[談談한 만남] 보안은 비용 아닌 신뢰, 조아영 대표 "개인정보보호 개정으로 시장도 활성화"

보안 컨설턴트에서 개인정보보호 업체 대표로
구독형으로 전환한 '캐치시큐' 까다로운 개인정보 관리 다뤄

오내피플 조아영 대표 사진=김두홍 기자 kimdh@sportsworldi.com

“이번에 앱 스토어에서 서비스 론칭해야 하는데? 라고 누가 물으면 “캐치시큐 써~”. 개인정보보호 서비스는 뭐해야 하는데? 라고 하면 “캐치시큐 써~” 라는 말을 듣고 싶어요”

 

어느 광고의 카피 문구처럼 들리지만 조아영 오내피플 대표(36)는 개인정보보호와 관련해서 모르는 사람도 쓰면될 정도의 회사로 키워 나가고 싶다는 포부를 말했다. 오내피플이 개인정보보호 서비스의 포털, 수집·파기·모니터링 정보보호인증 등 전반적인 포털의 형태를 갖추고 싶다는 그림을 그리며 '개인정보'하면? 캐치시큐를 바로 떠올렸으면 좋겠다고 힘을 주어 말했다. 

 

정보보호 컨설턴트였던 조 대표는 반복되는 컨설팅 작업을 왜 사람이 계속 해야 하나라는 생각에서 출발, 서울창업허브의 예비창업자 과정 프로그램 ‘허브릿지(Hub-ridge)’에 사업 아이템인 ‘캐치시큐’를 지원했고 한 번에 선정되면서 2018년 오내피플을 만들었다.

 

◆  보안은 고객과 신뢰를 지키는 가장 기본적인 ‘약속’ 

조 대표는 결과물을 문서로 이야기해야 하는 컨설턴트를 5년간 하면서 회의감이 들었던 일은 보고서를 만들 때라고 꼽았다. 자신이 만드는 보고서가 부장 보고용인지, 임원인지, 대표인지에 따라 퀄리티가 달라지는데 이왕이면 임원, CEO까지 올라갔으면 하는 욕심이 생긴다고.

 

정보보호학을 전공한 조 대표는 기업 내 의사 결정하는 문서를 만들고 싶다는 갈증에 경영대학원을 갔고, 거기서 바라본 정보보호는 기술에만 그치는 게 아닌, 결국 비즈니스가 잘 되기 위해 어떤 투자와 예방 통제가 있어야 하는지에 대한 시야를 넓히는 계기가 됐다. 그는 “보고서가 임원까지 올라가지 못한다는 것은 비즈니스 의사결정 중 보안이 어느 정도 차지하고 있는지를 여실히 보게 됐다”고 말했다. 

 

불과 10년 전만 해도 보안은 비용이라는 생각이 강했다. 결국 회사의 보안 수준을 높일 수 있는 건 문서인데, 기업의 이해에 대한 것에만 초점이 맞춰졌었다는 것. 

 

조 대표는 “보안을 하는 회사는 수준이 올라가고 그에 대한 수혜는 개인, 고객들이 보게 돼 있어요. 고객한테 돈을 벌면서 정작 당연하게 생각해야 하는 보안의 영역은 투자 또는 비용으로만 비치는 부분에서 좀 괴리가 왔어요”라며 보안은 가장 기본적인, 고객과의 신뢰라고 강조했다. 

 

자기 생각과 현장과의 괴리를 발견하면서 ‘내가 무엇을 할 수 있지’라는 고민이 오내피플의 시발점이 됐다.

 

오내피플은 스타트업과 기업고객의 개인정보보호를 자동화하는 B2B 솔루션 캐치시큐를 만들어 운영하고 있다. 일반사람들에게는 다소 생소하게 다가오는 개인정보보호 시장은 이제 막 시작 단계라 규모가 크지 않다. 때문에 처음 시작도 만만치 않았다. 

 

조 대표는 “개인정보 자동화 서비스를 만들고 싶은 마음은 굴뚝인데 저를 비롯한 공통창업자 세 명은 모두 보안 컨설턴트 출신이다 보니 서비스 구현은 물론 개발, 기획, 세무 등 회사 운영에 필요한 모든 업무를 배워가면서 했어요.  회사의 필수 구성이 무엇인지 구체적으로 몰랐고, 각 영역을 모두 채용하려니 비용이나 사무실 등 현실적인 고민이 컸어요”라며 창업 초창기 순탄치 않았던 때를 떠올렸다.

 

이런 시기라면 매 순간이 포기하고 싶은 날의 연속이었을 것으로 짐작된다. 하지만 조 대표를 가다듬고 잡은 건 다름 아닌 팀원이었다. 그는 “당시에는 정말 포기하고 싶었죠. 콘셉트만 있던 서비스임에도 ‘누구나 알 수 있는 서비스로 만들고 싶다’고 말씀해주신 팀원이 큰 힘이 됐어요. 공동창업자 두 분이 나가고 회사에는 4명이 있었는데 그때 청년창업사관학교라는 지원사업에 참여하고 있는 중이어서 그 기간에 채용하신 분들의 급여는 줄 수 있었어요. 그래서 지원사업이 종료될 때까지만이라도 할 수 있는 건 다 해보자, 후회는 남기지 말자 싶었어요. 하루하루가 마지막이라고 생각하니 꼭 해내고 싶다는 생각이 점점 더 커졌고 과정에서 팀원들과 의기투합했죠. 얼마 뒤 최고기술경영자(CTO)도 모시고 메쉬업엔젤스(초기 스타트업 전문 투자사)의 투자도 받을 수 있게 됐어요”라고 전했다.

 

이런 과정을 통해 배움을 얻은 조 대표는 시장을 키우려면 업계 사람들과 함께 가는 게 중요하다고 강조했다. 그는 “‘빨리 가려면 혼자 가고, 함께하려면 같이 가라’고 하잖아요. 조직이나 시장도 다 같아요”라며 회사가 오래가려면 한 사람의 개인 성과, 일당백도 중요하지만 함께 갈 수 있는 문화를 만들고, 그 안에서 함께 가려는 응원과 지지도 상당 부분 차지한다고 말했다.

 

‘오늘보다 더 나은 내일을 만드는 사람들’이라는 의미를 담고 있는 오내피플은 현재 조 대표를 포함해 15명의 임직원이 일하고 있다. ‘나는, 우리는, 우리 서비스, 우리 회사는 오늘보다 더 나은가?’라는 생각으로 회사를 꾸려가는 조 대표는 오늘도 자신에게 이 물음표를 던진다.

오내피플 조아영 대표 사진=김두홍 기자 kimdh@sportsworldi.com

◆ 회원가입 동의 없는 개인정보보호 법 개정안 시행 

오내피플의 고객사를 단순 카운팅하면 1000곳이 넘는다. B2B라 고객사를 따로 발굴하진 않지만 소개받고 연락 오는 사람들이 많다고.

 

조 대표는 “고객사 대부분은 인바운드로 내부 인력으로 바쁘게 대응하고 있어요. 고객은 만족하면 떠나지 않는다고 생각한다”며 결국 ‘알아봐 줄 사람은 알아본다’라는 마음으로 임한다고 전했다. 곧 개인정보보호법도 개정되는데 이점이 괄목할만한 점이라며 희망적인 시장 상황을 설명했다. 

 

개인정보보호법 개정안은 지난 2월 국회를 통과했고 이달 15일 개정안 시행을 앞두고 있다. 개정되는 사항은  ▲정보통신 서비스 특례 정비(온·오프라인 서비스 사업자 구분 폐지) ▲정보주체의 권리 보장 강화 ▲글로벌 규제와의 정합성 확보 ▲개인정보보호 처리방침 평가제 등을 중심으로 변화가 이뤄진다. 내년 3월에는 2차 개정안이 시행될 예정이다. 

 

조 대표는 가장 대표적으로 달라지는 건 회원가입을 위해 개인정보를 쓸 때 (이용자의) 동의를 받지 않는 점을 꼽았다. 그는 “회원가입은 이미 가입 의사가 담겨있다는 의미예요. 앞으로는 계약체결이나 이행을 위한 영역에 개인정보가 수집되는 건 동의를 받지 않아도 되는 방향으로 바뀌는 것”이라고 설명했다. 

 

회원가입 시 개인정보 동의는 따로 없고, 이벤트를 참여하겠다고 하는 데에도 별도의 동의가 없어진다.  문의하기, 견적 요청하기 등 여러 영역에서 개인정보를 수집할 때 동의받았던 영역이 없어지는 것.

 

그러면 '동의를 받지 않고 개인정보를 마음대로 써도 된다'는 건지 의문이 든다. 이에 대해 "마음대로 쓰지 않게 하는 규제가 강화됐어요. 동의를 받지 않거나 근거 없이 개인정보를 처리했을 때 과태료 없이 매출액의 3% 과징금이 부과돼요"라며 "기업 입장에서는 동의가 없어져서 활용도 측면에서 활성화됐다고 보일 수 있지만, 동의를 받지 않고 개인정보를 처리했다는 것을 입증해야 할 책임은 상대적으로 커진 셈"이라고 말했다. 

 

개인정보 처리방침 평가제가 생기는 것도 주목된다. 그는 “개인정보 처리방침은 홈페이지에 항상 공개된 문서로 최신화되도록 규제화는 하고 있으나 이걸 직접 시정 명령하거나 개선권고 하는 게 이전에는 없었고 이제 생기는 것”이라고 말했다. 이 평가제가 시행되면 인터넷진흥원이나 개인정보보호위원회 등 감독기관이 직접 시정명령을 할 수 있게 된다.

 

개인정보보호와 관련해 보안의 문제 등이 발생하면 책임 소재는 누구에게 있는지도 중요하다. 그는 “고객사가 우리에게 충분히 설명하지 않은 부분은 고객사가 책임을 져요. 다행히 우리 고객사 중 문제 됐던 곳은 한 곳도 없어요. 캐치시큐는 툴을 제공하는 서비스로 툴에 입력되는 값이 정확하다고 보지 않아요. 동의서나 처리방침을 자동으로 만들 수 있는데 유저가 제대로 인풋을 입력하지 않으면 결과물이 나올 수 없죠. 알고리즘에 대해 보증은 하지만 입력값을 보증하진 않는다고 영역을 구분하고 있어요”라고 설명했다.

 

고객사와의 신뢰는 결과물로 쌓고 있다.  조대표는 “서비스 측면에서는 저희가 연구·개발한 자동화된 결과물이 개인정보보호법을 충분히 준수하는지를 법률 전문가와 관련 정부 기관과 소통하고 있어요. 시스템 보안성 관점에서는 암호화, 랜섬웨어 등의 보안통제와 더불어 개인정보보호관리체계, 클라우드 정보보호관리체계 등 개인정보 관리 자동화 서비스 최초로 총 네 건의 보안인증을 획득하고 매년 유지하고 있어요”라며 자신감을 내비쳤다.

 

이주희 기자 jh224@segye.com

[ⓒ 세계비즈앤스포츠월드 & segyebiz.com, 무단전재 및 재배포 금지]