ISMS-P 인증제 실효성 강화방안 — 확정 내용 총정리
ISMS-P 인증제 실효성 강화방안 — 확정 내용 총정리
지난 3월 간담회 방향을 다룬 적이 있다. 4월 10일, 개인정보보호위원회와 과기정통부가 경제관계장관회의에서 「정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안」을 정식 발표했다. 방향만 있던 것이 구체적인 숫자와 일정을 갖춘 확정안이 됐다.
배경은 명확하다. 최근 3년간 ISMS/ISMS-P 인증기업 중 179개사(약 14%)에서 침해사고가 발생했다. 인증이 사고 예방 수단으로 작동하지 못하고 있다는 비판이 제도 전면 개편으로 이어진 것이다.
확정된 개편안은 4가지 축으로 구성된다.
1. 인증 의무대상 확대 및 기준 강화
ISMS-P 의무화
그동안 자율 취득이었던 ISMS-P가 의무화된다. 대상은 다음과 같다.
- 주요 공공시스템 운영기관
- 이동통신사업자
- 본인확인기관
- 매출액 및 개인정보 처리규모를 고려한 대규모 개인정보처리자
의무화 시 과징금 감경 혜택은 제외된다. 즉, 의무니까 당연히 해야 하는 것이지 감경 사유가 되지 않는다는 뜻이다.
3단계 차등 인증 체계
획일적 기준에서 벗어나 강화·표준·간편 3단계로 재편된다.
| 등급 | 설명 | 인증기준 수 |
|---|---|---|
| 강화인증(Advanced) | 고위험 사업자 대상, 보안 수준 강화 | 표준 기준 + 강화 기준 20개(세부점검항목 76개) |
| 표준인증(Standard) | 기본 원칙 중심 | ISMS 80개 / ISMS-P 101개 |
| 간편인증(Lite) | 인증 부담 완화 | ISMS 44개 / ISMS-P 65개 |
강화인증 대상은 매출 1조 이상 주요 ISP·IDC, 매출 3조 이상 정보통신서비스 제공자 등이다.
강화 인증기준 주요 내용
강화인증군에 추가 적용되는 기준 예시가 공개됐다.
- 최고책임자 지정: CISO·CPO를 CEO 직속 임원으로 임명, 실질적 보안 통제 권한 부여
- 정보자산 식별 강화: 자동화 도구로 자산·구성요소 목록 관리, 비인가 구성요소 탐지
- 무결성 검증: SW·펌웨어 비인가 변경 탐지를 위한 무결성 검증 도구 운영
- 자동화된 계정 관리: 계정 생명주기 전반 자동화, 상태 변경 실시간 반영
- 사용자 인증 강화: 중요 시스템 접근 시 강화 인증 의무, 위험 수준에 따른 적응형 인증
- 인증정보 관리: 액세스 토큰, API키 등의 전체 생명주기 체계적 관리
- 네트워크 접근 강화: 외부 연결 접점 최소화, 중요망과 물리적/논리적 분리
인증범위 확대
인증대상 서비스 관련 장비·시설을 누락 없이 포함하고, 외부 인터넷과 연결되는 접점 자산은 반드시 인증범위에 포함하도록 단계적으로 확대한다. 3월에 예고됐던 방향이 그대로 확정됐다.
2. 인증심사 방식 강화
심사팀 구성 개편
구체적인 투입 인력·기간이 확정됐다.
| 구분 | 기존 | 표준인증(개선) | 강화인증·사고기업 |
|---|---|---|---|
| ISMS | 5명, 5일 | 6명, 5일 | 10명, 10일 |
| ISMS-P | 5명, 7일 | 6명, 7일 | 10명, 12일 |
강화인증군에는 취약점점검원(전문기업 소속)이 전담 투입된다. 점검 대상 자산 수도 기존 10대에서 최대 500대로 대폭 확대된다.
인증심사 절차 변경
| 단계 | 기존 | 개선 |
|---|---|---|
| 인증신청 | 운영명세서 | 운영명세서 + 인증범위 자산·위험평가 현황 |
| 예비심사 | 심사팀장 1인 방문(1일) | 핵심항목 선검증 + 기술심사(취약점진단, 모의침투) |
| 본심사 | 서면 위주, 샘플링(5일) | 서면점검 + 현장실증형 심사 |
| 이행심사 | 심사팀장 1인(1일) | 심사팀장 + 미흡 수준 따라 추가 투입 |
핵심항목 미충족 시 본심사 자체가 불가하다. 최초인증은 반려, 사후심사에서 미충족이면 인증 취소다.
핵심항목(안)
- CISO·CPO의 정보보호 정책 관리 권한 여부
- 개인정보 처리·외부 인터넷 접점 자산 식별
- 개인정보 처리시스템 비밀번호·암호화 적용
- 취약점·패치관리
기술심사 수행 절차
정보자산 식별 → 점검범위 설정 → 취약점 점검 → 결과 검토
취약점 점검은 4가지 유형으로 수행된다.
| 구분 | CVE | CCE | 소스코드 점검 | 모의침투 |
|---|---|---|---|---|
| 점검내용 | 자산식별, 취약점 스캔 | 보안설정(계정, 권한 등) | SW 보안약점 진단 | 시나리오 기반 침투테스트 |
| 참조기준 | CVE, 보호나라, 국가사이버안보센터 | 기반시설 취약점분석평가, CIS 벤치마크 | CWE, KISA 보안약점 진단가이드 | MITRE ATT&CK |
현장실증 심사 예시
발표된 현장실증 방법 예시도 구체적이다.
- 정보자산 식별(1.2.1): 자산관리시스템 실사, 필요시 네트워크 스캔 도구 활용
- 퇴직·직무변경 관리(2.2.5): 테스트 계정 생성 후 퇴직 상황 부여, 계정·권한 회수 절차 검증
- 이상행위 모니터링(2.11.3): 이상행위 상황 부여 후 서버·보안시스템 로그 실사
- 사고 대응 및 복구(2.11.5): 테스트 파일 암호화 후 실제 복구 시연
3. 인증 사후관리 강화
상시 점검체계
인증 취득 후에도 핵심항목의 이행·관리 여부를 주기적으로 점검한다. KISA가 점검양식을 표준화·배포하고, 사후심사 시 집중 점검한다. 인증 시점에만 일시적으로 보안관리를 하는 관행을 차단하기 위한 조치다.
중대사고 발생 시
- 정부 조사·처분 종료 전까지 인증 심사·심의 잠정 중단 (유효기간 조건부 연장)
- 심사 재개 시 투입 인력·기간 2배 확대, 사고원인·조치현황 집중 심사
- 정부·인증기관 간 사고이력 상시 공유 체계 구축 (KISA 관리)
인증취소 기준 구체화
제도 시행 이래 한 건도 없었던 인증취소가 실제로 작동하게 된다. 취소 검토 대상은 다음과 같다.
| 사유 | 예시 |
|---|---|
| 사후관리 거부·방해 | 사후관리 포기, 사후심사 미신청, 신청자료 미제출·거부 |
| 인증기준 미달 | 중대결함(EoS 미조치, 보안패치 미적용, 로그 미보관 등) 보완 미조치 |
| 중대한 법령 위반 | 정보통신망법, 개보법 등에 따른 매우 중대한 위반행위 |
중대결함은 경영진 승인에 따른 위험수용이 불가하며, 보완조치 기한(100일) 내 미조치 시 인증위원회에 상정돼 취소 심의가 진행된다.
4. 심사기관·심사원 전문성 강화
- 신뢰도 조사: 매 심사 종료 후 심사기관 신뢰도 조사, 결과를 차년도 심사 배분량에 반영
- 심사기관 감독: 지정 기준 미달 시 업무정지(3~6개월), 업무정지 3회 시 지정취소
- 전문분야 관리: AI·클라우드 등 심사원 전문분야 정보 관리, 해당분야 우선 배정
- 심사원 처우개선: SW기술자 평균임금에 연동한 인건비 현실화
- 기술심사 가이드: KISA가 최신 위협 반영한 심사방법 개발·가이드 배포, 심사 일관성 확보
시행 일정
| 구분 | 시기 | 비고 |
|---|---|---|
| 상시 점검 강화, 인증취소, 사고이력 관리 | 2026년 하반기~ | 고시·가이드라인 |
| 인증기준서 개선 | 2026년 하반기~ | 가이드라인 |
| ISMS-P 의무화 | 2027년 하반기~ | 개보법 시행령·고시 |
| 인증 차등화, 강화인증기준, 인증범위 확대 | 2027년~ | 망법 시행령·고시 |
| 심사팀 개편, 심사절차 강화 | 2027년~ | 시행령·고시 |
| 심사기관·심사원 관련 전체 | 2027년~ | 고시·가이드라인 |
3월 간담회 때와 달라진 점
큰 방향은 동일하지만, 이번에 확정된 디테일이 있다.
- 강화인증 대상 기준: 매출 1조 이상 ISP·IDC, 매출 3조 이상 정보통신서비스 제공자
- 간편인증 신설: ISMS 44개, ISMS-P 65개 기준으로 인증 부담 완화
- 강화인증기준 20개(세부 76개) 구체적 예시 공개
- 점검 자산 수: 기존 10대 → 최대 500대
- 인증취소 사유 및 절차 구체화 (중대결함 기준, 100일 보완 기한)
- 수수료 인상 예정: 기술심사 비율 ISMS-P 10%→20%, SW평균임금 연동
- 구체적 시행 일정 확정 (2026 하반기·2027년)
실무 대응 포인트
3월 글에서 정리한 대응 방향이 여전히 유효하지만, 구체적 기준이 나온 만큼 추가할 사항이 있다.
- 강화인증 해당 여부 확인: 매출 기준으로 강화인증군에 해당하는지 먼저 파악해야 한다. 해당되면 준비 범위가 크게 달라진다.
- 기술심사 대비: CVE·CCE·소스코드·모의침투 4가지 유형의 취약점 점검이 심사에 포함된다. 연 1회 형식적 점검이 아닌 상시 기술검증 체계가 필요하다.
- 핵심항목 상시 충족: 예비심사에서 핵심항목 미충족 시 본심사 진입이 차단된다. CISO/CPO 권한, 자산 식별, 암호화, 패치관리는 연중 유지돼야 한다.
- 중대결함 기준 숙지: 인증취소로 이어질 수 있는 중대결함 기준이 인증기준서에 명시될 예정이다. 나오면 바로 확인하고 자체 점검에 반영해야 한다.
- 수수료 인상 반영: 인증 예산 계획에 수수료 인상분을 반영해야 한다. 특히 강화인증 대상은 10명·10~12일 규모의 심사 비용을 감안해야 한다.
2026년 하반기부터 상시점검과 인증취소가 먼저 시행된다. 2027년 ISMS-P 의무화와 차등인증 적용까지 남은 시간은 1년 남짓이다.
출처
- 개인정보보호위원회·과기정통부, 「정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안」 (2026.4.10)
- 개인정보보호위원회·과기정통부, 보도자료 「정부, 유출사고 예방 위해 인증제도 전면 개편」 (2026.4.10)