“물류 서비스에서 고객 정보보호는 시작과 끝입니다. 물류 특성상 여러 기업을 경유하기 때문에 기업 고객의 정보보호에 대한 요구사항은 더욱 커지고 있습니다. 메쉬코리아 경영진은 정보보호 역량이 물류 기업의 경쟁력임을 인지하고 ISMS 인증획득에 적극적인 지원을 아끼지 않았습니다. 이를 통해 법인 고객사와 신뢰관계는 강화되고 내부 직원들의 보안인식도 크게 향상됐습니다. ISMS 인증은 정보보호의 끝이 아니라 출발점입니다. 향후 국내 인증뿐만 아니라 글로벌 정보보안인증까지 획득해 메쉬코리아의 안전한 물류 서비스 확대와 글로벌 진출에 초석을 마련할 계획입니다.” -백제현 메쉬코리아 정보보호최고책임자(CISO)-

AI 기반 물류 스타트업이자 프리미엄 실시간 배송 ‘부릉’서비스로 잘 알려진 메쉬코리아(대표 유정범)가 지난 8월 26일 IT 물류플랫폼 BPO(Business Process Outsourcing) 기업으로는 처음 ISMS 인증을 획득했다.

고객이 원하는 모든 배송이 가능하도록 연구하며 혁신하는 물류 파트너 메쉬코리아는 100여명의 전문 엔지니어가 자체 개발한 IT기반의 네트워크 ‘부릉(vroong)’을 통해 다양한 물류상품을 유통하는 물류유통계의 IT구매를 배송비에 녹여 새로운 구도의 인프라를 만들어 보자는 모토를 갖고 2013년 설립됐다.

IT 기술력과 약 980억원의 누적 투자금을 바탕으로 성장 중인 B2B2C 배송망 서비스기업 메쉬코리아는 이륜 라스트 마일(Last mile) 배송 영역에서 최초로 기업 물류 비즈니스를 시작한 기업이다. 현재는 이륜차뿐만 아니라 사륜차로 사업 영역을 확장해 실시간, 당일, 적시 배송 등을 250여개 고객사에게 제공하고 있으며, KT샵 1분 주문, 1시간 배송 서비스도 담당하고 있다. 매출은 1천600억이 넘는다.

특히 이 기업은 데이터와 팩트 그리고 로직에 기반해 의사결정을 하는 디지털 물류 플랫폼으로, IT 기반 물류 BPO 영역을 개척해 나가고 있다. 기업 물류에 필요한 IT 솔루션과 프로세스, 컨설팅이 가능하다는 점이 핵심 역량이다. 기업 고객이 업의 본질에만 집중할 수 있도록 돕기 위해, 물류의 전 과정을 고객 맞춤형 인덱스 보드 단 하나로 관리하는 디지털 물류대행의 혁신을 이루어 내고 있다.

한편 메쉬코리아 ‘부릉’은 단순히 국내 물류시장만을 타깃으로 하지 않고, 전세계 물류 및 모빌리티 관련 플랫폼으로 확장해나가는 것을 목표로 하고 있다.

---

데일리시큐는 백제현 메쉬코리아 CISO(정보보호최고책임자)를 만나 ISMS(정보보호관리체계)인증 획득과 향후 계획 등에 대해 들어보는 시간을 가졌다.

백제현 CISO는 디지털포렌식 분야 법학박사로 2012 아시아-태평양 정보보안 리더십 공로상(Asia-Pacific ISLA)을 수상했으며, 현재 성균관대학교 과학수사학과 겸임교수로 재직 중이다.

다음은 백제현 CISO와 인터뷰 전문이다.

“경영진의 정보보호 의지…물류와 정보의 안전한 흐름 보장하기 위한 노력”

-ISMS 인증을 준비하게 된 이유

▷두 가지 이유가 있다. 먼저 IT를 기반으로 하는 물류회사에서는 정보보안이 중요하다는 점을 경영진이 이미 인지하고 의지를 갖고 있었기 때문이다. 또 하나 이러한 IT 인프라 위에서 물류를 흐르게 하기 위해서는 정보 그 자체의 중요성도 점점 커지고 있는 상황이기 때문이다. 이런 이유에서 ‘물류와 정보의 안전한 흐름’을 보장할 수 있는 노력의 일환으로 작년부터 시작해 약 9개월 이상 기간동안 ISMS 인증 취득을 위해 준비했다.

무엇보다 메쉬코리아는 설립 초부터 창업 멤버 다수가 개발자 중심으로 구성된 IT 기반 회사였기 때문에 업계에서 선제적으로 ISMS인증에 뛰어들 수 있었다. 현재 240여명 직원 중 100여 명이 IT 전문가이며 직원의 1/3 이상을 IT 개발진으로 구성해왔다.

“물류 과정 전반에 고객 정보보호는 필수…그 시작이 ISMS”

-물류 서비스 기업에서 ISMS 인증이 필요한 이유는

▷B2B 관점에서 ISMS 인증의 중요성은 더욱 커지고 있다. 여러 기업을 경유할 수밖에 없는 물류흐름의 특성상, 물류가 최종 목적지(즉, 고객의 주소지)까지 흘러가는 과정에서 여러 기업을 거치기 때문이다. 메쉬코리아의 주요 기업 고객들이 원하는 정보보안 스탠다드를 맞추고, 나아가 업계를 선도하기 위해서도 ISMS 인증은 필수적이었다.

뿐만 아니라 이러한 과정의 각 단계에 있는 여러 기업에서는 고객의 개인정보를 보호할 수 있는 보안체계를 갖추고 있어야 할 뿐만 아니라 이러한 보호체계를 고객사에게 명시적으로 입증할 수 있어야 한다. 따라서 물류를 최종 목적지까지 흐르게 하는 여정에 포함된 물류 서비스 기업은 고객의 개인정보를 보호할 수 있는 체계를 갖춰야 한다. 그 최소한의 요건이 바로 ISMS 인증이라고 생각한다.

또한 물류의 최종 목적지는 바로 고객의 주소지다. 즉, 물류 서비스는 고객의 개인정보에서 시작됨과 동시에 마무리된다. 그렇기 때문에 물류 서비스 기업에서는 고객의 개인정보를 안전하게 이용 및 보호할 수 있는 체계가 필수적이다. 그리고 이와 같은 체계를 물류 서비스 기업 내에 가장 잘 이식시킬 수 있는 방법이 바로 ISMS 인증이라고 생각한다.

-ISMS 인증 과정에서 어려웠던 점

▷COVID-19 장기화로 물류 물량이 상당히 증가했다. 이런 와중에 보안 컴플라이언스와 통제항목을 충족하기 위한 기능과 서비스 개발을 병행한다는 것이 생각보다 쉽지 않았다. 지면을 빌어 ISMS 인증 준비 과정에서 개발 업무에 참여해 준 개발부서 모든 구성원들에게 감사의 말씀을 꼭 전하고 싶다.

“고객사와 두터워진 신뢰…구성원들의 보안인식 향상”

-ISMS 인증 이후 변화된 점

▷가장 큰 변화는, 메쉬코리아가 ISMS 인증을 취득함으로 인해, 위·수탁관계에 있는 법인 고객사의 보안우려를 사전에 해소하고 법인 고객사가 느끼는 써드파티 리스크 이슈를 해소시킬 수 있게 되었다는 점이다. 이러한 긍정적인 변화로 인해서 법인 고객사와 메쉬코리아의 협업이 더욱 공고해 질 것으로 예상한다.

두 번째 변화로는 구성원들의 보안인식의 변화다. ISMS 인증을 준비하는 과정에서는 다양한 직군의 많은 직원들이 동참해야 한다. 이런 준비 과정을 거쳐 ISMS 인증을 취득한 것이기 때문에, 구성원 스스로도 ISMS 인증 이전과는 다른 보안인식을 가질 수 밖에 없다. 보안인식 수준을 앞으로도 잘 유지해야 하는 숙제가 남아 있기는 하지만, ISMS 인증 준비과정에서 구성원들의 보안인식에 선순환적 변화가 생긴 점은 상당히 고무적인 일이다.

세 번째 변화는 법인 고객사의 보안요구사항을 잘 이해하게 되었다는 점이다. 메쉬코리아는 B2B 배송 비율이 상당히 많은 물류 플랫폼이기 때문에, 대기업을 포함해 매우 다양한 고객사와 협업을 하고 있다. 이런 과정에서는 당연히 고객사의 보안요구사항을 메쉬코리아가 반영하고 그 결과를 고객사에게 공유해야 한다. 이번 ISMS 인증 준비를 통해 고객사의 보안요구사항의 필요성과 중요성을 메쉬코리아 구성원들이 더 잘 이해하게 된 점도 매우 의미 있는 변화라 할 수 있다.

-ISMS 인증은 경영진의 의지

▷사실 ISMS 인증의 필요성과 중요성은 작년부터 메쉬코리아의 경영진이 먼저 인지하고 있었다. 따라서 메쉬코리아의 경우에는 ISMS 인증에 대한 의지가 경영진에서부터 시작되었다고 볼 수 있다. 이 부분은 CISO로서 매우 감사한 부분이다. 또한 정보보안에 대한 경영진의 관심과 지원이 적재적소에 활용되도록 하고 메쉬코리아의 보안수준을 더 견고하게 만들어 가는 것이 경영진에 대한 CISO로서의 보답이라고 생각한다.

“내년에는 내부역량 만으로 ISMS-P 인증과 ISO27001 인증까지 계획”

-메쉬코리아의 정보보안과 관련 향후 계획

▷메시코리아는 ‘물류와 정보의 안전한 흐름’을 구현하기 위한 다양한 노력을 이미 실행해 오고 있다. 기술적·관리적 보호조치의 적용은 당연하고, 신규 서비스나 기능 개발 시에는 법령에 근거한 보안성 검토를 필수적으로 거치고 있다. 뿐만 아니라 정보보안, 개인정보, 보안감사 등 세 개 부서를 구분해 각 영역의 보안전문가로 구성된 집단지성 조직을 운영하고 있는 것도 매우 특징적인 노력이라고 할 수 있다.

이러한 노력을 집약적으로 체계화해 ISMS 인증을 취득했다. 하지만 ISMS 인증의 취득은 목적지가 아니라 출발선이라고 생각한다. 그렇기 때문에 메쉬코리아는 앞으로도 안전한 물류 서비스를 대외적으로 공시할 수 있는 여러 외부기회를 활용해 메쉬코리아만의 고유한 차별성을 더욱 높여 나갈 계획이다.

또한 내년에는 ISMS-P 인증과 ISO27001 인증까지 획득하려고 한다. 외부 컨설팅 없이 내부 역량으로 준비할 예정이다. 그 과정이 보안팀의 역량 내재화에 큰 도움이 될 것으로 생각한다.

---

“보안팀, 대내·외적으로 신뢰를 구축하고 발전할 수 있도록 서비스하는 조직”

백제현 CISO는 기업의 정보보호 역량 강화는 경영진의 의지가 가장 중요하다고 강조했다. 9개월 간의 치열한 준비 끝에 획득한 ISMS 인증은 메쉬코리아의 발전에 큰 자산이 될 전망이다. 그는 현재 5명의 정보보호 전담 인력을 올해 8명까지 확대하고 정보보호 내재화에 총력을 기울이겠다고 밝혔다. 또 보안인력 채용에서 ‘책임감’을 가장 중요한 덕목으로 꼽았다. 책임감 없는 전문가는 위험하기 때문이라는 것.

끝으로 “메쉬코리아는 임직원 전체가 보안 수용성이 매우 높은 기업이다. 신뢰할 수 있는 기업이다. 신뢰는 기업의 강력한 경쟁력”이라며 “대부분 조직은 매출을 높이는 조직이고 보안조직은 매출 손실을 최소화하는 조직이라고 생각한다. 보안도 서비스다. 회사가 대내·외적으로 신뢰를 구축하고 발전할 수 있도록 서비스하는 조직으로 정보보안, 개인정보, 보안감사팀의 역량을 키워 나가겠다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★