뉴인 ‘터치클래스’, 국제·국내 보안인증 동시 재인증… SaaS 보안 위협 속 대안 제시

LMS 등 SaaS 솔루션, 기업 해킹 우회 통로로 악용돼 공급망 보안 경고등 켜져

이미지 제공=뉴인(Newin)

최근 기업 내부망 침투를 위해 보안이 취약한 외부 솔루션(SaaS)을 우회 공격하는 ‘공급망 공격’이 급증하고 있다. 특히 임직원의 개인정보와 기업의 핵심 지식 자산이 집약된 교육 플랫폼(LMS)은 잠재적 표적이 될 수 있어 솔루션의 보안 안정성이 기업 생존의 필수 조건으로 대두됐다.

이런 가운데 기업 교육 솔루션 전문 기업 뉴인(Newin)의 ‘터치클래스(Touchclass)’가 국내 최고 권위의 정보보호 및 개인정보보호 관리체계(ISMS-P)를 2회 연속 재인증했다고 밝혔다. 터치클래스는 지난해 8월 갱신을 완료한 ISO/IEC 27001:2022 인증과 더불어 ISMS-P까지 재인증을 받았다.

뉴인은 “법적으로 인증 의무 대상이 아님에도 불구하고 자발적으로 인증을 추진해 재취득까지 완료했다는 점에서 의미가 크다”고 설명했다.

보안 인증 없는 SaaS, 기업에는 ‘시한폭탄’

클라우드 기반 SaaS 시장의 급성장과 함께 보안 사고 위험도 비례해 커지고 있다. 클라우드 기반 서비스의 특성상 공급업체가 뚫리면 서비스를 이용하는 고객사의 데이터도 인질로 잡히기 때문이다. 그 중에서도 LMS는 임직원의 인사 정보와 성과 데이터, 기업의 독자적인 노하우가 집약된 핵심 플랫폼이다.

보안이 취약한 외부 솔루션을 사용해 랜섬웨어 감염이나 개인정보 유출 사고가 발생하면 기업은 속수무책으로 피해를 입을 수 있으며, 이로 인해 기업의 법적·사회적 책임 문제로까지 이어질 수 있다.

전문가들은 “기능과 가격만 보고 솔루션을 선택하는 시대는 끝났다”며 “검증되지 않은 SaaS 도입은 기업의 문을 열어두고 도둑을 기다리는 것과 같다”고 경고했다.

이번에 획득한 ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회의 공동 고시 기준에 따라 한국인터넷진흥원(KISA)에서 인증하는 국내 최고 권위의 보안 인증 제도이며, 총 102개의 엄격한 기준을 통과해야 한다.

많은 LMS 업체들이 막대한 구축 비용과 유지 관리의 어려움 때문에 인증 획득을 포기하거나 낮은 단계의 인증에 머무르는 반면, 터치클래스는 수년간 이 인증을 독자적으로 유지해오고 있다.

이는 터치클래스가 단순한 교육 플랫폼을 넘어 금융권, 제조·유통업, 공공기관 등 높은 수준의 보안을 요구하는 다양한 고객사를 보유한 만큼 그 기준을 충족하는 데이터 보호 역량을 갖췄음을 의미한다.

“보안은 비용 아닌 투자… 안전한 에듀테크 생태계 선도할 것”

이번 재인증은 터치클래스가 지난 3년간 지속적이고 안정적으로 서비스를 운영해 왔다는 것과 함께 향후에도 지속적으로 보안 인프라에 투자할 재무적 안정성과 기술적 의지를 갖추고 있음을 입증한다. 보안 위협이 최고조에 달한 시기에 ISMS-P를 다시 획득했다는 점은 고객사 입장에서는 데이터 유실 걱정 없이 장기적으로 신뢰할 수 있는 파트너를 확보했다는 의미이다.

뉴인 CISO(정보보호최고책임자) 김아론 이사는 “최근 LMS 도입 문의 시 가격이나 기능보다 보안 사양을 먼저 체크하는 대기업과 공공기관이 늘고 있다”며 “보안 인증은 고객사의 소중한 자산을 지키기 위한 터치클래스의 타협 없는 약속이자 보안이 불확실한 다른 솔루션과 구분 짓는 가장 명확한 기준”이라고 말했다.

이어 김 이사는 “보안 인증을 최종 목표가 아닌 보안의 최소 조건으로 생각하고 있다”면서 “인증 과정에서 도출된 개선점을 바탕으로 보안 체계를 끊임없이 점검하고 강화해 기업 고객이 안심하고 솔루션을 활용할 수 있도록 노력하겠다”고 덧붙였다.