채용 관리 스타트업 두들린, 벤처 혹한기 속 106억원 투자 유치한 비결은

정일권 두들린 CISO 인터뷰
목표는 ‘국제표준 정보보호 인증’

스타트업 투자 혹한기에도 경쟁력 있는 스타트업들은 여전히 투자 유치를 이어가고 있다. 기업 간 거래(B2B) 채용 솔루션 ‘그리팅’ 운영사 두들린도 그중 하나다. 두들린은 최근 106억원의 후속 투자를 유치했다고 밝혔다. 총 누적 투자 유치 금액은 159억원으로 늘어났다.

업계에서는 혹한기를 뚫어낸 비결에 주목한다. B2B 채용 솔루션의 경쟁력은 물론이고 독특한 행보도 투자 유치에 도움 됐다는 설명이다. 두들린은 창업 2년 만인 지난해 최고정보보호책임자(CISO)를 영입했다. 스타트업이 CISO를 지정하는 일은 흔치 않다. 신고 의무가 없기 때문이다.

두들린이 CISO를 영입한 건 차별화된 경쟁력 때문이다. 고객사와 채용 지원자의 정보를 높은 수준으로 관리한다는 점을 강조한 것이다. 최근에는 한국인터넷진흥원(KISA)이 운영하는 ISMS 인증까지 획득, ‘정보, 보안 사고 걱정 없는 안전한 서비스’ 브랜드 이미지를 강화하고 있다. SK쉴더스, 쿠팡, 홈플러스를 거쳐 지난해 두들린에 합류한 정일권 CISO를 만나 자세한 얘기를 들었다.

다음은 일문일답.

정일권 두들린 CISO

Q. 두들린과 ‘그리팅’ 서비스를 소개한다면.

A. 그리팅은 채용 공고부터 합격 통보까지 ‘채용 전체 과정’을 통합 지원하는 채용 관리 솔루션이다. 서비스를 출시한 지는 1년 정도 됐는데 KT, 넥슨, SSG, 쏘카, 카카오스타일 등 3000여개에 달하는 고객사와 협업 중이다.

Q. CISO는 조직에서 어떤 분야를 책임지는지 궁금하다.

A. 회사에서 다루는 정보와 개인정보뿐 아니라 직원, 자산 등 모든 부분에서의 보안을 책임지고 있다. 정보보호 관리부터 물리 보안 영역까지 보안 전반을 담당한다. 예를 들면 연간 정보보호 계획을 수립, 수행하고 개선할 점을 찾아 다음 해 계획에 반영한다. 조금 더 범위를 넓히면 통제구역 출입 기록 관리도 CISO가 관리한다.

Q. SK쉴더스, 쿠팡, 홈플러스 등 대기업들을 거쳤다. 초기 스타트업인 두들린에 합류한 배경이 궁금하다.

A. 다양한 업종과 규모의 회사를 경험해보니, 이미 정보보호 관리 체계가 수립돼 잘 운영되는 회사들보다는 초기 스타트업에 합류하는 게 개인적 만족도가 높을 것 같았다. 초기부터 정보보호 관리 체계를 전담해서 수립할 수 있고, 사내 보안 문화를 만들어갈 수 있다고 생각했기 때문이다.

Q. 현재 직원 수가 40여명인데 CISO를 별도로 두고 있다.

A. 보안, 특히 개인정보 보호에 대한 경영진의 의지가 큰 것으로 알고 있다. 그리팅은 B2B SaaS 비즈니스라 개인정보가 별도로 없을 것이라고 생각할 수 있다. 하지만 기업 채용 관리를 돕는 솔루션이기에 기업에 지원하는 수백, 수천 명의 지원자 개인정보를 보호해야 한다. 기업에 유입되는 다양한 지원자들의 개인정보를 안전하게 보호하기 위해 CISO라는 직책을 만들었다고 생각한다.

Q. 성장하기 바쁜 스타트업도 CISO가 꼭 필요할까.

A. 스타트업뿐 아니라 대부분 기업에서 성장과 생존이 우선된다. 경영진 관점에서는 “보안에 대한 투자는 비효율적이다”라는 부정적 인식도 존재한다.

하지만 초기 스타트업 단계에서도 개인정보 이슈는 끊임없이 발생한다. CISO까지는 아니더라도 보안담당자는 필수로 있어야 한다. 보안 담당자 시각으로 회사 규모나 대외 컴플라이언스 상황에 맞게 프로세스를 검토하고 개선하는 과정이 필요하기 때문이다. 시스템이나 서비스가 커지기 전에 개인정보 수집 동의, 저장, 처리, 파기 등을 대비하지 않는다면 향후 더 큰 부담이 생길 수도 있다. 추후 조치도 어렵고, 회사의 대외 신뢰도에 큰 타격을 입을 수 있기 때문에 보안 담당자는 꼭 필요하다.

Q. CISO는 CTO와 갈등을 겪을 수밖에 없는 직책이다. 통상 CTO는 성장 속도를 중요하게 여기지만, CISO는 천천히 가더라도 ‘안전성’을 중요시한다고 들었다.

A. 두들린은 아주 빠르게 달리고 있는 레이싱카다. 이게 가능한 건 CTO와 개발팀 역량 덕분이다. 두들린이라는 레이싱카가 느려지는 걸 원하지 않는다. 속력을 줄이지 않으면서도 보안을 강화하기 위해 CTO와 함께 다양한 방식으로 논의하고 있다. 보안 개선 조치 시기, 방법 등을 CTO와 협의하는 방식으로 마찰을 줄이면서도 빠르고 안전하게 달리고 있다.

Q. 최근 ISMS도 획득했다. 앞으로 목표가 있다면.

A. ISMS는 이태규 두들린 대표의 제안이었다. 지원자의 개인정보를 안전하게 보호하고, 고객사 신뢰도 확보 방안으로 ISMS-P 인증을 받자는 것이었다. 사실 인증 준비 과정도 힘들고, 기간도 촉박했기 때문에 어려움이 컸다. 그래도 경영진이 직접 나서서 정보보호에 대한 의지를 보여준다는 생각이 들었다. 내심 기분도 좋았다. 두들린에 합류한 이후 컨설팅을 수행하며 인증 획득을 준비했고, 지난해 10월 ISMS 인증 최초 심사를 마쳤다.

올해는 국제 인증 심사를 목표로 하고 있다. 국제표준화기구(ISO)가 제정한 정보보호경영시스템(ISO 27001) 인증과 개인정보보호경영시스템(ISO 27701) 인증을 획득해 회사 보안 수준을 더 강화하고 싶다. 개인정보, 정보보호에 민감한 금융사와 여러 대기업, 중소기업을 대상으로 서비스 안전 신뢰도를 높이는 게 올해 목표다.

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]