ISMS-P 초심자를 위한 기초 가이드

들어가며

개인정보 보호=기업 신뢰

삼일PwC에서 발간한 ‘PwC 소비자 설문 조사 2024: 소비자의 신뢰를 얻기 위한 6가지 과제’(31개국 2만 명  설문조사 실시) 발표에 따르면, 응답자의 83%는 데이터 보호를 기업 신뢰도에 영향을 주는 가장 중요한 영향으로 뽑았습니다. 또한, 그중 한국 응답자의 ‘기업 신뢰’과 관련된 1순위 역시 데이터 보호인 만큼, 개인정보의 보호는 곧 기업의 신뢰와 이어지는 중요한 요소입니다.

‘PwC 소비자 설문 조사 2024: 소비자의 신뢰를 얻기 위한 6가지 과제’ 중 [Q. 기업에 대한 신뢰를 형성하는데 다음의 각 영역이 얼마나 중요한가? (한국 응답자) ] 응답 결과

1. 소비자 데이터 보호 (76%)
2. 합리적인 가격의 제품 및 서비스 (70%)
3. 고품질 제품 및 서비스 (68%)
4. 일관된 고객 경험과 고품질 서비스 (64%)
5. 명확한 의사소통(63%)

2024년 개인정보 유출 신고는 총 307건

개인정보보호위원회와 한국인터넷진흥원(KISA)에서 발간한 「2024년 개인정보 유출 신고 동향 및 예방 방법」보고서에 따르면, 2024년 접수된 개인정보 유출 신고는 총 307건 (2023년 318건)입니다. 개인정보 유출 원인은 해킹이 56%(171건), 업무 과실 30%(91건), 시스템 오류 7%(23건) 순으로  발표되었습니다.

최근 4년간 교육기관 개인정보 유출, 615만건 이상↑

교육부에서 조사한 ‘교육 관련 기관들의 개인정보 유출사고 현황’ 자료에 따르면, 2021년부터 올해 8월까지 여러 교육기관(대학 및 대학병원, 교육청 및 일선 학교, 기타 교육기관 등)에서 유출된 개인정보는 615만 4,877건으로 발표되었습니다. 이때 주민등록번호, 고유식별번호, 병명, 진료결과 등 민감정보가 유출되었습니다.

이처럼 개인정보는 기업의 신뢰와 중요한 요소임에도 불구하고, 매년 개인정보 및 민감정보의 유출 사건, 사고는 잇따라 발생하고 있으면, 개인정보 보호에 대한 고객의 우려와 관심도 커지고 있는데요. 그렇기 때문에 개인정보 보호 예방 및 조치는 기업의 중요한 부분입니다. 

그래서 오늘은 ‘개인정보’란 무엇이고, ‘개인정보 보호’란 무엇인지, ‘국내 최고 정보보호 관리체계인 ISMS-P 인증’에 대해 메가존클라우드의 IRM팀과 함께 알기 쉽게 설명드리며, 메가존클라우드에서는 어떤 기술적 도움을 드릴 수 있는지 이야기 하고자 합니다. 

메가존클라우드 │IRM 

전사정보보호조직(IRM) 소개 및 주요 업무

이번 콘텐츠는  전사 정보보호조직(IRM)의 자문을 받아 작성되었는데요. 그렇다면 메가존클라우드의 전사정보보호조직(IRM)은 어떤 조직일까요? 

IRM은 Information Risk Management의 줄임말이며, 전사 정보를 보호하는 업무를 담당하는 주요 조직입니다. 메가존클라우드 전사정보보호조직(IRM)에서는 사내 정보보안정책 및 관련 근거 정책 및 지침에 근거하여 하기의 업무를 담당하고 있습니다. 

• 정보보호인증(ISMS-P, ISO27001, ISO 27701등) 획득 및 유지
• 네트워크, PC보안 및 인터넷통제
• 정보보호시스템 운영관리
• 임직원 및 고객사 보안을 위한개인정보 및 정보보호 관리체계 구축

메가존클라우드 ISMS-P 인증

전사정보보호조직(IRM)의  업무 일환으로 메가존클라우드의 ISMS-P 인증 유지 및 관리하는 업무도 담당하고 있는데요. 그거 아시나요? 메가존클라우드는 국내 AWS MSP 전문 기업 중 최초로 ISMS 인증을 획득했답니다. 😎

• 2018.02 ISMS 인증 획득(최초)
• 2020.03 ISMS-P 인증 획득(최초)

해당 인증 내역은 메가존클라우드 홈페이지(https://www.megazone.com/)를 살펴보시면 메가존클라우드에서 획득한 ‘정보보호 및 개인정보보호 관리체계 인증서’를 확인하실 수 있습니다. 이를 통해 메가존클라우드는  ISMS-P 인증 획득으로 최고 수준의 정보보호 및 개인정보보호 관리체계를 갖춘 안전한 기업이라는 것을 증명하고 있죠. 

그렇다면 ISMS-P가 무엇이고,  ISMS-P 인증을 받는다는 것이 어떤 의미인지는 아래 본문에서 자세히 설명해보도록 하겠습니다.

‘개인정보’란?

개인정보(Personal Data) 

본문에 들어가기에 앞서 ‘개인정보’란 무엇인지 먼저 소개하고 넘어가도록 하겠습니다. 개인정보는 특정 개인을 식별할 수 있는 정보를 의미하며, 그 사람이 누구인지 알아볼 수 있게 만드는 모든 종류의 정보입니다. 개인정보는 보통 이름, 주소, 전화번호, 이메일 주소 등과 같이 개인을 구체적으로 식별할 수 있는 정보가 포함됩니다. 

개인정보(개인정보 보호법 제2조 1항) 

• 성명, 주민등록번호, 영상 등을 통해 개인을 식별할 수 있는 정보
• 해당 정보만으로는 특정 개인을 알아볼 수 없지만,
• 다른 정보와 쉽게 결합해 개인을 식별할 수 있는 정보

민감정보(Sensitive Personal Data)

민감정보는 일반 개인정보보다 보호 수준이 더 높은, 개인의 사생활을 심각하게 침해할 우려가 있는 정보를 말합니다. 대한민국 「개인정보 보호법」 제23조에 따르면, 민감정보는 다음과 같은 정보를 포함하고 있습니다.

민감정보 (개인정보 보호법 제23조)

1. 사상, 신념
2. 노동조합
3. 정당 가입 여부
4. 정치적 견해
5. 건강, 의료 기록
6. 성생활 정보

이러한 정보들은 잘못 유출되거나 악용될 경우 개인에게 심각한 피해를 줄 수 있기 때문에,  재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 합니다.

‘개인정보 보호법’이란? 

한국에서는 개인정보 보호법을 통해 개인정보 보호는 개인의 프라이버시를 지키고, 악용이나 유출을 방지하고 있습니다. 또한, 개인정보 보호법에 따르면 개인정보를 부당하게 처리하거나 유출한 경우에는 벌금이나 형사 처벌을 받을 수 있습니다.

1. 개인정보 처리자의 의무 위반: 1천만 원 이하 벌금

2. 개인정보 유출: 3천만 원 이하의 벌금이나 5년 이하의 징역

3. 민감정보 무단 수집/목적 외 사용: 5천만 원 이하의 벌금

4. 데이터 처리자의 책임:  5천만 원 이하 벌금

5. 개인정보의 목적 외 사용: 3천만 원 이하의 벌금

6. 개인정보 보호 의무를 위반한 공공기관: 최대 1억 원 이하의 벌금이 부과

개인정보 보호를 철저히 준수하는 것이 중요하며, 기업이나 기관은 이를 위한 정책과 시스템을 갖추어야 하는데요. 그렇다면 개인정보를 보호하기 위해서 어떤 정책 및 시스템이 있을까요?

ISMS-P│3분 만에 쉽게 이해하기

ISMS-P 인증 이란?

ISMS-P(Information Security Management System & Privacy)는 정보통신망법과 개인정보보호법에 따라 설계된 인증 제도로  ISMS와 개인정보 관리체계 인증을 단일 심사 절차로 통합한 인증입니다. ISMS와 ISMS-P의 개념을 비교해서 설명하면 다음과 같습니다.

ISMS(Information Security Management System)

• 정보보호 관리체계 인증

• 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

ISMS-P(Information Security Management System & Privacy)

• 정보보호 및 ‘개인정보보호’ 관리체계 인증

• 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

기업 및 기관에서는 본 인증을 취득함으로써 정보통신망법 및 개인정보 보호법에서 요구하는 정보보호 및 개인정보 보호 기준을 준수하고 있음을 증명할 수 있습니다. 해당 인증은 한국인터넷진흥원(KISA)에서 관리하며, 독립적인 심사기관이 인증 기준 충족 여부를 평가한 후 인증을 부여합니다.

ISMS-P의 주요 목적

• 기업이 서비스 신뢰성 확보
• 복잡한 사이버 위협에 대응
• 법적 요구를 준수할 수 있도록 돕는 필수 인증

ISMS-P 인증의 주요 목적은 기업이 서비스 신뢰성을 확보, 복잡한 사이버 위협에 대응, 법적 요구를 준수할 수 있도록 돕는 필수 인증이며, 정보통신망법에 따라 아래 도표에 기재된 기준에 적용 되는 경우 반드시  ISMS 또는 ISMS-P 중 하나를 취득해야 합니다. 

ISMS인증 의무대상자(정보통신망법 제47조 2항)

구분	의무대상자 기준
ISP	「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
IDC	정보통신망법 제46조에 따른 집적정보통신시설 사업자
다음의 조건 중 하나라도 해당하는 자	①전년도 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 – 「의료법」 제3조의4에 따른 상급종합병원 – 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 ② 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 ③ 전년도 일일평균 정보통신서비스 이용자 수가 100만 명 이상인 자

ISMS-P 인증의 혜택 │ISMS-P 인증을 받으면 왜 좋을까?

ISMS-P 인증을 받으면 왜 좋을까요? 물론 여러 가지 좋은 점이 있겠지만, 이해하기 쉽게 3가지만 손꼽아 설명하자면 다음과 같습니다. 

1️⃣ 고객 및 파트너사의 신뢰 확보

2️⃣ 주요 관계법령 및 규제 준수(개인정보보호법, 정보통신망법)

3️⃣브랜드 이미지 및 대외 신뢰도 향상

기업 및 기관의 입장에서는 ISMS-P 인증을 획득했다는 것은 기업 및 기관을 사용자(홈페이지 방문자 및 고객 등)에게 신뢰할 수 있는 객관적인 인증이기 때문에 해당 기업의 신뢰성 및 브랜드 가치 제고에 도움이 될 수 있습니다.

또한, 관련된 법률 및 각종 규제를 준수해야 ISMS-P 인증을 획득할 수 있는 것이기 때문에, 자연스럽게 개인정보 보호법을 준수하여 앞서 설명했던 벌금 및 형사 처벌을 미연에 방지할 수 있습니다.

ISMS-P 인증 기준 및 주요 요구사항

ISMS-P 인증 기준

상기 첨부그림은 2024년 7월에 발행된 ‘정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증제도 안내서’에서 가져온 ISMS–P 인증기준 입니다.

해당 그림에서

• 1-2 항목까지 요건을 충족할 시,< ISMS 인증>을 획득할 수 있습니다.
• 1-3 항목까지 요건을 충족할 시, <ISMS-P 인증>을 획득할 수 있습니다.

3번의 항목에 ‘개인정보’와 관련된 수집, 이용, 제공, 파기 등 정보주체 권리 보호의 내용이 있는 것을 알 수있듯이 ISMS-P는 ‘개인정보’를 수집하고 이용하는 전반적인 항목에 대한 요건 충족을 요구하는 것을 알 수 있습니다.

기업에서 ISMS-P를 준비할 때 고려해야 할 점

ISMS-P 인증을 취득하기 위해서는 여러가지를 고려해야겠지만, 특히 아래 3가지 요건을 고려하는 것이 중요하는데요. 

1️⃣ 경영진 및 전사 구성원 참여 체계 수립, 심사진행을 위한예산 및 인력 수립

2️⃣ 인증 대응 위한 법적 요구사항 및 인증통제항목(체크리스트) 준수여부

3️⃣ 외부 컨설팅 활용 여부

한국인터넷진흥원(KISA) 홈페이지를 통해 인증제도와 인증기준에 대해 파악할 수 있으나, 사내에 기업에서 제공되고 있는 각 서비스에 맞는 정보보호 요건의 적절성과 관련 법령을 검토하여 준수되도록 운영하는 정보보호 담당자 및 전문가가 없는 경우 ISMS-P 인증을 획득하기 어렵습니다.  많은 업무로 인력 또는 시간이 부족한 경우 외부 정보보호 컨설팅을 통해 지원이 필요한 부분입니다.

ISMS-P 최신 동향 및 향후 전망

1️⃣ 개인정보보호법 개정 기준 및 규제 변화에 따른 ISMS-P 항목 변화

개인정보보호법 이하 관련 규제 등 큰 개정이 일어났을 경우, ISMS-P 인증 항목도 개정되는 경우가 있습니다. 다만, 관련 법령이 자주 개정되진 않기 때문에 정확한 수치는 따로 없으며, 매년 반드시 연간 단위로 개정이 되어야한다거나 하는 정확한 주기는 없습니다. 다만, 개인정보 보호법 등 관련 법령이 자주 변경되지 않기 때문에 ISMS-P 인증 항목도 자주 변경되는 편은 아닙니다.

2️⃣ 클라우드 환경에서의 ISMS-P 인증의 중요성 증가🔥

2023년 정부의 공공 클라우드 전환 실질 규모 230억 원로 파악되며, 정부는 2026년까지 현행 시스템의 50% 이상을, 2027년까지 70% 이상을, 2030년까지는 공공 정보시스템을 전면 클라우드 네이티브로 전환할 계획이라고 밝혔습니다.

또한, 앞서 설명드린 정보통신망법에 따라 조건에 충족되는 기관 및 기업들은 반드시 ISMS-P(또는 ISMS) 인증을 취득해야하며, 이러한 법적 규제를 통해 국민들의 개인정보를 보호하기 위해 규제화 하고 있습니다.ISMS-P는 기업이 고객 정보를 안전하게 관리하고 있다는 신뢰의 상징이 될 수 있으며, 특히 금융, 헬스케어, 유통 등 민감한 정보를 다루는 산업에서는 필수적으로 요구되며, 공공기관과의 거래에서도 중요한 요소로 작용합니다. 클라우드를 안전하게 활용하고 대외 신뢰도를 높이기 위해서는 ISMS-P 인증이 이제 선택이 아닌 필수인 시대가 도래한 것이죠.

3️⃣개인정보보호 인식 제고 및 향후 전망

과거에서 부터 개인정보 보호에 대한 중요성을 국민들의 인식이 제고되고 있으며, 정부에서도 이에 대해 중요하게 생각하면 점차 규제 및 인증이 발달해왔습니다. 최근 일부 기업 또는 기관에서 개인정보 유출이 발생하는 사건사고가 발생하고 있는데요.이와같은 개인정보 유출 사건사고 발생 시 과태료 및 과징금이 부여되고, 기업의 신뢰성 및 이미지에 굉장히 중요한 영향을 끼치고 있기 때문에, 앞으로도 개인정보 보호가 중요해질 것으로 보입니다. 따라서 앞서 여러차례 소개한 내용에서 미루어 짐작할 수 있듯이 개인정보를 보호할 수 있는 ‘국내 최고 정보보호 관리체계’ ISMS-P 인증 획득이 기업 및 기관에게 중요해질 것으로 보입니다.

개인정보 보호를 위한 Special Offering (기술적 도움)

그렇다면 기업에서 고객의 개인정보를 보호하기 위해 메가존클라우드에서 어떤 기술적 도움을 드릴 수 있을까요?

1️⃣ (고객의 개인정보 보호를 위한) ISMS-P

생성형 AI 모델 학습을 적용하여, ISMS-P의 상세 요구 사항을 매핑할 수 있는 초기 데이터를 생성해드립니다. 초기 매핑 데이터는 메가존클라우드의 전문가의 검토를 거쳐 점진적으로 개선되었으며 최종적으로 Prowler에서 활용 가능한 KISA-ISMS-P 컴플라이언스를 완성할 수 있었는데요.

ISMS-P 인증 절차의 어려움을 쉽게 해결하고 싶다면? 

• 지난 게시물에서 ISMS-P 인증 절차의 어려움과 해결방안 살펴보고
• 메가존클라우드 전문가 상담을 통해 어려운 ISMS-P 인증도 쉽게 시작해보세요!

2️⃣ (클라우드 보안을 위한) CSAP

생성형 AI 및 클라우드 도입 및 확장하는 추세에 따라 클라우드 보안에 대한 걱정도 커지고 있는데요. 이럴 수록 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률에 따라, 클라우드 서비스의 안정성과 신뢰성을 평가하고 인증하는 보안 인증제도도 함께 필요하답니다.

CSAP(Cloud Security Assurance Program) 보안인증 어려움을 쉽게 해결하고 싶다면?

• 지난 게시물에서 CSAP 보안인증의 어려움과 해결방안 살펴보고
• 메가존클라우드 전문가 상담을 통해 어려운 CSAP 인증도 쉽게 시작해보세요!

함께 읽으면 좋을 게시물

보안 관련 테크 블로그(최신)

자문 │메가존클라우드 전사정보보호조직(IRM)

기획 및 글 │메가존클라우드 마케팅유닛 김주성 매니저