기업의 정보보호 수준, ISMS와 ISMS-P의 인증에 대해

최근 SK해킹 이후, 정보보호와 개인정보보호는 선택이 아닌 필수적인 과제가 되었습니다.

기업과 기관들이 해킹 위협, 데이터 유출 사고는 곧 기업의 신뢰도와 직결되기 때문이죠. 이러한 배경 속에서 'ISMS'와 'ISMS-P'라는 용어를 한 번쯤 들어보셨거나, 혹은 인증 획득을 고민하고 계신 분들이 많으실 겁니다. 그런데 이 두 가지, 이름은 비슷한데 정확히 뭐가 다르고 어떤 기업에서 어떤 인증이 필요할지, 오늘은 ISMS와 ISMS-P에 대해 설명해 보겠습니다.

1. 정보보호 관리체계? 그게 뭐죠?

ISMS와 ISMS-P는 모두 '정보보호 관리체계 인증제도'입니다. 쉽게 말해, 기업이 정보 자산을 안전하게 보호하기 위해 어떤 관리 활동과 기술적인 노력을 체계적으로 기울이고 있는지에 대해 국가나 공신력 있는 기관으로부터 평가받고 인정받는 제도입니다. 정보보호 관리체계는 단순히 보안 장비를 몇 대 설치하는 것을 넘어, 다음과 같은 포괄적인 활동을 포함합니다.

• 관리적 보호조치: 정보보호 정책/조직 수립, 위험 관리, 인적 보안, 교육 등
• 기술적 보호조치: 접근 통제, 암호화, 보안 시스템 운영, 침해 사고 대응 등
• 물리적 보호조치: 시설 접근 통제, 장비 보안 등

이러한 활동들이 일회성이 아니라 지속적으로 유지되고 개선될 수 있도록 시스템을 만드는 것이며, 최초 인증을 받더라도 인증에 대한 유효기간이 있어서 지속적인 관리는 하는 기업이 고객 정보를 보다 안전하게 관리한다고 보시면 됩니다.

 

2.  ISMS와 ISMS-P는 왜 구분하는가

본격적으로 ISMS와 ISMS-P의 차이점을 알아보겠습니다. 핵심은 바로 '개인 정보의 보호 여부'입니다.

2.1. ISMS: 정보보호 관리체계 (Information Security Management System)

• 핵심: 조직의 주요 정보 자산을 외부 위협으로부터 안전하게 보호하기 위한 관리 체계입니다.
• 초점: 정보 자산의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 유지하는 데 중점을 둡니다. 고객 정보뿐만 아니라 기업의 영업 비밀, 기술 정보, 시스템 정보 등 모든 정보 자산을 보호합니다.
• 인증 기준: 정보보호 관리 과정 5가지, 정보보호 대책 11가지 통제 영역, 총 80개의 통제 항목으로 구성됩니다.
• 의무 대상: 정보통신망법에 따라 일정 규모 이상의 정보통신 서비스 제공자 등은 ISMS 인증 의무 대상입니다.

금응보안원의 ISMS 인증서 발급현황

2.2. ISMS-P: 정보보호 및 개인정보보호 관리체계 (Information Security and Personal Information Management System)

• 핵심: 기존 정보 자산 보호에 더해, 특히 개인 정보를 안전하게 보호하기 위한 관리 체계입니다.
• 초점: ISMS의 범위를 포함하면서, 개인정보 생명주기(수집-이용-제공-파기) 전반에 걸쳐 개인 정보를 안전하게 처리하기 위한 활동에 강화된 초점을 둡니다. 개인정보보호법의 요구사항을 적극 반영합니다.
• 인증 기준: ISMS의 80개 통제 항목에 더해 개인정보보호 관련 22개의 통제 항목이 추가되어 총 102개의 통제 항목으로 구성됩니다. (관리 과정 5, 정보보호 대책 11, 개인정보 처리 4가지 통제 영역)
• 의무 대상: 개인정보보호법에 따라 일정 규모 이상의 개인 정보 처리자 등은 ISMS-P 인증 의무 대상입니다. (예: 대규모 개인 정보를 다루는 온라인 서비스, 의료기관 등)

금응보안원의 ISMS-P 인증서 발급현황

정리해보면

• ISMS: 모든 정보 자산 보호에 대한 관리체계
• ISMS-P: 모든 정보 자산 보호 + 특별히 개인 정보 보호를 강화한 관리체계

ISMS-P는 ISMS의 확장판이라고 생각하시면 쉽습니다. ISMS-P를 획득하면 ISMS 인증도 함께 획득한 효력을 가집니다.

 

3. 기업에는 어떤 인증이 필요할까

어떤 인증이 필요한지는 회사의 규모, 사업 내용, 다루는 정보의 종류 등에 따라 달라집니다.

• 대규모의 개인 정보를 수집, 이용, 제공하고 있다면 ISMS-P 인증을 고려해야 합니다. 특히 법적으로 의무 대상인지 확인하는 것이 가장 중요합니다.
• 꼭 의무 대상이 아니더라도, 고객이나 파트너에게 개인 정보 보호에 대한 깊은 신뢰를 주고 싶다면 ISMS-P가 유리할 수 있습니다.
• 주로 기업 내부 정보, 기술 정보 등 개인 정보 외의 정보 자산 보호가 주된 목적이라면 ISMS 인증만으로도 충분할 수 있습니다.
• 혹은 ISMS 인증을 먼저 획득한 후, 사업 확장에 따라 개인 정보 취급이 늘어나면 ISMS-P로 확대 인증을 받을 수도 있습니다.

가장 정확한 판단을 위해서는 회사의 정보 자산 현황, 개인 정보 처리 실태, 관련 법규 준수 여부 등을 면밀히 검토하고 전문가와 상담하는 것이 좋습니다.

4. ISMS/ISMS-P 인증, 왜 중요할까

인증 획득 과정이 쉽지 않다는 것을 알지만, 투자할 가치가 충분합니다.

• 법규 준수: 특히 의무 대상 기업은 법적 요구사항을 충족하여 과태료나 처벌을 피할 수 있습니다.
• 대외 신뢰도 향상: 고객, 파트너사, 감독 기관으로부터 정보보호 및 개인정보보호에 대한 신뢰를 얻고 기업 이미지를 높일 수 있습니다.
• 리스크 감소: 체계적인 관리 활동을 통해 해킹, 유출 등 보안 사고 발생 가능성을 줄이고, 사고 발생 시 피해를 최소화할 수 있습니다.
• 운영 효율성 증대: 정보보호 정책, 절차, 책임 등을 명확히 하여 내부 운영 효율성을 높일 수 있습니다.
• 경쟁 우위 확보: 특히 개인 정보 보호가 민감한 산업 분야에서는 ISMS-P 인증이 강력한 경쟁력이 될 수 있습니다.

5. 정리하면

ISMS와 ISMS-P는 단순한 '자격증' 개념이 아니라, 기업이 정보 자산과 고객의 개인 정보를 얼마나 소중하게 생각하고 보호하기 위해 노력하고 있는지를 보여주는 '관리체계'입니다. ISMS 또는 ISMS-P 인증을 통해 회사의 정보보호 수준을 한 단계 높이고, 고객과 함께 성장하는 기업으로 나아가야 합니다. 물론 이러한 인증을 받는다고 해서 모두 완벽하게 안전한 것은 아닌 것이 신청기관에서 기업의 모든 전산시스템에 대해 인증을 받으면 좋지만 여러가지 이유로, 관리가 잘되고 있는 일부 시스템에 대해서만 인증을 받는 방식은 하나의 꼼수가 될수 있을꺼 같네요. 공격자는 관리되지 않고 방치된 시스템을 더 좋아하기 때문이겠죠!!

금응보안원의 ISMS 인증서 발급현황

 

고객의 중요한 민감정보를 관리하는데 비용과 노력을 쏟지않아, 결국 수조원의 비용을 치루되는 SK와 같은 기업은 앞으로 점점 더 많이 늘어 날것으로 보이는데요.. 우리의 개인 정보를 관리하는 기업을 선택 해야하는 경우가 생긴다면, 이러한 인증을 받은 안전한  기업을 고르셨으면 합니다.^^

 

출처: 금용보안원 인증 발급현황 표 자료(25년 3월 19일 기준)