FlareLane
로그인 도입문의
  • ISMS-P
  • 개인정보 보안
  • CRM 보안

ISMS-P 인증 받은 CRM 마케팅 솔루션, 플레어레인의 데이터 보안

CRM 마케팅이 다루는 건 유저의 개인정보입니다. 플레어레인은 개인정보보호까지 심사하는 ISMS-P 인증을 받았습니다.

플레어레인 5분 읽기
ISMS-P 인증이 검증하는 CRM 마케팅 데이터 보안을 표현한 썸네일

CRM 마케팅은 유저의 개인정보를 다룹니다. 이름, 전화번호, 이메일, 구매 이력, 앱 안에서의 행동이 모두 여기 들어갑니다. 이런 데이터를 맡기는 만큼 솔루션을 고를 때 보안을 가장 먼저 봅니다.

안전하게 관리한다는 말은 어느 솔루션이나 합니다. 그 말을 외부 기관이 정해진 기준으로 확인했는지가 다릅니다. 국내에서 그 기준이 ISMS-P입니다.

개인정보보호까지 보는 ISMS-P

정보보호 인증에는 ISMS2와 ISMS-P가 있습니다. ISMS는 정보 자산을 지키는 보안 영역을 봅니다. 여기에 개인정보보호(P)까지 더하면 ISMS-P가 됩니다. CRM 마케팅이 다루는 데이터의 핵심이 개인정보이므로 이 분야에서는 P가 붙은 ISMS-P가 맞는 기준입니다.

인증심사 범위개인정보 보호
ISMS관리체계, 보호대책미포함
ISMS-P관리체계, 보호대책, 개인정보 처리단계포함

ISMS-P 심사는 세 영역으로 나뉩니다. 관리체계를 어떻게 세우고 운영하는지, 시스템과 데이터를 어떤 보호대책으로 지키는지, 개인정보를 수집부터 파기까지 어떻게 다루는지를 봅니다. 앞의 두 영역이 ISMS의 범위이고 세 번째 개인정보 영역이 더해져 ISMS-P가 됩니다. 세 영역을 합치면 101개 항목입니다.

국내 고객 메시징이나 CRM 마케팅 솔루션을 보면 보안 인증이 아예 없는 곳이 적지 않습니다. 있더라도 보안만 다루는 ISMS나 공공 조달용 클라우드 보안 인증(CSAP)에 머무는 경우가 많습니다. 개인정보 처리 전반까지 외부 심사로 검증한 ISMS-P를 받은 곳은 그보다 더 적습니다. 플레어레인이 이 업계에서 처음으로 그 심사를 통과했습니다.3

공개된 정보보호 인증을 솔루션별로 정리하면 다음과 같습니다.

솔루션공개된 정보보호 인증ISMS-P
플레어레인 (FlareLane)ISMS-P보유
채**ISMS미보유
브***ISO 27001 (해외 인증)미보유

위 표는 각 솔루션이 공개한 인증 정보를 기준으로 합니다. ISMS-P 보유 여부는 KISA 인증서 발급현황에서 확인할 수 있습니다(2026년 6월 기준).

아래는 101개 항목 중 CRM에 유저 데이터를 맡길 때 직접 보게 되는 항목들입니다. 플레어레인이 인증 심사에서 확인받은 부분이기도 합니다.

데이터 수집과 보관, 파기

세 영역 중 개인정보 처리단계별 요구사항은 데이터를 수집할 때부터 파기할 때까지를 단계별로 봅니다. 어떤 근거로 모았는지, 보관하는 동안 목적에 맞게 쓰는지, 더 필요 없을 때 지우는지를 확인합니다.

CRM에 유저 명단을 올리면 이 기준이 그대로 적용됩니다. 수신 동의를 받고 모은 데이터인지, 보관 기간이 지난 데이터를 지우는지를 외부 심사가 확인합니다.

수신 동의와 파기는 마케터가 평소에 가장 자주 챙깁니다. 문제가 생기면 가장 먼저 점검받는 항목이기도 합니다. 플레어레인은 수신을 거부하거나 동의를 거둔 유저를 발송 대상에서 자동으로 빼므로 메시지가 다시 나가지 않습니다.

권한 분리와 접근 제어

보호대책 영역은 데이터를 지키는 기술적 장치를 봅니다. 누구에게 어떤 권한을 줄지, 접속을 어떻게 제어할지, 데이터를 어떻게 암호화할지가 여기에 들어갑니다. 인증을 받으려면 이 항목들을 정해진 기준으로 통과해야 합니다.

플레어레인은 멤버마다 역할을 둡니다. 역할에 따라 볼 수 있는 정보와 할 수 있는 작업이 달라집니다. 민감한 실명정보 조회나 CSV 다운로드 같은 권한은 역할별로 따로 지정합니다. 업무에 필요한 만큼만 열어 두는 최소 권한4 원칙을 따릅니다.

전체 유저 목록에서 이름, 전화번호, 유저 ID가 부분적으로 가려진 마스킹 화면
플레어레인 콘솔의 마스킹된 유저 정보

그래서 콘솔에서 유저 정보를 볼 때 이름, 전화번호, 이메일, 생년월일 같은 실명정보가 부분적으로 가려집니다. 가려지는 범위는 역할에 따라 다르고 권한이 있는 멤버만 원래 값을 봅니다. 내부에서 데이터가 불필요하게 노출되는 것을 줄이는 현실적인 방법입니다.

IP 접근 제어

접속 위치도 제한할 수 있습니다. 콘솔에 들어올 수 있는 IP를 프로젝트별로 등록해 두면, 등록한 IP 밖에서는 접속이 막힙니다. 사무실이나 사내망처럼 정해진 곳에서만 콘솔을 열도록 묶어 두는 방식입니다.

2차 인증

로그인 단계에는 한 단계를 더합니다. 아이디와 비밀번호만으로는 부족하니 콘솔에 접속할 때 OTP를 함께 입력하게 했습니다. 비밀번호가 유출되더라도 계정 접근을 한 번 더 막습니다.

프로젝트 설정 페이지에서 멤버별 2차 인증 설정 현황을 확인하는 화면
플레어레인 콘솔의 멤버별 2차 인증 설정 현황

기록과 사고 대응

보호대책에는 사고를 전제한 항목도 있습니다. ISMS-P는 모든 사고를 막을 수 있다고 보지 않습니다. 이상 징후를 어떻게 감지하고 사고가 났을 때 어떻게 대응하는지를 함께 봅니다.

플레어레인은 콘솔에서 일어난 주요 작업을 로그로 남깁니다. 유저 조회와 수정, 삭제, CSV 다운로드, 메시지 발송을 누가 언제 어디서 했는지 기록합니다. 사고가 나면 이 기록을 따라 원인과 범위를 좁혀 갑니다.

요청이 비정상적으로 몰리면 프로젝트 단위로 제한해 시스템을 보호합니다. CRM은 많은 유저 데이터를 한곳에 모으는 만큼 문제를 빨리 알아채고 범위를 좁히는 정도에 따라 피해가 달라집니다. ISMS-P는 이 대응 절차까지 외부 기준으로 점검합니다.

모의해킹과 취약점 점검

ISMS-P 보호대책에는 취약점 점검 항목이 따로 있습니다.5 시스템에 취약점이 없는지 정기적으로 점검하고 발견된 취약점을 바로 조치하라는 기준입니다. 규모와 다루는 정보의 중요도에 따라 모의해킹까지 수행하도록 요구합니다.

모의해킹은 외부 공격자처럼 시스템을 실제로 공격해 보는 점검입니다. 로그인, 결제, API처럼 외부에 열린 부분을 직접 뚫어 보며 악용될 수 있는 약점을 찾습니다. 대외 서비스는 정기적으로 다시 점검합니다.

플레어레인은 인증 과정에서 이 모의해킹을 거쳤습니다. 점검에서 나온 항목을 조치한 뒤 심사를 통과했습니다.

CRM 솔루션을 고를 때

유저는 자기 데이터가 어떻게 다뤄지는지에 점점 민감해집니다. 그래서 어떤 솔루션에 데이터를 맡길지 고를 때도 그 기준을 같이 봅니다.

솔루션을 비교할 때는 인증서가 있는지에서 멈추지 말고 그 인증이 ISMS인지 ISMS-P인지, 그 기준이 콘솔에서 실제로 어떻게 작동하는지까지 보면 됩니다. 권한 분리, IP 접근 제어, 2차 인증, 감사 로그가 설명에만 있는지 화면에서도 돌아가는지를 확인하는 식입니다.

지금 다루는 데이터와 사내 보안 요건을 적어 두면 이 확인이 빨라집니다. 아래에서 보안 요건 점검을 신청할 수 있습니다.

ISMS-P 기준으로 솔루션을 비교하고 싶다면

지금 다루는 데이터에 어떤 보안 항목이 필요한지, 무엇부터 확인하면 되는지 같이 짚어 드립니다.

도입문의

각주

¹ ISMS-P: 정보보호 및 개인정보보호 관리체계 인증입니다. 한국인터넷진흥원(KISA)이 관리체계 운영, 보호대책, 개인정보 처리단계별 요구사항 세 영역 101개 항목을 심사해 부여합니다. 플레어레인은 ISMS-P-KISA-2026-021로 인증받았으며, 인증 사실은 KISA 인증서 발급현황에서 확인할 수 있습니다.

² ISMS: 정보보호 관리체계 인증입니다. 정보 자산을 지키는 보안 영역(관리체계와 보호대책)을 심사합니다. 여기에 개인정보 처리단계별 요구사항을 더하면 ISMS-P가 됩니다.

³ 플레어레인(플레어랩스)은 국내 CRM 마케팅 업계에서 처음으로 ISMS-P 인증을 받았습니다. beSUCCESS, elec4 등 2026년 6월 10일 보도.

⁴ 최소 권한 원칙: 각 구성원에게 업무에 꼭 필요한 만큼의 데이터 접근 권한만 부여하는 보안 원칙입니다. ISMS-P 보호대책의 인증 및 권한 관리, 접근 제어 항목에 해당합니다.

⁵ 모의해킹(모의침투 테스트): 외부 공격자가 쓰는 방법으로 시스템을 직접 공격해 실제로 악용 가능한 취약점을 찾아내는 점검입니다. ISMS-P 보호대책의 취약점 점검 및 조치(2.11.2) 항목에 해당합니다.

참고문헌

1. 한국인터넷진흥원(KISA), 정보보호 및 개인정보보호 관리체계 인증(ISMS-P). https://www.kisa.or.kr/1050602

2. 한국인터넷진흥원(KISA), ISMS-P 인증서 발급현황. https://isms.kisa.or.kr/main/ispims/issue/?certificationMode=list

3. beSUCCESS, 플레어랩스 '플레어레인', CRM 마케팅 업계 최초 ISMS-P 인증 획득. https://besuccess.com/?p=183725

4. elec4, CRM 솔루션 '플레어레인', ISMS-P 인증하며 보안 체계 강화해. https://elec4.co.kr/contents/article_detail?article_idx=37141

5. 개인정보보호위원회, ISMS-P 인증기준. https://www.privacy.go.kr/front/contents/cntntsView.do?contsNo=59

6. 벤처스퀘어, 채널톡 '정보보호관리체계(ISMS)' 인증 획득(2023년 8월 21일). https://www.venturesquare.net/893067

7. Braze, 보안 요건 검증(Security Qualifications). https://www.braze.com/docs/ko/developer_guide/disclosures/security_qualifications

플레어레인

플레어레인

Contents Team, FlareLane (주식회사 플레어랩스)

CRM 마케팅과 그로스를 직접 만들어 온 사람들이 함께 글을 씁니다. 한국을 선도하는 플레어레인의 경험과 인사이트를 나눕니다.

플레어레인은 고객 행동과 여정에 맞춰 푸시, 문자, 카카오톡, 인앱(모달, 팝업), 이메일 등 다채널 메시지를 자동으로 발송하는 CRM 마케팅 솔루션입니다. 스타트업부터 대기업까지 누구나 초개인화 마케팅과 고객 여정 자동화를 쉽게 설계하고 실행할 수 있도록 돕습니다.

자주 묻는 질문

ISMS 인증과 ISMS-P 인증은 어떻게 다른가요?

ISMS는 정보보호 관리체계를 심사하는 인증입니다. ISMS-P는 여기에 개인정보보호(P)까지 더해, 개인정보를 수집부터 파기까지 어떻게 다루는지를 함께 심사합니다. CRM 마케팅은 이름, 전화번호, 구매 이력 같은 개인정보를 직접 다루므로 개인정보 영역까지 검증한 ISMS-P가 더 맞는 기준입니다. 플레어레인은 이 ISMS-P 인증을 받았습니다.

마스킹과 권한을 걸면 개인화나 발송에 지장이 생기나요?

지장이 없습니다. 마스킹은 콘솔 화면에 보이는 값에만 적용되는 표시 단계의 통제입니다. 메시지 발송과 개인화는 원본 데이터로 그대로 처리되므로 이름을 넣은 개인화나 세그먼트 발송은 평소처럼 동작합니다. 멤버가 화면에서 실명정보를 덜 보더라도 시스템이 메시지를 만드는 데는 영향이 없습니다.

팀원 전체에게 2차 인증을 강제할 수 있나요?

네, 가능합니다. 플레어레인은 프로젝트 단위로 모든 멤버에게 2차 인증을 의무화할 수 있습니다. 콘솔의 멤버별 설정 현황에서 아직 설정하지 않은 멤버가 한눈에 보이므로 설정을 요청하거나 강제하면 됩니다. 비밀번호만으로 부족한 계정 보안을 팀 전체에 같은 기준으로 맞추는 방법입니다.

ISMS-P 인증은 한 번 받으면 계속 유효한가요?

아닙니다. ISMS-P 인증의 유효기간은 3년입니다. 받은 뒤에도 매년 사후심사를 거치고 3년마다 갱신심사를 다시 받아야 유지됩니다. 그래서 인증이 유효하다는 것은 체계를 계속 운영하며 외부 점검을 이어 가고 있다는 뜻입니다. 솔루션을 확인할 때 인증 일자와 갱신 이력을 같이 보면 됩니다.

솔루션이 ISMS-P 인증을 받았으면 우리 회사도 개인정보 의무를 다한 게 되나요?

그렇지는 않습니다. 솔루션의 ISMS-P 인증은 그 솔루션을 만들고 운영하는 체계가 기준을 갖췄다는 뜻입니다. 데이터를 모으는 고객사는 수신 동의를 제대로 받았는지, 위탁 계약과 처리방침을 갖췄는지 같은 자기 몫의 의무를 따로 집니다. 인증받은 솔루션을 쓰면 그 기반이 탄탄해지지만 고객사 자신의 책임까지 대신해 주지는 않습니다.