그렇지 않습니다.

flex를 둘러싼 환경은 계속 바뀝니다. 수백 개의 고객사가 flex를 사용하고, 클라우드 인프라 위에서 서비스가 운영되고, 업무 도구들과 연결되어 있습니다. 정부가 법을 바꾸기도 하고, 어딘가에서 보안 사고가 터지기도 합니다.

이 중 하나라도 변하면, 질문을 던져야 합니다.

"우리에게도 같은 위험이 있진 않을까?"

연 1회 외부 감사에 맞춰 집중적으로 점검하는 방식.. 많은 기업이 지금도 이렇게 합니다. 하지만 그 방식은, 감사와 감사 사이의 공백을 메울 수 없습니다.

flex는 2026년부터 이 방식을 바꿨습니다. 이제는 매일 새로운 위험을 찾아내고, 분석하고, 해결하는 사이클을 반복합니다. 저희는 이걸 상시위험관리체계라고 부릅니다.

구체적으로는 이런 질문들을 반복합니다.

이 질문들을 365일 반복합니다.

이 질문에서 이번 캠페인이 시작됐습니다.

Slack에는 다양한 외부 앱을 연동할 수 있습니다. 생산성 도구, AI 어시스턴트, 자동화 서비스 — 편리하지만, 간과하기 쉬운 사실이 있습니다. 이 앱들은 설치된 순간부터 채널의 대화를 수집할 수 있는 권한을 가질 수 있습니다. 직접 호출하지 않아도, 비공개 채널이든 DM이든 마찬가지입니다.

고객 정보, 인사 데이터, 재무 관련 대화가 외부 서버로 흘러나갈 수 있는 구조입니다.

flex Security Team은 이 사실을 전사 구성원에게 알리는 캠페인을 진행하고, 현재 연동된 모든 외부 앱을 전수 점검했습니다. 그리고 프로세스를 바꿨습니다. 이제 새로운 앱을 Slack에 연동하려면, Security Team의 보안성 검토(해당 앱이 어떤 권한을 요청하는지, 연동 목적이 정당한지 등)를 통과해야만 flex의 Slack과 연동 할 수 있습니다.

편리함과 안전함 사이의 균형을 맞추는 일, 쉽지 않지만 반드시 해야 하는 일입니다.

상시위험관리체계가 주목하는 변화 중 가장 파급력이 큰 것은 역시 법령의 변화입니다. 올해 두 가지 중요한 개정이 있었습니다.

개인정보보호법 개정 (2026년 9월 시행 예정)은 개인정보 유출 시 과징금이 대폭 강화되고, 유출 가능성만 있어도 정보주체에게 알려야 하는 의무가 법적으로 요구됩니다. 사고가 난 뒤가 아니라, 사고가 날 수 있는 상황 자체를 알려야 한다는 뜻입니다.

정보통신망법 개정 (2026년 3월 의결)은 사이버 침해사고 예방부터 대응까지 전 범위에 걸쳐 사업체의 의무가 강화됩니다.

flex는 두 법령의 변경 내용을 이미 검토하고 있고, 관련하여 해당 법령의 시행 전까지 내부 정책과 시스템에 부족함이 없도록 준비하고 있습니다.

보안은 눈에 잘 띄지 않는 일입니다. 아무 일도 일어나지 않는 것이 가장 좋은 결과이기 때문입니다.

flex Security Team은 오늘도 조용히, 그러나 쉬지 않고 이 질문들을 반복하고 있습니다. 앞으로도 매 분기, 어떤 질문을 했고 어떻게 답했는지 함께 나눠보려고 합니다.

flex는 고객사와의 신뢰를 바탕으로 투명한 보안 운영을 지속하겠습니다.