[티로] ISO/IEC 27001:2022 인증 취득 안내

티로가 지난 6월 4일 국제 정보보호 표준인 ISO/IEC 27001:2022 인증을 취득했습니다.

티로는 내부 회의, 고객과의 미팅과 같이 중요한 데이터를 다루는 서비스인 만큼, 처음 만들 때부터 고객 데이터를 안전하게 보호하는 것을 가장 중요한 기준으로 삼아왔습니다.

이번 인증은 티로가 지켜온 보안 원칙과 정보보호 관리체계가 국제 표준 기준으로 검증받은 결과입니다.

중요한 데이터를 다루는 티로의 원칙

회의를 기록한다는 것은 단순히 음성을 텍스트로 바꾸는 일이 아닙니다. 그 안에는 조직의 의사결정, 고객과의 대화, 내부 논의, 앞으로의 계획이 담깁니다.

그래서 티로는 빠르고 정확한 회의록을 제공하는 것 이상으로, 고객의 데이터가 안전하게 다뤄지는 것을 중요하게 생각해왔습니다.

티로는 제품 초기부터 권한 관리, 데이터 암호화, 음성 데이터 폐기, 시스템 접근 통제 등 고객 데이터를 보호하기 위한 원칙을 서비스 운영 전반에 반영해왔습니다.

ISO/IEC 27001:2022 인증이 의미하는 것

ISO/IEC 27001:2022는 조직이 정보보안 리스크를 체계적으로 관리하고 개선하기 위한 정보보호 관리체계, 즉 ISMS에 대한 국제 표준입니다. ISO 공식 설명에 따르면 ISO/IEC 27001은 ISMS가 충족해야 하는 요구사항을 정의하고, 정보보호 관리체계를 수립·운영·유지·개선하기 위한 기준을 제공합니다.  

이 인증은 단순히 보안 문서를 갖췄다는 의미가 아닙니다. 서비스를 개발하고 운영하는 방식, 시스템 접근 권한을 관리하는 방식, 구성원이 기기와 정보를 다루는 방식, 그리고 보안 리스크를 식별하고 개선하는 과정이 실제로 운영되고 있음을 독립적인 심사를 통해 확인받는 절차입니다.

티로는 이번 인증을 통해 고객 데이터를 보호하기 위한 정보보호 관리체계가 ISO/IEC 27001:2022 기준에 부합함을 확인받았습니다.

티로가 고객 데이터를 보호하는 방식

1. 음성·데이터 즉시 폐기

티로는 회의 음성을 텍스트로 변환하기 위해 필요한 범위에서만 처리하고, 기본적으로 원본 음성을 보관하지 않는 원칙을 적용해왔습니다.

실시간 회의 기록에서는 음성이 STT 처리 과정을 거친 뒤 메모리와 스트림에서 폐기되며, 업로드된 음성·영상 파일도 처리 완료 후 자동으로 폐기됩니다. 원본 음성 보관은 사용자가 명시적으로 활성화한 경우에만 예외적으로 적용됩니다.

또한 사용자가 노트를 삭제하는 경우 관련 데이터가 복구 불가능하도록 제거되어, 불필요한 데이터가 남지 않도록 관리합니다.

2. AI 모델 재학습 이용 금지

티로는 고객의 대화, 회의록, 요약 데이터를 AI 모델 학습이나 파인튜닝에 사용하지 않습니다.

이는 무료, 유료, 기업 고객 여부와 무관하게 일관되게 적용되는 원칙입니다. 또한 LLM·STT 파트너와의 계약에서도 고객 데이터 학습 금지 및 비저장 원칙이 지켜지도록 관리하고 있습니다.

3. 데이터 전면 암호화

티로는 고객 데이터가 저장되고 전송되는 과정에서 안전하게 보호될 수 있도록 암호화 체계를 적용하고 있습니다.

회의록과 요약 등 저장 데이터는 AES-256 방식으로 암호화되며, 서비스 통신 구간에서는 TLS 1.3 기반의 안전한 전송 방식을 사용합니다. 또한 암호화 키 관리 체계를 별도로 운영해 고객 데이터가 안전하게 보호될 수 있도록 설계했습니다.

4. 철저한 접근 제한

고객 데이터와 주요 시스템에 대한 접근은 업무상 필요한 범위로 제한됩니다.

티로는 최소 권한 원칙에 따라 접근 권한을 관리하고, 주요 시스템과 데이터에 대한 접근 이력을 추적 가능하도록 기록합니다. 운영상 필요한 접근도 제한된 권한 체계 안에서 관리되며, 접근 기록은 감사 가능한 형태로 남깁니다.

고객 데이터는 고객 본인과 고객이 공유한 사람을 중심으로 접근할 수 있도록 설계되어 있으며, 내부 운영 접근 역시 엄격하게 제한됩니다.

5. 통신 및 네트워크 보안

티로는 서비스 운영 환경을 보호하기 위해 통신 및 네트워크 보안 체계를 함께 운영합니다.

방화벽과 네트워크 보안 설정을 통해 악성 트래픽과 비정상적인 접근을 차단하고, 주요 시스템은 분리된 네트워크 환경에서 관리합니다. 이를 통해 허가되지 않은 접근이 발생하지 않도록 지속적으로 점검하고 있습니다.

6. 감사 로그 & 실시간 모니터링

보안은 한 번 설정하고 끝나는 일이 아닙니다.

티로는 서비스 운영 환경의 보안 상태를 지속적으로 점검하고, 이상 징후와 취약점을 빠르게 발견하기 위한 모니터링 체계를 운영하고 있습니다.

주요 시스템의 접근, 변경, 쿼리 로그는 감사 가능한 형태로 기록되며, 이상 행위와 잠재적인 보안 위험을 탐지하기 위한 모니터링을 지속적으로 수행합니다. 이를 통해 문제가 발생하기 전에 위험을 식별하고, 필요한 조치를 빠르게 진행할 수 있도록 준비하고 있습니다.

기업 고객을 위한 맞춤형 보안

기업 고객의 경우 조직별 보안 정책에 맞춰 SSO, MFA, 역할 기반 접근 제어, 조직도 연동, 접속 IP 제한 등 추가 보안 설정을 지원합니다.

티로는 고객사의 보안 요구사항과 운영 환경에 맞춰 더 세분화된 접근 권한 관리와 계정 보안 설정을 제공하고 있습니다.

인증은 끝이 아니라 지속적인 개선의 과정입니다

보안 환경은 계속 변하고 있습니다. AI 기술이 빠르게 발전하면서 보안 위협 역시 더 정교해지고 있으며, 티로는 이러한 변화에 맞춰 서비스 인프라와 운영 체계를 지속적으로 점검하고 있습니다.

티로는 6월부터 침투 테스트를 진행하며, 잠재적인 보안 리스크를 선제적으로 식별하고 개선할 예정입니다.

이번 ISO/IEC 27001:2022 인증은 티로의 보안 여정에서 중요한 이정표입니다. 하지만 티로는 인증 취득을 끝이 아니라, 더 신뢰할 수 있는 서비스를 만들어가기 위한 지속적인 개선의 과정으로 보고 있습니다.

앞으로도 티로는 고객이 안심하고 회의를 기록하고 활용할 수 있도록, 보안 리스크를 지속적으로 점검하고 더 안전한 서비스 환경을 만들어가겠습니다.

인증 정보

이번 인증은 ISO/IEC 27001 인증 심사를 수행할 수 있도록 ANAB로부터 인정받은 인증기관 Sensiba LLP의 독립적인 심사를 통해 취득했습니다.

티로의 보안 정책과 인증 정보는 Tiro Trust Center에서 확인하실 수 있습니다.

인증서 확인, 보안 검토 자료, DPA 또는 기타 보안 관련 문의가 필요하신 경우 partners@theplato.io로 연락해 주세요.

감사합니다.