"소중한 내 정보, 얼마나 돌아다니고 있는지 아세요?"

개인정보 보호 솔루션 ‘캐치시큐’ 개발기
창업 기업은 한 번쯤 자금 부족에 시달리는 등 큰 시행착오를 겪는 ‘데스밸리(죽음의 계곡)’를 지납니다. 이 시기를 견디지 못하면 아무리 좋은 기술력, 서비스를 갖고 있다고 해도 생존하기 어려운데요. 잘 알려지기만 하면 시장에게 좋은 반응을 얻을 수 있는 중소기업이 죽음의 계곡에 빠지게 둘 순 없습니다. 이들이 세상을 바꿀 수 있도록 응원합니다.
오내피플의 조아영 대표./ 더비비드

‘개인정보는 공공재’라는 농담이 있다. 스팸 문자를 받는 건 일상이다. 정보보호 컨설턴트로 근무했던 오내피플의 조아영 대표(37)는 이런 현실이 못내 안타까웠다. 개인정보의 진짜 주인인 정보 주체에게 권리를 돌려주고 싶었다. 개인정보 보호 솔루션 ‘캐치시큐’를 개발한 계기다. 조 대표를 만나 그가 발견한 해법을 물었다.

◇개인정보 수집 동의서와 처리방침 문서 자동화 아이디어로 출발

조아영 대표는 정보보호 컨설턴트 출신이다. /오내피플

조 대표는 정보보호학을 전공한 후 정보보호 컨설턴트로 근무했다. “정보보호 컨설턴트는 고객사의 개인정보 관리 현황을 확인해서 분석하고, 개선방안과 앞으로의 마일스톤을 세워주는 일을 합니다. 적성에 잘 맞았어요. ‘규제를 준수했다, 준수하지 않았다’ 명확한 근거를 토대로 의사결정을 하면서 2단계 인증, 이메일 인증, OTP등 다양한 수단을 동원할 수 있어서 재미있었죠. 안전함이라는 틀 안에서 다양한 해법을 찾을 수 있으니까요.”

2018년 퇴사하고 정보보호 관련 책을 쓸 참이었다. 이때까지만 해도 창업 생각은 없었다. “당시만해도 정보보호 관련 직업이 보편적이지 않아서 관련 입문서가 없었어요. 저 역시 하나하나 찾아가면서 공부하고 일을 배웠죠. 병아리 시절의 관점을 소환해 출간 준비를 하려던 찰나에 창업한 친구를 만났어요. 그때 친구에게 정보보호 컨설턴트로 일할 때 느꼈던 문제점들을 말했는데요. 아이디어를 창업 공모전에 내보라고 하더라고요.

개인정보 수집 동의서와 처리방침 문서 자동화 아이디어였다. 이 아이디어로 서울경제진흥원(SBA) 예비창업가과정에 선정됐다. “컨설턴트의 업무 대부분이 단순 반복 작업입니다. 담당하는 기업의 개인정보 처리 현황을 조사해서 이를 문서화하는 일이 큰 비중을 차지했죠. 이 업무를 자동화하는 것을 목표로 출발했습니다.”

◇개인정보 수집, 관리, 파기까지 한 데 모은 솔루션

(왼쪽부터) 캐치시큐 정보 수집 화면, 개인정보 관리 대시보드. /오내피플

2018년 오내피플 법인을 설립하고 서비스형소프트웨어(SaaS) 서비스 '캐치시큐'를 개발했다. 개인정보 수집, 활용 범위 식별 및 위험 분석 등의 과정을 자동화해 주는 서비스다. 캐치시큐 내에 개인정보 수집, 이용 동의서를 쉽게 생성할 수 있는 ‘캐치폼’도 만들었다. “설문지를 만들고 이름, 전화번호 등 항목을 입력하면 설문 속에서 개인정보 동의가 필요한지, 고의식별동의가 필요한지 등을 AI가 판단합니다. 주민등록번호처럼 민감한 개인정보를 수집해도 AI가 규제에 딱 맞는 동의서를 자동으로 생성하죠. QR 코드, URL, API로 쉽고 간편하게 개인정보 수집 양식을 구성할 수 있습니다.”

문서 자동화로 출발했지만 개인정보 관리 영역까지 확대하기로 했다. “오직 개인정보 수집만을 목표로 일하는 사람은 없어요. 이벤트, 프로모션이라는 상황이 있고 그 상황에 필요한 수단으로서 개인정보를 수집하는 것이죠. 대기업처럼 큰 회사는 잘 구축된 시스템을 활용하지만 규모가 작은 기업은 그럴 수가 없어요. 포털 사이트에서 제공하는 설문조사 폼을 이용해야 하죠. 담당자 개인 계정으로 만든 폼으로 정보의 경우 관리도 개인의 몫이 됩니다. 개인정보가 쉽게 유출될 수 있는 구조죠.”

조 대표는 크고 작은 개인정보 유출사고가 잦다고 강조했다. /더비비드

실제로 크고 작은 개인정보 유출사고는 비일비재하게 발생한다. “담당자가 악의로 그런 건 아닐 겁니다. 개인정보를 가장 많이 수집하는 직무 중 하나가 마케터인데요. 마케터의 본분이 정보보호는 아니잖아요. 몰라서 이행하지 못한 건 잘못이 아니에요. 저희 서비스를 통해 개인정보도 철저한 관리 대상이란 걸 알려주고 싶었어요. 수집한 개인정보를 암호화하고, 접근을 통제하고, 누가 언제 열람했는지 로그를 기록하는 기능을 추가했어요. 이용목적을 달성하면 파기까지 하죠. 저희 폼에 정보를 제공한 개인은 자신의 동의 이력을 조회하고, 처리할 수 있습니다. 정보의 소유권을 개인에게 돌려주는 것이죠.”

개인정보 처리현황을 일관되게 관리하는 게 관건이었다. “캐치시큐에서 캐치폼을 만들면 동의서가 생기고, 각각의 처리방침에 반영이 됩니다. 처리방침에는 개인정보 수집의 목적, 주요 항목, 문제 시 대응 방법 등이 들어가는데요. 여기 들어가는 내용이 수시로 바뀌기 때문에 시시 각각 업데이트해서 공유해야 합니다. 문제는 정보 업데이트 시점과 변동 사항 공개 시점이 다르다는 점이에요. 둘의 싱크를 맞추는데 주안점을 뒀습니다. 지금도 가장 신경 쓰는 부분입니다. 개인정보 수집 동의서 자동화 서비스는 어렵지 않게 만들 수 있어요. 하지만 그 뒷단의 데이터를 연결하고, 개인정보 보호까지 아우르는 작업은 누구나 쉽게 따라할 수 없는 부분입니다. 팀에 정보보호 컨설턴트 출신의 팀원이 4명이나 있었기에 가능한 작업이었죠.”

한 박람회 현장에서 캐치시큐를 설명하고 있는 오내피플 직원들. /오내피플

지금처럼 매끄럽게 구동하는 솔루션을 개발하기까지 많은 시행착오가 있었다. “지금 버전은 2022년에 출시한 것인데요. 그때까지 총 네 번의 대대적인 업데이트를 거쳤습니다. 그 사이에 정말 많은 사건이 있었어요. 서비스 확장이 불가능해서 버리고, 개발자가 도망가서 프로젝트를 중단했어요. 개발자가 개인정보 수집 동의서와 처리방침을 구분할 줄 몰라서 처리방침 자동화 서비스만 만들어 낸 적도 있죠. 모두 참고할만한 서비스가 없어서 벌어진 일입니다. 장님이 코끼리 다리를 만지듯 만들었어요. 달리 보면 우리나라에서 유일무이한 형태의 서비스를 저희가 개발한 겁니다.”

◇'이 회사 개인정보 관리 허술하다' 퇴사자 신고 받지 않으려면

조 대표는 캐치시큐가 단순 설문조사 서비스가 아니라고 말했다. /더비비드

창업 초기에 투자자로부터 ‘타깃을 잘못 선정한 것 같다’는 혹평을 받았다. 스타트업처럼 규모가 작은 조직은 개인정보 보호에 시간과 비용을 쏟을 유인이 없다는 이유였다. 하지만 코로나 팬데믹을 기점으로 개인정보에 대한 사람들이 인식이 달라졌다. 2010년대 후반만 해도 개인정보 침해 사고가 발생해도 아무 대응을 하지 않았던 사람들이 이제는 문제를 일으킨 기업의 홈페이지를 탈퇴하거나 민원을 넣는 등의 적극적인 행동을 한다. 개인정보 보호는 큰 기업이나 작은 기업이나 꼭 준수해야 하는 미덕으로 자리매김했다. 시장이 오내피플에게 유리한 방향으로 재편되고 있는 것이다.

서비스의 참신함과 필요성을 인정받았다. 2022년 개인정보 보호·활용 기술개발 스타트업 챌린지에서 최우수상을 받았다. 2023년에는 과학기술정보통신부의 우수 정보보호 기술 서비스로 지정됐다. 지난 5월에는 은행권청년창업재단(디캠프)의 창업 경진대회 디데이 본선에 진출했다. 기업 보안 담당자들 사이에서 일 손을 덜어주는 서비스로 입소문이 났다. 공공기관, 대기업, 스타트업, 해외 서비스, 헬스장 프랜차이즈 등 다양한 유형의 조직을 고객사로 유치했다. 특히 이벤트, 마케팅 대행 기업에서 인기가 많다.

조 대표는 캐치시큐가 단순 설문조사 서비스가 아니라고 강조했다. “저희는 개인정보 관련 규제를 준수할 수 있도록 도와주는 개인정보 보호 서비스입니다. 캐치시큐를 이용하는 기업은 전문 지식 없이도 개인정보를 제도에 맞춰 편리하게 관리할 수 있어요. 또한 관련 시스템에 구축하는 비용과 시간을 획기적으로 아낄 수 있죠. 정보의 주체인 개인은 기업이 내 정보를 어떻게 관리하는지를 직접 조회하고, 철회할 수 있어서 개인정보 유출 위험을 줄일 수 있어요. 개인정보의 주인은 개인입니다. 기업의 규모와 상관없이 정보 주체들의 권리를 신장하는 것, 그게 저희의 존재 이유입니다.”

오내피플 임직원 단체사진. /오내피플

당면한 과제는 회사 덩치를 키우는 것이다. “얼마전 정보 보안 솔루션 전문 기업 잉카인터넷과 업무 협약을 맺었습니다. 잉카인터넷의 엠프로텍트 솔루션을 적용하면 캐치폼에 입력한 데이터를 안전하게 보호하고 개인정보 유출을 사전에 방지할 수 있어요. 이번 사례처럼 정보보안 기업과 손을 잡고 보안 포털 기업으로 성장할 계획입니다. 이 산업의 성장세는 무궁무진해요. 예컨대, 공공기관 업무를 입찰 받기 희망하는 기업들은 보안 요구사항을 준수해야 합니다. 개인정보 보호가 기업 성장을 위한 필수 절차가 될 것이죠. 개인정보 보호를 당연하게 여기는 세상을 앞당기는 데 기여하고 싶습니다.”

개인정보 유출 사고는 사소한 틈에서 발생하는 것이라고 세번, 네번 강조했다. “설문조사 폼을 개인계정으로 관리했던 직원이 있을 경우, 그 사람의 퇴사와 함께 과거 수집한 개인정보가 유출된다고 보면 됩니다. 직원이 파기하려고 해도 회사에서 막는 경우도 있어요. 전 직원이 ‘개인정보 관리가 허술하다’며 떠난 직장을 신고하는 일도 잦아요. 결국 기업이 잘해야 합니다. 개인들은 어디서부터 유출됐는지 몰라요. 그게 가장 큰 문제죠. 예전에는 기업들에게 겁을 주는 공포 마케팅을 했는데요. 이제는 동반자가 되려 합니다. 바쁘고, 여력이 없는 기업들의 궂은 일을 대신할게요. 개인정보 보호, 어떻게 해야 할지 모르겠다면 캐치시큐를 찾아주세요.”

/진은혜 에디터