

현재 공식적인 인증심사원의 수는 1,200여명으로 그 숫자가 많지 않기에 심사원을 보유하면 위와 같은 역할을 수행할 수 있는 전문인력 보유의 경쟁력이 있을 것으로 생각됩니다

 

최병호 : 보안이 철처하고 완벽하게 강화할수록 사용자 입장에선 많은 불편을 겪게 되고 업무효율도 떨어지게 됩니다. 보안을 강화하면서 업무의 편의성을 고려한 적절한 보안수준을 유지하는 것이 무엇보다 중요한데요, 인증심사원이 많다면 중간지점에서 보안업무를 더 효율적으로 처리할 수 있게 될 것입니다.

 

 

Q. 실제 심사를 진행할 일도 많아질 것 같은데요. 인증심사원으로서 활약할 앞으로의 포부를 말씀해주세요.

 

김윤정 : 실제 심사를 참관하면서 얻게 된 지식과 경험을 회사의 업무에 적용하여 도움이 되었으면 합니다. 장기적으로는 NHN이 ISO 인증과 ESG 경영으로 나아가는 방향에 일조하였으면 하는 바람입니다.

 

 

-

 

조성민 : ISMS-P 인증심사원의 최고 장점은 여러 기업의 정보보호 관리체계를 공식적으로 들여다볼 수 있는 점이라고 생각합니다. 가급적 연 1회 정도는 심사에 나가 경쟁사 등 여러 회사의 정보보호 관리체계 현황을 살펴보면서 최적의 사례는 적용하고, 피해야 할 사례는 없는지 점검하는 등 그룹사 보안수준 제고에 더욱 힘쓸 예정입니다.

 

 

 

-

 

최병호 : 인증 심사의 본래 취지는 여러 보안항목 중 일부 낮아진 보안수준을 끌어 올려 일정 수준의 보안수준을 유지 및 개선하자는 것인데요. 현재는 문제점을 찾아내 지적을 많이 해야 인증심사를 잘했다고 인식을 가진 일부 심사원들이 있어 우려가 되기도 합니다. 추후 인증심사를 나가는 경우 문제에 대한 지적보다는 원인을 찾아 어떻게 개선할 것인지에 대해 피 심사 담당자들과 논의하여 결정해 나가는 인증심사원이 되고 싶습니다.

 

 

<끝>

오주연 홍보1팀

NHN의 기술, 게임 외 여러 소식을 전합니다.

이전글

INSIDE NHN