[그게 뭔가요] 해킹 터지면 실효성 지적 나오는 ISMS-P 인증
디지털 서비스와 데이터 이용이 급격히 확대되면서 기업이 보유한 정보자산을 안전하게 관리하는 일은 더 이상 선택이 아닌 기본 조건이 됐다. 특히 인공지능(AI) 기반 서비스가 널리 확산되며 기업의 데이터 처리 범위가 넓어지고, 그만큼 보안 체계의 신뢰성에 대한 요구도 점점 커지고 있다.
이런 흐름 속에서 기업들은 자신들의 보안 체계가 제대로 갖춰져 있다는 것을 공식 증명하기 위해 ▲정보보호 관리체계(ISMS) 또는 ▲정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 취득한다.
ISMS 인증은 조직이 정보보호를 위한 체계적인 조치와 활동을 적절히 수행하고 있음을 국가기관이 확인하는 제도이고, ISMS-P는 여기에 개인정보보호 영역까지 포괄하는 확장된 인증이다. 두 개념은 보안 사고가 터질 때마다 자주 언급된다. ″국가가 인정하는 보안 인증까지 받았는데 왜 해킹이 발생하느냐″는 질문이 늘 따라붙는다.
올해는 ISMS-P 인증을 막 취득한 기업에서 대규모 침해사고가 이어지면서 ‘ISMS 인증 무용론’까지 등장했다. 그렇다면 ISMS와 ISMS-P 제도는 실제로 어떤 역할을 하고 있을까. 인증을 받았음에도 해킹이 발생하는 이유는 무엇이며, 정부와 업계는 이 문제를 어떻게 바라보고 있을까.
ISMS와 ISMS-P, 그게 뭔가요?
ISMS는 정보통신서비스 제공 기업이나 기관이 정보 자산을 안전하게 보호하고 있다는 것을 공식적으로 증명받는 국가 인증 제도다. 조직이 수립한 정보보호 정책, 위험관리 체계, 기술적·물리적 보안 조치 등을 기준에 따라 평가한다.
ISMS-P는 여기에 개인정보보호 요소를 추가한 인증이다. 개인정보처리자가 개인정보를 어떻게 ▲수집 ▲보유 ▲이용 ▲제공 ▲파기하는지를 단계별로 들여다보며, 이를 보호하기 위한 조직의 노력과 조치 수준을 함께 평가한다.

ISMS-P는 3개 분야로 나뉘는데 ▲관리체계 수립 및 운영(16개) ▲보호대책 요구사항(64개) ▲개인정보 처리단계별 요구사항(21개)이다. 개인정보 보호 항목은 수집 단계의 최소 수집 원칙, 동의 절차, 목적 외 이용 금지, 보유 기간 관리, 파기 및 이력 관리 등 실무적으로 민감한 영역을 포함한다.
심사 항목은 ISMS가 80개(관리체계 수입 및 운영[16개]+보호대책 요구사항[64개]), ISMS-P는 101개(관리체계 수입 및 운영[16개]+보호대책 요구사항[64개]+개인정보 처리단계별 요구사항[21개])다.
ISMS-P는 2018년 11월 이전에는 분리돼 있던 ISMS와 개인정보보호 관리체계(PIMS)를 하나의 관리체계로 통합한 것이다. 다만 이는 제도를 묶어 일관된 기준으로 운영한다는 의미이지, 기업이 인증을 받을 때 두 인증이 하나로 합쳐졌다는 뜻은 아니다. 실제로 기업이 신청하는 인증서는 ISMS와 ISMS-P로 지금도 구분돼 있다.
ISMS는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’에 따라 일정 규모 이상의 기업에 부과되는 의무 인증이다. ISMS-P는 ‘개인정보보호법’에 근거한 자율 인증이다. 기업들은 법적 요구 수준과 서비스 특성에 맞춰 두 인증 중 필요에 따라 선택해 취득한다.
ISMS, 어떤 기업이 의무 대상일까?
ISMS와 ISMS-P의 구조와 차이를 이해했다면, 다음으로 드는 궁금증은 “그럼 기업은 이 인증을 꼭 받아야 하나?”일 것이다. 두 인증은 운영체계는 통합돼 있지만, 법적 지위와 취득 방식은 명확히 다르다.
ISMS 의무는 정보통신망법 제47조에 규정돼 있다. 이 조항은 일정 규모 이상의 기업에 ISMS 인증을 의무화한다. 구체적인 기준은 시행령 제47조~제54조, 시행규칙 제3조에 명시돼 있으며, 매년 전년도 실적(매출, 이용자 수, 예산 등)을 기준으로 의무대상자를 새로 선정한다. 해당 연도에 의무대상자로 지정되면 다음 해 8월 31일까지 반드시 인증을 취득해야 한다.
반면 ISMS-P는 개인정보보호법 제32조의2와 같은 법 시행령 제34조의2~제34조의8을 근거로 한 자율 인증 제도다. 정부가 PIMS를 ISMS와 통합해 ISMS-P로 운영하고 있지만, 법적 의무 규정은 없다. 다만 인증제도의 신뢰성을 확보하기 위해 개인정보위와 과기정통부가 공동으로 제정한 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P)’를 법정 고시로 운영한다.
ISMS 의무 대상은 다음과 같다.
– 전국 규모 정보통신망 제공 ISP 사업자
– 집적정보통신시설(IDC, 인터넷 데이터센터) 운영 사업자
– 전년도 매출 또는 예산 1500억원 이상 기관(상급종합병원·1만명 이상 대학 포함)
– 전년도 정보통신서비스 매출 100억원 이상 또는 일평균 이용자 100만명 이상 온라인 서비스 사업자
의무 대상이 아니더라도 보안 수준 향상과 대외 신뢰도 확보를 위해 자율적으로 인증을 신청할 수는 있다. 공공기관, 금융사, 제조기업, 스타트업 등 다양한 조직이 이러한 이유로 ISMS 또는 ISMS-P 인증을 받는다. 공공기관, 중소기업, 금융기관, 전자상거래 업체, 게임사 등 다양한 조직이 정보보호 수준을 점검하고 대외 신뢰도를 확보하기 위해 ISMS-P 인증을 신청한다.
ISMS는 법으로 정해진 ‘의무 인증’이기 때문에, 의무대상 기업이 기한까지 인증을 받지 않으면 정보통신망법 제75조에 따라 최대 3000만원의 과태료가 부과된다. 위반이 반복되면 추가 과태료와 함께 행정지도가 내려지며, 필요할 경우 보안 취약점 개선 명령, 보완조치 요구 등의 조치가 이어진다.
반면 ISMS-P는 ‘자율 인증’이어서 인증을 취득하지 않았다고 해서 곧바로 제재가 발생하는 것은 아니다. 다만 개인정보보호법의 기술적·관리적 보호조치를 위반하면 ISMS-P 여부와 관계없이 과징금·과태료·행정처분이 별도로 부과될 수 있어, 많은 기업이 자율적으로 ISMS-P를 선택해 보안 수준을 높이고 있다.
누구에게 어떻게 받나요?
ISMS-P 인증 관련 기관은 세가지로 구성된다. ▲정책을 만들고 제도를 총괄하는 곳 ▲인증을 운영·관리하는 곳 ▲개별 기업을 직접 심사하는 곳이 서로 역할을 나눠 담당한다.

가장 앞에는 과학기술정보통신부와 개인정보보호위원회가 있다. 두 기관은 ‘정책기관’으로서 인증 제도의 법·제도 개선 방향을 정하고, 인증기관·심사기관을 지정한다. 두 기관이 함께 참여하는 ‘인증위원회’에서 제도 운영의 큰 방향과 정책을 논의한다.
현재 KISA와 금융보안원(FSI)이 ‘인증기관’이다. KISA는 제도 운영과 인증 품질 관리를 총괄하고, 신규 특수 분야 인증심사, ISMS·ISMS-P 인증서 발급, 인증심사원 양성 및 자격 관리 등을 담당한다. 금융보안원은 금융 분야에 한정해 ISMS-P 인증을 심사하고 금융권 인증서를 발급한다. 두 기관 내부에는 외부 전문가가 참여하는 ‘인증위원회’가 설치돼 있어, 최종적으로 인증 부여 여부를 심의·의결한다.
끝으로 실제 기업의 문서와 시스템을 점검하는 역할은 별도의 ‘심사기관’이 수행한다. ▲한국정보통신진흥협회(KAIT) ▲한국정보통신기술협회(TTA) ▲개인정보보호협회(OPA) ▲차세대정보보안인증원(NISC) 등이 해당한다. 이들은 KISA와 금융보안원으로부터 심사를 위탁받아, 각 기업의 관리체계와 기술적·관리적 보호조치를 현장에서 점검한다. 심사기관이 직접 기업을 방문해 체크리스트를 확인하고, 그 결과를 인증기관(KISA·FSI)과 인증위원회에 올리면 인증기관이 이를 종합해 최종 인증 여부를 결정하는 구조다.

이처럼 정책기관·인증기관·심사기관으로 이어지는 다층 구조를 통해 한 기관에 권한이 과도하게 집중되지 않도록 하고, 제도 설계와 운영, 현장 심사를 서로 분리해 견제와 균형을 이루려는 것이 현행 ISMS-P 인증 추진 체계의 기본 골격이다. 공공기관, 중소기업, 금융기관, 전자상거래 업체, 게임사 등 다양한 조직이 정보보호 수준을 점검하고 대외 신뢰도를 확보하기 위해 ISMS-P 인증을 신청한다.
절차는 ▲신청서 접수 ▲예비점검 및 계약 체결 ▲심사 준비 및 수행 ▲결과 보완 ▲인증 심의·의결 ▲인증서 발급 순이다. 인증심사는 문서 확인과 현장 실사로 이루어진다. 조직의 보안 정책 수립과 이행 여부, 정보시스템 접근 통제, 내부자 오남용 방지, 암호화 적용, 취약점 조치, 로그 기록·관리 등을 실제 운영 기준으로 본다. 개인정보보호 항목에서는 개인정보 처리자 지정과 교육, 처리 시스템 관리, 목적 외 이용 및 제공 통제, 파기 이력 관리 등이 포함된다.
인증에 소요되는 기간은 약 6~8개월이며, 인증 유효기간은 3년이다. 그리고 매년 사후심사를 받아야 한다. 심사 중 주요 항목에서 미흡 사항이 발견되면 일정 기간 보완 후 재심사를 받고, 심의위원회에서 종합적으로 인증 여부를 판단한다.
얼마나 많은 기업이 받았나요?
KISA에 따르면, 20일 현재 ISMS와 ISMS-P 인증을 유지하고 있는 기업·기관은 총 1222곳이다. ISMS 인증은 921건, ISMS-P 인증은 301건이다. 통신 3사, 네이버, 카카오, 쿠팡 등 국내 주요 대기업부터 주요 금융사, 상급종합병원, 대학교, 지방자치단체, 공공기관 등 민간과 공공을 아우른다.
가장 많은 기업이 인증을 받은 2023년에는 한 해 동안 신규 취득 117건, 인증 유지 161건이 이뤄졌다. SK그룹·카카오·한화 계열사를 포함한 대기업뿐 아니라 중소기업과 스타트업도 인증에 참여하고 있다. ISMS-P 인증은 이제 보안 우수 기업의 상징이자 거래처 신뢰 확보 수단으로 자리 잡아가고 있다.
인증 받아도 왜 자꾸 뚫릴까요?
문제는 인증을 받은 기업에서도 해킹 피해가 빈번하게 발생한다는 점이다. 2023년 LG유플러스, 2024년 SK텔레콤, 특히 올해에는 롯데카드가 ISMS-P 인증을 받은 상태에서 침해사고를 당했다. 특히 롯데카드 해킹은 인증 심사를 마친 지 불과 보름 만에 벌어졌고, 주민번호·카드 CVC번호 등 297만명의 민감 정보가 유출됐다는 점에서 큰 사회적 충격을 안겼다.
이 사건에서 공격자는 2017년에 발견된 오라클 웹 애플리케이션 서버(WAS)의 취약점을 악용했다. 해당 취약점은 8년간 패치되지 않은 채 방치되어 있었고 바로 그 시스템이 인증 심사도 통과했다. 이처럼 치명적 취약점이 심사에서 발견되지 않았다는 사실은 “인증이 실제 보안 수준을 얼마나 보증하느냐”는 본질적 질문을 던졌다.
이런 한계는 제도 구조 자체와 연결돼 있다는 것이 전문가들의 지적이다. 무엇보다 ISMS-P 인증은 ‘그 시점에 기준을 충족하는지’를 확인하는 방식이다. 인증을 받은 순간에는 문제가 없었다 해도, 시간이 지나 패치가 누락되거나 시스템이 변경되면 위험은 언제든 되살아난다. 다시 말해 인증은 일회성 점검일 뿐 상시적인 감시나 대응을 대신하지 못한다.
인증 범위와 구조도 한계로 지적된다. 일례로 올해 수십억원의 피해를 낳은 KT의 해킹 사고에서는 ‘초소형 기지국(펨토셀)’이 공격에 악용됐는데, 이 장비는 인증 범위에서 제외돼 있었다. 인증 범위를 좁게 잡으면 실제 공격 표면이 심사에서 빠질 수밖에 없다. 해커는 범위 안팎을 구분하지 않지만, 인증은 ‘범위 안쪽만 본다’는 간극이 그대로 드러난 셈이다.
현행 인증 기준이 문서·절차 중심이라는 점도 문제다. 관리 정책, 접근통제 규정, 로그관리 체계 등은 서류상 정상으로 보일 수 있지만, 공격자는 문서가 아닌 실제 시스템의 작은 취약점, 설정 오류, 패치 누락을 파고든다. 현재 ISMS-P에는 외부 전문가가 해커 시각에서 점검하는 모의해킹이 의무가 아니기 때문에, 현실 공격을 충분히 반영하지 못한다는 비판도 이어진다.
여기에 많은 조직이 인증을 일회성 프로젝트처럼 준비하는 관행도 문제가 된다. 인증을 준비하는 시기에는 보안 프로세스가 정비되지만, 시간이 지나면 담당자가 바뀌거나 신규 시스템이 누락되고, 정기 점검이 느슨해지면서 취약점은 다시 쌓인다. 인증이 해킹 면책용 방패처럼 소비된다는 지적이 나오는 이유다.
아울러 보안 사고의 상당수는 제도보다 ‘사람’에서 시작된다는 점도 간과할 수 없다. 기본 비밀번호 방치, 오래된 취약점 미패치, 외주 관리 소홀 등은 인증 기준만으로 완전히 걸러낼 수 없다. 롯데카드 사건처럼 단 하나의 패치 누락이 전사적 침해로 이어지는 현실에서, 어떤 인증도 내부의 부주의를 대체할 수 없다는 점은 분명하다.
결과적으로 “ISMS-P 인증이 형식적이고 체크리스트만 충족하면 끝나는 제도”라는 비판이 나온 것은 과장이 아니다. 인증은 ‘기본 토대’를 확인해주는 장치일 뿐, 그 이후의 지속적인 보안 관리가 수반되지 않으면 언제든 무너질 수 있는 체계라는 점이 여러 사고에서 보여주는 교훈점이다.
정부는 어떻게 대응하고 있나요?
정부는 이런 문제를 해결하기 위해 지난 10월 ‘범정부 정보보호 대책’을 발표하면서 ISMS 인증의 실효성 확보를 위한 대책을 강구하겠다고 밝혔다. 인증 점검을 더욱 강화한다는 것이 골자다. 인증은 현장 중심 심사로 바뀌며 한 번 인증을 받았어도 중대한 결함이 확인되면 인증 취소와 함께 즉시 재심사를 거치게 된다. 지속적으로 인증 점검을 하는 방향으로 전환된다.

당시 배경훈 과학기술정보통신부 장관은 “그동안 ISMS는 ‘인증을 위한 인증’이라는 비판이 많았다”며 “앞으로는 최고정보보호책임자(CISO)의 실질적 통제 권한과 실행력을 중심으로 평가하겠다”고 말했다.
이어 개인정보위도 문제를 의식해 최근 2025년 ISMS-P 인증 기업들을 대상으로 특별점검을 예고했다. 이는 기존 사후심사 체계에서 사고 발생 가능성이 높은 핵심 항목 5개(비밀번호 관리, 암호화 적용, 로그 기록, 보안 패치, 사고 복구 대응)을 중심으로 자가 점검을 실시하도록 하는 방식이다. 각 기업은 최고경영자(CEO) 책임 하에 점검 결과를 확인서 형태로 제출해야 하며, 이후 실제 사후심사 일정에 따라 현장점검도 예정돼 있다.
이번 조치는 인증제도 자체에 대한 불신이 커지는 상황에서 정부가 신뢰 회복을 위해 신속 대응에 나섰다는 점에서 의미가 있다. 개인정보위는 “기존 사후심사를 빠르게 당긴 것일 뿐, 별도의 조사나 제재 성격의 점검은 아니다”고 밝혔다.
또 하나의 중요한 움직임은 ‘모의해킹’ 도입 논의다. 현재 ISMS-P 인증 기준에는 연 1회 이상 침해대응 모의훈련을 실시하도록 돼 있지만, 대부분 내부자 주도의 시나리오 기반 훈련에 그친다. 이에 과기정통부와 개인정보위는 외부 보안 전문가가 해커의 관점에서 실제 침투 가능성을 시험해보는 모의해킹 항목을 심사에 포함하는 방안을 검토하고 있다.
이 방식이 도입되면 인증을 받으려는 기업은 실질적인 취약점 점검을 외부로부터 받아야 하며, 형식적 점검 수준을 넘어 보안 실효성을 증명해야 한다.
ISMS-P 인증, 무적 방패가 아닌 최소한의 울타리
결국 “인증을 받았는데 왜 해킹당하느냐”는 질문에 대한 정답을 찾기 어렵다. ISMS-P는 일정 수준의 보안체계를 갖추고 있다는 최소한의 기준일 뿐 절대적인 방패는 아니다. 마치 건강검진이 질병 예방에 도움이 되지만 병 자체를 막아주지는 않는 것처럼, 인증은 최소한의 안전장치일 뿐이다.
문제는 인증 이후다. 보안 패치 누락, 로그 미관리, 인력 교육 부족 등 사소한 빈틈이 해킹으로 이어지는 경우가 많다. 인증을 통과를 위한 관례가 아니라 지속적인 보안 점검의 출발점으로 여길 때 제도는 실효성을 가질 수 있다는 게 전문가들의 얘기다.
정부는 향후 인증 기준을 개편하면서 ▲모의해킹 침투테스트 강화 ▲금융권 심사기준 정비 ▲중소기업 간편 인증제 도입 등 구조적인 개선을 예고하고 있다. KISA 관계자는 “현재 ISMS-P 제도의 실효성을 높이기 위한 구조 개편을 진행 중”이라며 “홈페이지 개편부터 ISMS-P 인증을 운영하는 차세대 플랫폼을 새롭게 구축하는 것까지 제도의 실효성과 접근성을 더 높여갈 예정”이라고 설명했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

