▲ IBK기업은행, 국제표준 개인정보보호 인증 ‘ISO27701’ 획득 및 수여식(박병삼 기업은행 정보보호최고책임자(왼쪽)와 임성환 BSI 코리아 대표이사) [출처=IBK기업은행]IBK기업은행(은행장 김성태)에 따르면 개인정보를 체계적으로 보호·관리하고 국내외 규제에 대응하기 위해 국제표준 개인정보보호 인증 ‘ISO27701’을 성공적으로 획득했다.ISO27701은 국제표준화기구(ISO)가 제정한 개인정보보호 관리 체계(PIMS) 국제 표준이다. 기업은행은 ISO27701 획득을 통해 개인정보보호 관련 정책, 조직 운영, 위험 관리, 내부 교육 및 점검 체계 등 전반에서 국제적 기준에 부합하는 체계를 구축한 것으로 평가받았다.앞서 기업은행은 2022년 국내 정보보호 및 개인정보보호 관리 체계인 ISMS-P 인증을 획득한 바 있다. 이번 ISO27701 인증을 통해 국내외 주요 정보보호 및 개인정보보호 인증을 모두 보유한 금융기관이 됐다.기업은행 박병삼 정보보호 최고책임자는 “이번 인증 획득을 통해 국내외 규제 환경에 모두 대응 가능한 보안 체계를 완비하게 됐다. 앞으로도 글로벌 시장에서 신뢰받는 은행이 되도록 지속 노력하겠다”고 말했다.

▲ GC녹십자 본사 전경[출처=GC녹십자]GC녹십자(대표 허은철)에 따르면 국제표준화기구 ISO(International Organization for Standardization)가 제정한 정보보호 및 관리체계 ‘ISO 27001’ 인증 갱신 및 ‘ISO 27701’ 인증을 최초로 취득했다.GC녹십자는 기존 ISO27001 인증의 안정적 유지와 더불어 ISO27701 신규 인증을 통해 정보보호 및 개인정보보호 관련 국제 표준에 부합하는 체계적이고 신뢰성 있는 관리 역량 입증했다.이는 안전하고 신뢰할 수 있는 정보보호 관리체계를 구축했다. 인증된 관리체계를 기반으로 글로벌 파트너사의 사이버 보안 요구에 적절히 대응하고 있음을 나타낸다.2021년 GC녹십자는 ISO27001 최초 인증을 획득한 후 정보 자산 보호 프로세스를 체계적으로 수립하고 이를 지속적으로 운영 및 관리해 갱신 인증에 성공했다.정보보안 경영시스템 국제 표준인 ISO27001은 정보보호 및 관리 분야의 가장 권위 있는 인증으로 조직적, 인적, 물리적, 기술적 4개 분야 93개 항목에 대한 기준을 충족하는지 평가한다.ISO27001 인증의 확장 영역인 ISO27701은 개인정보보호 및 개인 데이터 취급에 대한 표준 인증으로 조직의 개인정보 관리 절차, 암호화, 비식별화, 서비스 안전성 등 8개 분야 49개 항목 기준을 충족하는지 평가한다.강형묵 GC녹십자 정보보안 최고책임자(CISO)는 “적극적인 정보보호 관리체계 운영 및 관리를 통해 ISO27001 인증 갱신 및 ISO27701 신규 인증을 획득하게 됐다”며 “이를 통해 고객과 파트너사뿐 아니라 글로벌 시장에서도 안전하고 신뢰할 수 있는 기업을 입증하는 데 기여할 것으로 기대된다”고 말했다.

▲ 동아쏘시오홀딩스 로고[출처=동아쏘시오홀딩스]동아쏘시오홀딩스(대표이사 사장 김민영)에 따르면 정보보호 국제표준 인증인 정보보호경영시스템(ISO/IEC 27001)과 개인정보보호경영시스템(ISO/IEC 27701) 사후심사를 동시에 통과했다.BSI(British Standards Institution, 영국왕립표준협회)로부터 2019년 ISO/IEC 27001, 2022년 ISO/IEC 27701 인증을 획득한 이후 연이어 사후심사를 통과해 글로벌 수준의 정보보호관리 체계를 다시 한번 인정받았다.동아쏘시오홀딩스는 회사의 지식재산과 고객을 비롯한 다양한 이해관계자들의 정보를 보호하기 위해 거버넌스, 체계구축, 통제 및 모니터링, 인식제고 4가지 활동에 기반을 둔 정보보호 통합관리 체계를 구축했다.또한 CISO(Chief Information Security Officer, 정보보호최고책임자)와 CPO(Chief Privacy Officer, 개인정보보호책임자)를 선임하고 정보보호위원회를 운영하고 있다.동아쏘시오홀딩스는 임직원이 일상적인 업무를 하면서도 정보보호 인식을 높이기 위해 모의해킹, 악성메일 대응 훈련을 실시하고 있다.개인정보보호 수칙 12가지, 악성 이메일 예방수칙 5가지 정보보호 화면보호기를 개발해 임직원 PC에 적용했다.참고로 ISO/IEC 27001과 ISO/IEC 27701은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 정보보호 분야에서 가장 권위있는 국제표준 인증이다.

▲ 신원 확인 기업 인텔리체크(Intellicheck, Inc.) [출처=홈페이지]미국에서 업계를 선도하고 있는 신원 확인(아이덴티티, identity) 기업 인텔리체크(Intellicheck, Inc.)에 따르면 ISO/IEC 27001:2013 및 ISO/IEC 27701:2019 인증을 획득했다.ISO 인증 획득 범위에 인텔리체크의 입증된 현장 기술 통제, 공적적인 IT 보안, 개인 정보보호, 절차 등이 포함된다.ISO 인증으로 인텔리체크는 현재 고객 및 잠재 고객, 비즈니스 파트너에게 최고 품질의 제품을 제공하려는 회사의 지속적인 노력과 세계 수준급 기업의 우수성을 보여줬다.또한 국제적으로 인증받는 표준을 준수함으로써 보안 관리 프로그램이 포괄적이고 선도적인 관행을 따르고 있음을 확인 시켰다.인텔리체크의 우선 순위는 최고 수준의 정보 보안 및 개인 정보 보호 표준을 반영한 최첨단 기술 솔루션으로 고객의 요구를 충족시키는 것이다. 온디멘드(주문형) 디지털 및 물리적 인증 검증 솔루션을 제공하는 신분확인 기업으로 업계를 선도하고 있다.인텔리체크는 브라우저 또는 모바일 장치를 통한 온라인 뿐 아니라 오프라인 매장에서 POS 스캐너를 통해 유연한 기술 솔루션을 사용하는 상위 12개 은행 신용카드 발급사 등을 포함해 핀테크 및 금융서비스 기업에 디지털 및 물리적 신원 확인 솔루션을 제공하고 있다.인텔리체크의 광범위한 솔루션은 BNPL 제공업체, 3만개 이상의 소매점, 여러 법 집행 기관, 주 정부 등에서 사용되고 있다.

▲ 매출 정보 플랫폼 제공 기업 피플(People.ai) [출처=홈페이지]미국 매출 정보 플랫폼 제공기업인 피플(People.ai)에 따르면 ISO 27701:2019, ISO 27017:2015, CSA STAR 등 3가지 인증을 획득했다.이 인증은 데이터 프라이버시 및 클라우드 인프라에 대한 동급 최강의 보안 표준이다. 기존  ISO 27001:2013, SSAE-16 SOC 2 Type 2 준수 인증을 기반으로 하고 있다.피플의 가장 우선 순위는 고객의 민감한 데이터를 보호 하는 것이다. 이번 인증을 통해 개인 정보 보호 및 클라우드 컴퓨팅 모범 사례, 정책, 절차를 강화해 더 많은 보안을 제공하고 있음을 입증하게 됐다.ISO 인증을 통해 고객에 대한 신뢰와 신뢰성 원칙을 확인시켜 줬다. 고객이 보호를 받고 있다는 느낌을 받을 수 있도록 지속적으로 기술을 향상해 나갈 방침이다.IBM의 2022년 데이터 유출 비용 보고서(2022 Cost of a Data Breach Report)에 따르면 보안공격의 평균 비용이 $US 435만 달러로 사상 최고치를 기록했다.조사대상 기업의 83%가 지난해 1번이상 데이터 유출을 경험한 것으로 나타났으며 기업 경영진의 주요 관심사가 데이터 보안이다. 데이터 공격이나 잘못된 데이터 처리로 인해 연간 수십억 달러의 수익 손실 및 재정적 불이익이 발생하기 때문이다.

▲ 에비소트(Evisort)의 홍보자료 [출처=홈페이지]미국 계약 인텔리전스 관리 기업 에비소트(Evisort)에 따르면 정보보안관리 국제 표준 ISO 27001 및 보안기술 국제 표준 ISO 27701 인증을 획득했다.에비소트는 계약 수명 주기 관리 및 분석을 위한 최고의 혁신적인 비즈니스 솔루션을 제공한다. 특히 에비소트는 고급 분석, OCR(광학 문자 인식) 기술, 다국어 기능, 효율적인 계약서 작성 및 확장된 지능형 조항 라이브러리를 포함한 제품을 고객에게 제공한다.회사의 인공지능은 1100만 건 이상의 계약과 수십억 개의 데이터를 바탕으로 한다. 2019년부터 보안 및 데이터 개인정보보호 관행에 대한 타입2 서비스 조직 컨트롤(SOC 2 Type 2) 인증도 보유하고 있다.ISO 27701은 기업 데이터의 기밀성, 무결성 및 가용성을 보장하는 관리 시스템을 구현하기 위한 프레임워크를 제공한다.ISO 27701은 개인정보보호규정(GDPR) 및 개인정보보호법(CCPA)을 포함한 다양한 국제 개인 정보 보호 규정을 준수하는 개인 정보 관리 시스템을 구현, 유지 및 개선하기 위한 요구 사항을 지정한다.이번 인증 획득은 다양한 보안 위협과 규제 요건의 시대에 회사의 신뢰를 고객에게 제공하는 이정표로 평가된다. 또한 에비소트는 계약 수명 주기 관리 프로세스를 간소화하고 비즈니스에  가치를 제공하기 위해 드루바(Druva)와 파트너십을 체결했다.드루바는 데이터 복원을 위한 업계 최고의 사스(SaaS·서비스형 소프트웨어) 플랫폼을 제공한다. 또한 1000만 달러 보증으로 지원되는 일반적인 데이터 위험 전반에 걸쳐 데이터 보호를 보장한다.이와 같은 정보보안을 통해 에비소트는 미묘한 맥락과 법적 언어의 의미를 분석하고 비용을 절감해 비즈니스를 더욱 성장시킬 수 있을 것으로 전망된다. 

미국 BARR 인증은 2022년 8월 16일 ANSI 국가 인증 위원회(ANSI National Accreditation Board, ANAB)로부터 ISO/IEC 27701 인증을 획득했다.BARR은 북미에서 가장 큰 다학제 인가 기관인 ANAB로부터 ISO/IEC 27001 및 ISO/IEC 27701 표준의 인증 서비스 수행시 규정을 잘 준수하고 있는지 여부를 검증받았다.BARR 인증(BARR Certifications)은 사이버 보안 컴플라이언스 솔루션 제공 기업인 BARR Advisory의 파트너사이다. 이들 기관은 각각 ISO/IEC 27001 및 27701 인증과 SOC 2 감사 보고서를 발행한다.또한 ANAB와 미국 공인회계사 협회(American Institute of Certified Public Accountants, AICPA)의 요구사항을 충족하는 인증받은 9개 미국 기업 중 하나다.인증은 클라우드 서비스 제공업체의 복잡한 시장에서 두각을 나타내고자 하는 조직에게 정보 보안 관리 시스템의 성숙도 입증할 뿐 아니라 소비자와 제3자 데이터를 보호하고 보장하기 위한 약속을 확인하는 차별화된 요소로 작용하고 있다.특히 국제적으로 공인된 표준은 개인 식별 정보(Personally Identifiable Information, PII)를 처리하는 조직에게는 필수적으로 요구된다.ISO/IEC 27001은 정보 보안 경영 시스템(Information Security Management System, ISMS)의 요구사항을 정의하고 있다.BARR과 같은 공인된 인증 기관으로부터 ISO/IEC 27001 인증의 획득은 조직이 서비스, 데이터, 지적 재산권, 기타 등의 보안을 둘러싼 통제를 포함하는 글로벌 프레임워크를 준수하고 있음을 입증했다는 것을 의미한다.ISO/IEC 27001 및 ISO/IEC 27701의 확장은 데이터 개인정보보호에 초점을 맞추고 조직의 개인 정보 관리 시스템(Privacy Information Management Syst

중국 소셜 플랫폼 기업인 쿠아이쇼우(Kuaishou)에 따르면 2022년 8월 1일 중남미, 동남아시아, 중동뿐 아니라 중국에서 ISO/IEC 27701 및 ISO/IEC 27001 인증을 획득했다. ISO/IEC 27701 및 ISO/IEC 27001 표준은 정보 보안을 관리하는 방법에 관한 국제 표준이다.ISO/IEC 27701은 개인 정보 관리 시스템(Privacy Information Management System, PIMS)을 수립, 구현, 유지 및 지속적인 개선을 위한 추가 요구 사항이 있는 ISO/IEC 27001의 개인 정보 보호가 확장된 것이다.이번 인증을 통해 쿠아이쇼우는 업계에서 인증된 세계 표준으로 개인 데이터를 취급하고 있음을 확인받게 됐다. 또한 인증은 사용자의 정보 보안에 대한 사회적 책임과 노력이 국제적인 선진 수준에 도달했음을 나타낸다.독립된 제3자 감사관은 쿠아이쇼우의 통제, 글로벌 보안, 위험 운영이 최고 구준을 충족하는지 확인했다. 플랫폼이 자체 개발, 인프라, 운영 및 서비스를 어떻게 보호하는지 평가하기 위해 일련의 엄격한 점검도 수행했다.위협과 취약성 및 영향을 고려해 조직의 정보 보안 위험을 체계적으로 검토하고 있는지 점검했다. 수용할 수 없다고 판단되는 위험을 해결하기 위해 일관적이고 포괄적인 정보 보안 통제, 기타 형태의 위험 처리(위험회피나 위험 이전)를 설계 및 구현했는지 감사했다.정보보안 통제가 조직의 정보 보호 요구를 지속적으로 충족하도록 보장하기 위해 중요한 관리 프로세스를 채택하고 있는지 평가했다.참고로 쿠아이쇼우는 엔터테인먼트, 온라인 마케팅 서비스, 전자 상거래, 온라인 게임, 온라인 지식 공유 등을 포함해 자연스럽게 발생하는 다양한 사용자의 요구를 해결하기 위한 서비스를 제공하고 있다.▲ 쿠아이쇼우(Kuaishou) 홈페이지