보험·의료 데이터 기반 인슈어테크 기업 그린리본, ISO 27001 인증 획득

12월 29일, 인슈테크기업인 그린리본의 정보보안 경영시스템 (ISO/IEC 27001) 인증서 수여식이 진행되었습니다.

이번 인증을 획득을 통해  보험 및 의료 데이터 등 고민감 정보가 포함된 보험 서비스 영역에서 정보보호 관리 체계를 국제표준 요구사항에 따라 구축·운영하고 있음을 공식적으로 검증받았습니다.

LRQA는 이번 그린리본의 정보보안 경영시스템 인증을 주도한 이정하 매니저님과 이번 인증 소감에 대한 짧은 인터뷰를 진행하였습니다.

• 회사 및 본인 소개를 간단히 부탁드립니다.

그린리본은 보험금 청구 과정에서 발생하는 정보 비대칭을 AI·데이터 기술로 해소해, 고객이 놓치고 있던 보험금과 보장 기회를 더 정확하고 빠르게 확인할 수 있도록 돕는 인슈어테크 기업입니다. 저는 그린리본에서 정보보호 및 컴플라이언스 체계 구축과 ISO/IEC 27001 인증 추진을 총괄했습니다. 특히 저를 포함해 IT Manager 최준호님, Operation Manager 이정하님을 핵심 추진축으로, 제품·개발·운영·CS·사업 등 전 부서와 함께 '데이터를 다루는 방식'과 운영 프로세스 전반을 국제 표준에 맞춰 정렬하고 재설계하는 역할을 수행했습니다.

• 이번 인증을 추진하게 된 배경은 무엇인가요?

그린리본은 국내외 사업 확장을 본격화하는 과정에서, 단순히 "우리가 데이터를 안전하게 다룬다"는 선언을 넘어 국제 표준에 기반한 객관적 증명이 필요하다고 판단했습니다. 특히 보험·의료·개인정보 등 민감도가 높은 데이터를 다루는 만큼, 파트너와 고객이 신뢰할 수 있는 검증 가능한 보안 운영체계를 갖추는 것이 사업 확장의 필수 조건이었습니다. ISO/IEC 27001은 정보보호 관리체계를 위험 기반으로 설계·운영하도록 하는 국제 표준 프레임워크이기 때문에, 인증 취득은 곧 대외 신뢰를 제도적으로 확보하고 글로벌 고객 요구에 선제 대응하기 위한 기반이라고 보고 추진했습니다.

• 인증을 추진함에 있어서 우려되거나 특별히 고려한 점이 있으셨나요?

가장 큰 도전과제는 "보안은 중요한데, 일이 느려질까 봐 걱정된다"는 현업의 자연스러운 우려를 해소하는 것이었습니다. 그래서 그린리본은 보안을 단순히 "규제 대응용 문서 작업"이 아니라, 개발·운영의 품질을 높이는 운영체계로 설계했습니다. 예를 들어 승인·권한·로그·장애 대응을 체계화하여 결과적으로는 재작업과 사고 가능성을 줄이는 방향으로 접근했습니다.

• 인증을 추진함에 있어서 주어진 도전과제, 사내 반응 혹은 어려웠던 점은 무엇이었나요?   

가장 어려웠던 부분은 국제 기준 요구사항을 내부 시스템과 실제 업무 프로세스에 실제로 추적 가능하게 매핑하는 부분이었습니다. 정보자산 식별(무엇을 보호할 것인가) → 위험평가(어떻게 위협받는가) → 통제선정(무엇으로 막을 것인가) → 운영증적(실제로 작동하는가)의 연결고리를 일관되게 만드는 과정이 가장 난이도가 높았던 부분이었습니다. 또한 클라우드·외부 솔루션·협력사 등으로 구성된 운영 환경에서 공급망 보안 요구사항을 계약/절차/점검으로 묶어 실행하는 것도 중요한 과제였습니다.

•  이번 인증/검증을 성공적으로 완료할 수 있었던 핵심 요인은 무엇이라고 생각하시나요? 

핵심 요인은 두 가지였습니다. 첫째, 경영진의 명확한 우선순위 선언과 자원 투입입니다. 인증을 단순한 ‘체크리스트’가 아닌, 사업을 뒷받침하는 기반으로 정의했습니다. 둘째, 전사 참여 구조의 정착입니다. 개발·인프라·운영·CS·사업 부서가 함께 참여하도록 역할과 책임을 명확히 했으며, 보안은 특정 팀만의 과제가 아니라는 공감대를 형성했습니다.

• LRQA를 인증기관으로 선정하게 된 이유는 무엇이었나요? 

그린리본은 글로벌 고객과 파트너가 신뢰할 수 있는 심사 품질과 일관성을 가장 중요하게 고려했습니다. 글로벌 시장에서 신뢰받는 기업으로 자리매김하기 위해, 가장 엄격하고 객관적인 기준을 적용하는 인증기관과의 파트너십이 필요하다고 판단했으며, 이에 따라 LRQA를 선정하였습니다.

LRQA는 체계적인 심사 프로세스를 제공하고, 조직의 준비 수준을 단계적으로 점검할 수 있는 접근 방식을 갖추고 있습니다. 또한 심사원이 최신 표준 요구사항과 실제 운영 환경을 충분히 이해한 상태에서 평가할 수 있는 전문 역량을 보유하고 있다는 점도 중요한 선택 이유였습니다. 실제 심사 과정에서도 심사원들이 각 부서의 업무 특성을 깊이 이해한 상태에서, 관리 수준을 한 단계 높일 수 있는 구체적인 개선 방안과 기회에 대한 의견을 제시해 주었습니다.

• 마지막으로 인증 취득 이후의 계획, 달성하고 싶은 목표 혹은 포부를 말씀해주세요.

ISO/IEC 27001 인증은 끝이 아니라 지속적인 고도화를 위한 출발점이라고 생각합니다. 그린리본은 인증 이후에도 다음과 같은 방향으로 정보보호 관리체계를 발전시켜 나갈 계획입니다.

첫째, 운영 고도화입니다. 연 1회 점검에 그치지 않고, 변경·배포·권한 관리 및 사고 대응이 상시적으로 작동하는 운영 체계로 성숙시키겠습니다.

둘째, 공급망 보안 강화입니다. 협력사, 외주, 사용하는 도구 전반에 대한 서드파티 관리 기준을 정교화 하여, 데이터 흐름 전체를 안전하게 만들겠습니다.

셋째, 대외 신뢰 기반의 확장입니다. 보험사 및 헬스케어 기업 고객의 보안 요구에 보다 신속하게 대응함으로써, 파트너십 확대와 신규 사업 기회를 가속화하겠습니다.

LRQA 정보보안 서비스 바로가기