딥핑소스는 ‘익명화’라는 원천기술로 시작한 기업이다. 인공지능 학습이라는 명목 아래 초상권 침해가 빈번하게 발생하는 현실에서, 이 문제를 해결하기 위해 설립된 이 회사는 AI 개발에 특화된 익명화 기술 개발에 전념해왔다. 이러한 기술적 기반 위에 보안과 개인정보 보호를 기본 원칙으로 삼은 딥핑소스의 SOC2 인증 여정은 많은 기업들이 참고할 만한 사례를 제시한다.
SOC2 인증 준비: 첫걸음
SOC2 인증을 받기로 결정했을 때, 많은 기업들이 겪는 혼란이 딥핑소스에도 찾아왔다. “이 인증을 어떻게, 누구에게 받을 수 있을까?”라는 물음이 떠올랐다. 자원이 부족한 작은 규모의 회사에서는 효율적으로 인증 과정을 진행하는 것이 필수적이었다. 이 과정에서 Compliance 플랫폼의 존재를 알게 되었고, Drata, Vanta, Secureframe 등 여러 업체와의 미팅을 통해 구체적인 방향성을 잡았다.
SOC2 인증 경험이 없던 딥핑소스는 초기 미팅에서 가격 협상과 서비스 제공 내용을 중심으로 결정하게 되었다. 다년 계약을 고려하는 것이 장기적인 비용 절감에 도움이 됨을 깨달으며, 사전에 충분한 정보를 확보하는 것이 중요함을 배우게 되었다.
Compliance 플랫폼의 역할
Compliance 플랫폼은 인증 준비 과정에서 중요한 역할을 했다. 첫 번째로 정책 관리가 체계적으로 이루어졌고, 필요한 항목들을 손쉽게 추가하거나 수정할 수 있게 되었다. 또한, 모든 임직원은 보안 교육을 수료하고 정책 문서에 동의함으로써 보안 의식을 높였다.
특히, 소프트웨어 자산 연동 기능은 GitHub, AWS 등과의 통합을 통해 실시간으로 보안 관련 이슈를 모니터링할 수 있게 해주었다. 이 기능 덕분에 데이터베이스의 버전 관리와 리소스 모니터링이 원활히 진행될 수 있었다.
감사 과정
모든 준비가 완료된 후, 감사인을 선정하여 감사를 진행했다. 초기 미팅에서 보완 요청이 있을 것이라는 예상을 뒤엎고, 감사는 문제없이 진행되었다. 이는 딥핑소스가 이미 기본적인 보안 체계를 잘 갖추고 있었기 때문이라는 평가를 받았다.
보안의 본질
딥핑소스의 SOC2 인증 여정은 단순한 인증 획득을 넘어, 보안과 개인정보 보호의 중요성을 다시 한번 되새기는 기회가 되었다. 보안은 결국 사람에 의해 이루어지는 일이며, 지속적인 교육과 경각심이 필수적임을 깨달았다. 인증 기준을 충족하는 과정은 생각보다 어렵지 않았으며, 일상에서 보안에 대한 관심을 기울이는 것만으로도 충분히 이룰 수 있는 목표임을 입증했다.
딥핑소스는 SOC2 인증을 성공적으로 마친 것을 계기로, 앞으로도 더욱 철저한 보안 관리와 고객 신뢰 구축에 힘쓸 것이다. 이러한 노력은 결국 기업의 경쟁력을 높이는 중요한 요소로 작용할 것이다.
[글] 딥핑소스 이수민 CTO (공동창업자)
댓글0