티오리, AI 보안 제품 앞세워 국제 보안 인증 2종 확보

티오리가 정보보호와 클라우드 보안 국제 인증을 동시에 받음

• 획득한 인증은 ISO/IEC 27001:2022와 ISO/IEC 27017:2015임
• 한국인정기구 공인 인증기관을 통해 진행됐음
• 보안 회사가 “우리도 보안 잘함”을 말로만 하는 게 아니라, 외부 인증으로 증명한 케이스임

ISO/IEC 27001은 회사의 정보보호 관리체계를 보는 인증임

• 보안 정책, 위험 관리, 접근 통제, 사고 대응 같은 항목이 평가 대상임
• 제품 기능만 보는 게 아니라 조직이 보안을 어떻게 운영하는지를 보는 쪽에 가까움
• 글로벌 고객에게는 이런 인증이 보안 검토를 통과하기 위한 기본 자료가 되기도 함

ISO/IEC 27017은 클라우드 서비스 보안에 초점을 둔 표준임

• 클라우드 환경에서 데이터 보호와 가상화 보안 같은 추가 통제를 점검함
• 클라우드 기반 서비스를 제공하는 회사라면 27001만으로는 부족할 수 있는데, 27017이 그 빈칸을 보완함
• 티오리는 이 인증으로 클라우드 기반 AI 보안 서비스의 운영 체계를 공인받았다고 설명함

이번 인증은 티오리의 AI 보안 제품과도 연결됨

• AI 취약점 진단 플랫폼 ‘진트’와 대규모 언어 모델 보안 솔루션 ‘알파프리즘’이 언급됐음
• 대규모 언어 모델 보안 제품은 고객 입장에서 민감한 모델, 프롬프트, 데이터 흐름을 맡기는 영역이라 신뢰가 특히 중요함
• 그래서 인증은 단순 홍보 문구가 아니라 엔터프라이즈 영업에서 실질적인 체크리스트가 될 수 있음

티오리는 다음 인증 로드맵도 공개함

• 올해 하반기에는 SOC 2 Type 2와 CMMC 심사 완료를 목표로 함
• 내년 상반기에는 국내 정보보호 관리체계인 ISMS 인증 취득도 추진함
• 국내외 엔터프라이즈와 공공·방산 성격의 고객까지 겨냥하려면 꽤 자연스러운 순서임

개발자와 보안 담당자 입장에서 볼 포인트는 인증 이름보다 적용 범위임

• 인증이 회사 전체에 적용되는지, 특정 서비스에 적용되는지, 어떤 운영 환경이 포함되는지가 실제로 중요함
• 특히 AI 보안 제품은 모델 자체의 성능뿐 아니라 로그, 권한, 데이터 보관, 사고 대응 체계까지 같이 봐야 함
• 이번 소식은 티오리가 글로벌 고객 대응을 위한 컴플라이언스 체계를 쌓아가는 단계로 읽힘