에이아이트릭스, ISO 27001·27701 인증 획득… IS팀이 만들어가는 '신뢰의 구조'

안녕하세요, 에이아이트릭스입니다 😄

의료 인공지능(AI) 기업에게 ‘보안’은 기술만큼이나 중요합니다.

 

에이아이트릭스는 올해 국제 표준인 ISO/IEC 27001과 ISO/IEC 27701 인증을 획득하며 보안 수준을 한층 더 높였는데요.

이 모든 과정의 중심에는 에이아이트릭스 정보보호팀이 있었습니다.

 

정보보호팀 인터뷰를 통해 ISO/IEC27001·27701 인증의 비하인드 스토리와,

그 이후 회사 안에서 일어나고 있는 변화에 대해 들어봤습니다! 🎤

 

---

 

 

 

 

Q. 안녕하세요. 간단한 인사와 자기소개 부탁드립니다. 정보보호팀에서는 구체적으로 어떤 일을 하나요?

 

 정호, 용준  안녕하세요. 에이아이트릭스에서 정보보호 업무를 맡고 있는 박정호, 최용준입니다. 저희는 회사의 보안 체계를 전반적으로 관리하고, 의료 인공지능(AI) 서비스가 안전하게 운영될 수 있도록 환경을 만드는 일을 하고 있어요.🔒

 

의료 AI 솔루션은 데이터가 들어오는 순간부터 모델이 배포되고 운영되기까지 과정이 복잡해요. 그래서 정보보호팀은 데이터 흐름 전체를 설계하고, 위험 요소를 사전에 막을 수 있는 구조를 만드는 것을 가장 중요한 역할로 보고 있습니다. 데이터 저장 방식, 접근 권한, 로그 관리, 서비스 배포 전 보안 점검, 내부 보안 교육, ISO 같은 외부 인증 대응 등 ‘보안’이라는 이름 아래 있는 대부분의 흐름을 팀에서 총괄한다고 생각하시면 돼요.

 

보안은 한 번 구축하면 끝나는 일이 아니에요. 제품과 회사가 성장하는 속도에 맞춰 계속 고도화해야 하기 때문에, 팀 모두가 ‘보안이 자연스럽게 지켜지는 구조’를 만드는 것을 목표로 하고 있습니다.

 

 

Q. 특히 의료 데이터를 다루는 회사라면 정보보호팀의 역할이 더 클 것 같은데요. 의료 AI 기업에서 보안이 특별히 더 중요한 이유가 있을까요?

 

 정호  의료 분야는 본질적으로 민감한 정보를 다루기 때문에 기술의 정확도만큼이나 데이터 수집부터 저장까지 전 과정에서 안전하게 관리되는 구조가 필요합니다.

 

또 의료 AI는 제품마다 접근 방식과 운영 환경이 달라서 보안 요구사항도 함께 달라져요. 제품 자체의 구조를 고려한 설계가 이루어져야 실제 의료 환경에서 안정적으로 사용할 수 있고, 그런 면에서 의료 AI 기업은 다른 산업보다 훨씬 높은 보안 기준을 유지할 수밖에 없다고 생각해요. ⛓️

 

 용준  저희 솔루션을 보면 그 차이가 더 명확하게 와닿으실 거예요. 우선 AITRICS-VC(바이탈케어)는 병원 내부 시스템과 연동돼 운영되는 솔루션이에요. 그래서 접근 경로는 상대적으로 제한적이지만, 입원환자에게 수집되는 생체신호와 혈액검사 결과처럼 의료진의 의사결정에 바로 연결되는 데이터를 다루기 때문에 단 한 건의 유출도 치명적일 수 있습니다. 🤕 그래서 병원 내부망, 저장 방식 등 모든 구간에서 보안 기준이 정교하게 적용돼야 해요.

 

반면, V.Doc(브이닥)은 의료진과 환자가 각기 다른 환경에서 접속하는 솔루션이에요. 병원 PC, 모바일 기기, 브라우저 등 접근 경로 자체가 다양하다 보니, 그만큼 공격 표면도 넓어지죠. 이런 환경에서는 단순한 네트워크 보안만으로는 부족하고 사용자 인증, 통신 구간 암호화, 세션 관리 등 제품 전반에 걸쳐 다층적인 보안 설계가 필요합니다.

 

결국 의료 AI에서 보안이 중요한 이유는 민감한 데이터를 다루는 특성과 제품 구조에서 오는 리스크가 동시에 존재하기 때문이에요. 그래서 솔루션의 특징에 맞는 보안 기준을 세우고, 그 기준을 제품 전체에서 일관되게 유지하는 것이 의료 AI의 신뢰를 만드는 핵심이라고 생각합니다. 

 

 

Q. 그렇다면 의료 AI 기업으로서 내부에서는 보안 인식을 확산하기 위해 어떤 노력을 하고 있나요?

 

 정호  보안은 사실 정보보호팀 혼자 할 수 있는 일이 아니에요. 대부분의 보안 정책은 여러 팀의 협조가 있어야 하거든요. 그런데 ‘보안’이라는 단어가 주는 거리감 때문에 처음에는 “이걸 꼭 해야 하나요?” 같은 반응도 많았어요. 그래서 좀 더 자주, 흥미롭게 참여할 수 있는 방식을 고민하다가 두 달에 한 번씩 실제 사례를 바탕으로 한 보안 퀴즈 캠페인을 시작했습니다.

 

의외로 반응이 정말 좋아요. 문제를 직접 내보겠다는 하는 분들도 있고, 퀴즈 난이도에 대해서 후기를 들려주시는 분들도 많아요. 이런 과정을 거치면서 구성원들이 보안을 남의 일이 아니라 내가 지켜야 하는 일로 조금씩 받아들이는 걸 느껴요. 저희도 그 반응이 제일 반가워요. 이런 참여형 프로그램을 통해서 정보보호팀이 ‘규제하는 부서’가 아니라 ‘같이 문제를 해결하는 팀’으로 인식되면 좋겠어요. 🤗

 

 용준  보안은 경험으로 익혀야 오래가요. 그래서 피싱 메일 형태의 모의훈련도 주기적으로 진행하고 있어요. 실제 공격 시나리오처럼 메일을 보내고, 얼마나 많은 분들이 클릭했는지 데이터를 분석해요. 어떤 상황에서 취약한지를 파악해서 교육 방향을 조정하고 시스템적으로 보완하는 거예요.

 

구성원들이 보안을 ‘의무’가 아니라 ‘습관’으로 인식하도록 앞으로는 이러한 참여형 프로그램을 더 다양하게 확장해서, 보안이 회사 문화 속에 자연스럽게 녹아들도록 만들 계획입니다.

 

 

 

 

Q. 최근 ISO/IEC 27001·27701 인증을 획득하셨다고 들었어요. 어떤 과정을 거쳐 준비하셨나요?

 

 정호  ISO/IEC 27001·27701 인증은 최근에 진행했던 가장 큰 프로젝트 중 하나예요. ISO/IEC 27001은 기업의 정보보호 관리체계를, ISO/IEC 27701은 개인정보보호 체계를 국제 표준에 맞게 갖추고 있는지를 평가하는 인증이에요.📝 특히 의료 AI처럼 민감한 데이터를 다루는 회사라면 이 두 가지 인증은 사실상 기본 조건에 가까워요.

 

제가 처음 회사에 왔을 때만 해도 회사의 보안 체계에 기본적인 장치는 있었지만 전체적인 기준이나 구조가 정리되어 있지는 않은 상태였어요. 필요할 때마다 급하게 솔루션을 도입하거나, 위험 요소가 보이면 그때그때 대응하는 방식이 반복되다 보니 단기적으로는 해결이 되더라도 장기적으로는 안정적인 체계를 만들기 어렵겠다는 판단이 들었습니다.

 

저희가 다루는 데이터가 의료 정보인 만큼, 문제가 생기기 전에 먼저 기준을 만들어두는 것이 무엇보다 중요했어요. 의료 AI 솔루션은 데이터가 오가는 단계가 길고, 여러 팀이 동시에 참여하기 때문에 각 단계마다 필요한 보안 수준과 책임 범위를 명확히 해야 했고, 회사 차원의 통합된 관리체계가 있어야 했어요. 그래서 국제 표준에 기반한 관리체계가 필요하다는 판단으로 ISO/IEC 27001·27701 인증을 준비하게 됐습니다.

 

 

Q. ISO/IEC 27001·27701 준비 과정이 쉽지는 않았을 것 같은데요. 전체적으로 어떻게 진행됐고, 그 안에서 어떤 순간이 가장 어려웠는지 궁금해요.

 

 정호  먼저 회사가 어떤 흐름으로 서비스를 운영하고 있는지부터 다시 들여다봤어요. 바이탈케어는 병원 내부망에서 돌아가고, 브이닥은 다양한 환경에서 접속하는 구조라 데이터가 어디서 생성되고 어떻게 이동하는지, 누가 어떤 경로로 접근하는지 하나씩 정리해야 했습니다. 각 팀이 따로 관리하던 문서나 절차도 모아서 하나의 기준으로 묶는 작업을 같이 진행했어요. 심사 기준에 맞춰 필요한 문서들을 채워 넣고, 각 단계에서 우리가 어떤 방식으로 대응하고 있는지 근거를 만들면서 차근차근 정리해갔죠.

 

그리고 심사 첫날에는 회사와 관련된 이해 관계자들이 정보보호 관리 체계 관점에서 요구하는 사항들을 정리하라는 요청이 있었는데, 정말 당황스러웠어요. 전혀 예상하지 못했던 부분이라 준비가 전혀 되어 있지 않았거든요. 이 문서가 없으면 다음 단계로 넘어갈 수 없다는 말에 그날 거의 밤을 새우다시피 해서 초안을 만들었어요. 내부 직원, 개발자, 의료진, 병원 고객, 파트너사까지 생각해보면 모두 회사를 둘러싼 사람들이었는데 그걸 문서로 정리해본 건 처음이었어요.

 

 용준  심사가 진행되면서 거의 모든 팀이 인터뷰에 참여했어요. 개발, 운영, 임상, 세일즈, 마케팅, HR, GA까지 팀마다 일하는 방식도 다르고 사용하는 시스템도 달라서, 기준에 맞게 설명하고 증빙을 준비하는 데 꽤 시간이 걸렸어요. 하지만 그 과정이 오히려 우리가 실제로 어떻게 일하고 있는지 다시 정리하는 시간이 되기도 했습니다. 심사 과정에서 이 부분을 조금만 더 보완하면 체계가 더 단단해지겠다는 인사이트도 얻었고요. 💡

 

ISO/IEC 27001·27701 인증을 받는 과정이 쉽지만은 않았지만, 지나고 보니 그 덕분에 우리가 어떤 기준으로 일하고 있는지 모두가 같은 방향을 보고 있다는 게 크게 느껴져요.

 

 

Q. 이번 ISO/IEC 27001·27701 인증이 갖는 의미와 기대하는 변화가 있다면요?

 

 정호  이번 ISO/IEC 27001·27701 인증이 갖는 의미는 단순히 보안 인증을 하나 더 취득한 것에서 끝나지 않아요. 우리 회사가 앞으로 만들어갈 서비스의 방향과 연결돼요. 의료 데이터를 다루는 기업에게 ISO는 국내뿐 아니라 해외 기관과 협업할 때 기본적으로 요구되는 기준이거든요.

 

그래서 이번 인증을 통해 에이아이트릭스가 어떤 방식으로 정보를 보호하고 있는지 외부에서도 명확하게 확인할 수 있게 되었고, 앞으로 새로운 병원이나 파트너와 프로젝트를 논의할 때 신뢰 기반을 더 쉽게 만들 수 있을 거라고 기대하고 있어요.

 

 용준  내부적으로 기대되는 변화도 분명 있어요. ISO/IEC 27001·27701는 특정 팀만 포함되는 게 아니라 조직 전체가 함께 유지해야 하는 구조다 보니 업무를 계획하거나 제품을 개발할 때 보안을 바라보는 기준이 조금씩 더 선명해질 거라고 생각해요.

 

앞으로 이번 인증으로 만든 정보보안 기반이 우리 일하는 방식 안에 자연스럽게 스며들도록 만드는 게 목표예요. 각 팀과 함께 일의 흐름 속에서 보안 기준을 자연스럽게 적용할 수 있게 조금씩 환경을 다듬어 나가려고 합니다. 서비스가 커질수록 필요한 보안 수준도 높아지기 때문에 앞으로 제품 구조를 더 안정적으로 다듬는 작업도 계속될 거고요. 이런 변화들이 쌓이면 에이아이트릭스의 서비스 전반이 더 신뢰도 높은 방향으로 성장할 거라고 생각합니다. 💪

 

 

 

 

Q. 마지막으로, 함께 일하는 구성원들에게 전하고 싶은 메시지와 앞으로 준비하고 있는 계획이 있나요?

 

 용준  보안 업무는 요청을 드리고 협조를 구해야 하는 일들이 많아요. 예를 들어 개발팀의 서버 취약점을 점검하거나, 각 부서의 시스템을 검토하는 과정이 그런 경우죠. 그런데 저희 임직원들은 정말 이런 요청에 적극적으로 도와주시는 분들이 많아요. 다들 본연의 업무가 바쁘신데도 적극적으로 협조해주시고, 같이 고민해주시는 모습이 너무 감사했어요.

 

보통 정보보호팀이 요청하면 번거롭다고 생각하기 쉬운데, 에이아이트릭스는 협력적인 분위기가 정말 잘 자리 잡혀 있다고 느껴요. 이 관계가 오래오래 이어졌으면 좋겠습니다.

 

 정호  저도 동감해요. 에이아이트릭스에서 일하면서 오히려 먼저 "이건 저희가 해볼게요"라고 나서주시는 경우가 많아 정말 새롭고 감사했어요. 이번 ISO/IEC 27001·27701 인증도 결국 모든 팀이 함께 만든 결과라고 생각해요. 이런 협력 문화를 기반으로 앞으로도 더 단단한 보안 체계를 만들어가고 싶습니다.

 

이제는 다음 단계 준비에 들어가고 있어요. 미국 시장에서는 의료 데이터 보호를 위한 HIPAA(Health Insurance Portability and Accountability) 규정 준수가 필수이기 때문에, 해당 기준에 맞춰 보안 체계를 확장하고 관련 인증 절차를 진행할 예정이에요. ISO/IEC 27001·27701에서 구축한 관리 체계를 기반으로 HIPAA까지 이어지면, 우리 회사가 해외 병원이나 기관과 협력할 때 한층 더 안정적이고 신뢰받는 파트너로 자리 잡을 수 있을 거라고 생각합니다. 🚀

 

---

 

이번 인터뷰를 통해 보안은 특정 부서만의 일이 아니라,
조직 전체가 함께 만들어가는 문화라는 점을 다시 확인할 수 있었습니다.

더 안전한 데이터 관리와 신뢰할 수 있는 의료 AI 서비스를 위해
정보보호팀은 앞으로도 각 팀과 긴밀하게 협력하며 체계를 지속적으로 강화해나갈 예정입니다.

에이아이트릭스가 만들어갈 더 단단한 보안 문화,
그리고 그 위에서 성장할 의료 AI 서비스들을 기대해주세요! 🙌