작은 팀의 ISO 27001 — 인증 프로젝트가 *조직 변형 프로젝트* 인 이유
ISO 27001 인증을 *문서 작업* 으로 보고 시작하면 6개월 후 좌절. 인증은 *조직 운영 자체* 를 바꾼다. 작은 팀의 *현실적* 도입 가이드.
ISO 27001 인증 도입 — 작은 팀에 너무 큰가? 답 — 조건부 다. 문서 작업 으로 보면 너무 크지만, 조직 운영 변형 프로젝트 로 보면 적정.
이 글은 팀 30명 이하 의 startup 이 ISO 27001 도입을 현실적으로 진행하는 가이드.
ISO 27001 = 문서가 아닌 운영
ISO 27001 인증의 진짜 요건 — 다음 셋이 조직 운영의 일부 가 됨:
- 위험 평가가 분기 1회 자동 — 누가 어떤 위험을 평가했고 그 평가가 어디에 기록되어 있는가
- 사고 대응 절차가 연 1회 시뮬레이션 — 사고 가정 + 응답 + 사후 검토
- 접근 권한 검토가 분기 1회 — 모든 사용자의 모든 권한 을 분기마다 검토
이 셋이 문서가 아니라 운영 으로 박혀야 함. 인증서는 부산물.
작은 팀의 적정 범위
ISO 27001 의 모든 controls 를 작은 팀이 다 만족시킬 수 없음. 적정 scope 정의 가 첫 결정.
좁은 scope (권장): "CollabOps 의 SaaS 인스턴스 + 사내 dev 환경"
넓은 scope (피함): "회사 전체 모든 자산"좁은 scope = 낮은 인증 비용 + 운영 부담 ↓. 인증서가 좁은 영역만 적용되지만, 그 영역이 영업의 핵심 이면 충분.
6개월 도입 일정
1~2 개월 — Gap 분석
현재 운영의 어디가 ISO 27001 의 controls 와 안 맞는가 분석. 30명 팀이면 보통 60% 이미 만족 (코드 리뷰, MFA, 백업 등).
도구 — Vanta / Drata 같은 automated compliance platform. 비용 월 $500~1,500, 그러나 수개월의 인건비 절감.
3~4 개월 — 부족한 controls 채움
Gap 의 나머지 40% 채움. 보통 문서화 부족 (정책이 머릿속에 있고 글로 안 적힘) 또는 운영 절차 부족 (분기 검토를 해본 적 없음).
5 개월 — 내부 감사
외부 감사 전 우리가 직접 점검. 외부 감사관이 발견할 것 을 우리가 먼저 발견. 이 단계가 없으면 외부 감사에서 발견 = 인증 연기.
6 개월 — 외부 감사 (Stage 1 + Stage 2)
Stage 1 — 문서 / 운영 절차 검토. Stage 2 — 실제 운영 검증. 둘 다 통과 시 인증 발급.
비용
항목 | 비용
─────────────────────────────────┼─────────────────────
Compliance platform (Vanta 등) | $500~1,500 / 월 = $3,000~9,000 / 6개월
외부 감사 (Stage 1 + 2) | $8,000~15,000 (회사·국가별 다름)
내부 인건비 (담당자 0.3 FTE) | ~$30,000 / 6개월
─────────────────────────────────┼─────────────────────
총 | ~$45,000~55,000이게 최저 비용. 연 갱신 비용 은 절반 정도 ($20,000~30,000 / 연).
인증 후 — 더 비싼 부분
인증 발급 자체보다 유지 가 더 비쌈.
- 분기마다 위험 평가 (3~4 시간)
- 분기마다 접근 권한 검토 (전체 사용자 × 권한 = 시간 ↑)
- 연 1회 사고 대응 시뮬레이션 (1~2일)
- 연 1회 외부 surveillance audit
- 변경 시 즉시 갱신 — 새 도구 도입, 직원 변경, 인프라 변경마다
작은 팀에서 이 유지 부담 이 하루 0.5 시간 / FTE 정도. 30명 팀이면 주 75시간 = 거의 2 FTE 분. 도구 자동화로 줄이지만 0 으로 안 됨.
언제 도입하나
도입 신호:
- 첫 공공 / 금융 / 대기업 고객사 보안 검토에서 ISO 27001 또는 동급 인증 요구 받음
- 3 개 이상 의 잠재 고객이 같은 요구
- 이상적으로는 상위 enterprise 영업 시작 전 (인증 필요 시점에 손에 있음)
도입 비신호 — 팀이 작아서 부담 이라는 이유로 미루기. 위 신호가 있으면 팀 크기와 무관하게 도입.
누가 이 글을 읽으면 좋은가
지금 enterprise / 공공 / 금융 영업을 시작했고 첫 보안 검토 에서 ISO 27001 요구를 받은 작은 팀. 6개월 + $50,000 의 비용을 지금 결정 할지 6개월 후 결정 할지가 분기점. 신호가 있으면 지금 도입 이 거의 항상 답.
비슷한 글
폐쇄망에서 Zero Trust 가 *의미하는 것* — 모순처럼 보이는 답
Zero Trust 는 *경계 없음* 을 가정하고, 폐쇄망은 *경계 있음* 을 전제. 둘이 충돌하는 게 아니라 *경계 안에서도 zero trust* 가 답이다.
백재민
어떤 온프레 환경이든 들어가기 — CollabOps 가 보는 5가지 환경 분류
고객이 *k8s 가 없어도, 인프라 전문성이 없어도*, *기존 시스템이 무엇이든* 들어갈 수 있어야 한다. 17개 PoC 에서 본 온프레 환경 5분류와 각각의 도입 경로.
백재민
FIPS 140-3 컴플라이언스의 *엔지니어링* 비용 — 한 고객을 위해 6개월
한 미국 연방 고객을 위해 *FIPS 140-3 검증된 암호화* 만 쓰도록 시스템 전체를 다시 짠 6개월. 그 작업의 시간·돈·정치 비용.
백재민