ISMS-P 심사가 완전히 달라진다

3월 12일, 과기정통부와 개인정보보호위원회가 KISA·금융보안원·심사기관·인증심사원과 함께 'ISMS-P 인증제 실효성 강화를 위한 현장 간담회'를 열었다. 간담회에서 나온 정책 방향을 한마디로 요약하면 이렇다.

서면 증적 + 스냅샷 1회 심사로 인증받던 시대는 끝난다.

인증받은 기업에서 대형 유출 사고가 계속 터지니까, 제도 자체를 뜯어고치겠다는 것이다. 송경희 개인정보위 위원장은 "심사 시점에 발급받은 인증서 표지로 만족하는 것이 아니라, 일정 수준 이상의 보호 조치가 지속적으로 유지될 수 있는 구조를 만들겠다"고 했다.

뭐가 바뀌나

정부가 제시한 개편 방향은 크게 네 가지다.

1. 간편·표준·강화 — 3단계 차등 인증

지금까지는 기업 규모에 관계없이 같은 기준으로 심사했다. 앞으로는 위험 수준에 따라 3단계로 나뉜다.

통신사, 대형 플랫폼 같은 고위험군에는 강화 인증이 적용된다. KISA 김선미 디지털보안인증단장에 따르면, 주요 보안위협 사례와 주요국 보안 요구사항을 참고해 강화 인증 기준을 별도로 개발할 예정이다.

또 하나 중요한 건, 외부 인터넷 연결 자산을 인증 범위에 반드시 포함시킨다는 점이다. 기업이 임의로 서버나 클라우드 자산을 인증 범위에서 빼는 편법을 차단하겠다는 취지다. 컨설팅 현장에서 자산 범위 산정이 늘 논란이었는데, 이 부분이 명확해지면 심사 과정이 상당히 달라질 것이다.

2. 예비심사 신설 + 현장실증형 심사

지금 ISMS-P 심사는 특정 시점의 상태를 확인하는 '스냅샷' 방식이다. 본심사 때 서면 증적을 보고, 샘플링으로 몇 개 확인하고 끝이다.

바뀌는 방식은 이렇다.

예비심사: 본심사 전에 핵심 통제항목(비밀번호 암호화, 최신 패치 적용 등)을 먼저 점검한다. 미충족 시 본심사 진입 자체가 차단된다. 최초 인증은 신청이 반려되고, 사후심사에서 미충족이면 인증이 취소될 수 있다.

현장실증형 심사: 서류 확인이 아니라, 실제 시스템을 직접 검증한다. 취약점 스캐너, 소스코드 진단, 모의침투 테스트가 심사 과정에 들어온다. 이를 위해 전문 기술 인력과 심사 기간을 대폭 늘린다.

실무자 입장에서 이게 가장 큰 변화다. 지금까지는 "문서 있으면 됩니다"였는데, 앞으로는 "직접 보여주세요"가 된다.

3. 사후관리 강화 — 사고 나면 인증 취소

인증 받았다고 끝이 아니게 된다.

유출 사고가 발생한 기업에 대해서는 사후심사 인력과 기간을 2배로 확대해서 사고 원인과 재발 방지 조치를 집중 점검한다. 중대 결함이 확인되면 인증 취소까지 가능하다.

인증 유지 자체가 상시 과제가 된다는 뜻이다. 3년 주기로 갱신하면 되던 시절이 아니라, 사고가 터지면 언제든 인증이 날아갈 수 있다.

4. 심사기관 감독·심사원 전문성 강화

심사 품질 관리도 강화된다. 심사 품질이 미달인 인증기관에 대해 업무 정지나 지정 취소 등 행정 처분이 가능한 법적 근거를 마련한다. 분야별 인증위원회를 운영하고, 심사원 대상 AI 등 신기술 교육도 확대한다.

개정 개보법과의 연결

이번 개편은 독립적인 움직임이 아니다. 2026.3.10 공포된 개정 개인정보보호법의 **ISMS-P 의무화 조항(제32조의2 제1항 단서, 2027.7.1 시행)**과 직접 맞물린다.

의무화 대상 기준은 시행령에 위임돼 있어서 아직 확정되지 않았지만, 간담회에서 나온 방향을 보면 "매출 규모 + 개인정보 보유 규모"를 기준으로 공공시스템 운영기관, 통신사, 대형 플랫폼 등이 주요 대상이 될 전망이다.

2027년 7월에 의무화가 시행되고, 그 전에 심사 방식이 현장실증형으로 바뀌면 — 지금부터 준비하지 않으면 시간이 부족하다.

지금부터 뭘 해야 하나

아직 고시 개정 전이라 세부 기준은 확정되지 않았다. 하지만 방향은 명확하다.

인증 범위 재점검: 외부 인터넷 연결 자산이 빠져 있다면 지금부터 포함시켜야 한다. 클라우드 자산, SaaS 연동, API 엔드포인트 등 범위에서 제외했던 것들을 다시 확인해야 한다. 컨설팅하면서 범위 산정 논의를 여러 번 했는데, 솔직히 "이건 빼도 되지 않나요?"라는 질문이 가장 많았다. 앞으로는 그 논의 자체가 줄어들 거다.

기술적 검증 체계 구축: 취약점 스캐너, 소스코드 진단, 모의침투 테스트를 심사 때만 하는 게 아니라 상시 운영 체계로 전환해야 한다. 1년에 한 번 심사 시점에만 돌리는 곳이 아직 많은데, 현장실증형으로 바뀌면 그 방식으로는 안 된다.

예비심사 대응: 비밀번호 암호화, 패치 관리 등 핵심 통제항목이 상시 충족되고 있는지 자체 점검 프로세스를 만들어야 한다. 이건 오히려 좋은 변화라고 본다. 본심사 가서 기본적인 게 안 돼 있으면 서로 시간 낭비니까.

사고 대응 체계 점검: 사고 나면 인증 취소까지 가능해지니까, 사고 대응 → 원인 분석 → 재발 방지 프로세스가 문서로만 있는 게 아니라 실제로 작동하는지 확인해야 한다. "절차서 있습니다" 한마디로 넘어가던 시절은 끝나는 셈이다.

정부는 이번 간담회 의견을 반영해 'ISMS-P 인증제 실효성 강화방안'을 곧 발표할 예정이다. 나오면 별도로 다룰 것이다.

---

출처

• 뉴시스 — 통신사·대형 플랫폼 보안 인증 더 까다로워진다…정부, ISMS-P 개편 추진 (2026.03.12)
• 뉴스웍스 — 과기부·개보위, ISMS-P 실효성 확보 추진…예비심사 신설·현장실증형 심사 도입
• 바이라인네트워크 — 과기정통부·개인정보위, ISMS-P 인증 전면 개편
• 이투데이 — 정부, 실효성 논란 ISMS-P 손본다…강화인증 신설·예비심사 도입