네이버 보안투자 3년간 58%↑…ISMS-P 등 8개 국제인증 동시 유지

핵심 요약

- 네이버, 2024년 대비 2026년 보안투자 58.4% 증가하며 IT부문 대비 보안 비중 확대 - ISMS-P, ISO 27001·27017·27018·27701, SOC 2·3, CBPR 등 8개 국제인증 3년 연속 동시 유지 - 정보보호 인력 비율 4.8%로 확대, 보안투자와 인력 확보를 동시 추진하는 모범사례 제시

주요 내용

네이버가 2026년까지 3년간 보안투자를 58.4% 대폭 확대하며 정보보호 경영의 새로운 기준을 제시하고 있다. 2024년 대비 2026년 보안투자 증가율이 약 58.4%에 달하며, 같은 기간 IT부문 전체 투자액 1조1363억원 중 보안 부문의 비중이 지속적으로 확대되고 있는 것으로 나타났다.

특히 주목할 점은 네이버가 단순 투자 확대를 넘어 정보보호 인력 비율을 4.8%까지 확대했다는 점이다. 이는 정보통신망법 및 개인정보보호법상 요구되는 전담조직 구성 요건을 초과하는 수준으로, 보안투자와 인력 확보를 동시에 추진하는 실질적인 정보보호 체계를 구축했음을 의미한다.

네이버는 3년 연속 ISMS(정보보호관리체계), ISMS-P(개인정보보호 관리체계), ISO 27001·27017·27018·27701, SOC 2·3, CBPR(국경 간 개인정보보호 규칙) 등 총 8개의 주요 국내외 인증 및 평가 체계를 동시에 유지하고 있다. 이는 국내 클라우드 서비스 제공자로서 글로벌 수준의 정보보호 및 개인정보보호 역량을 입증하는 것이다.

이러한 다중 인증 유지는 단순한 인증 획득을 넘어 각 인증별 요구사항을 통합 관리하는 고도화된 정보보호 거버넌스를 구축했음을 보여준다. 특히 ISO 27701(개인정보보호), ISO 27017·27018(클라우드 보안), SOC 2·3(서비스 조직 통제) 등의 동시 유지는 B2B 클라우드 서비스 제공자로서 고객 신뢰 확보에 필수적인 요소다.

전문가 시각

ISMS-P 심사원 관점에서 볼 때, 네이버의 사례는 '형식적 인증'이 아닌 '실질적 정보보호 투자'의 모범사례로 평가할 수 있다. 통상 ISMS-P 인증 유지 기업들이 최소 요건 충족에 머무르는 경우가 많은 반면, 네이버는 3년간 58.4%의 투자 증가율을 보이며 정보보호를 경영 핵심 과제로 다루고 있다. 특히 정보보호 인력 비율 4.8%는 법정 요건(1% 이상)을 크게 상회하며, 이는 심사 시 '최고경영자의 정보보호 의지' 항목에서 최상위 등급으로 평가될 수 있는 수준이다.

8개 인증의 동시 유지는 통합 관리체계(IMS, Integrated Management System) 운영 역량을 입증한다. 실무적으로 ISMS-P와 ISO 27001의 요구사항 중복률은 약 70% 수준이며, 여기에 ISO 27701까지 포함하면 개인정보보호 영역의 통합 관리가 가능하다. 기업들은 네이버 사례를 참고하여 개별 인증을 따로 관리하기보다는, 공통 통제항목을 식별하고 통합 증적 관리 체계를 구축하는 것이 효율적이다. 다만 SOC 2·3와 같은 미국 기준 인증까지 포함할 경우, 연속성 모니터링과 실시간 로그 관리 등 운영 부담이 크게 증가하므로 사업 필요성과 투자 여력을 신중히 검토해야 한다.

ISMS-P 심사원 체크포인트

1. 관리체계 기반 마련(1.1.1 정보보호 및 개인정보보호 정책 수립·이행) - 최고경영자의 정보보호 의지를 입증하는 핵심 지표는 '예산 배정'과 '인력 투입'이다 - 심사 시 3개년 정보보호 예산 추이, IT 예산 대비 정보보호 예산 비율(권장 7~10%), 전담인력 비율(법정 1% 이상) 확인 필수 - 개인정보보호법 제31조(개인정보 보호책임자의 지정) 및 시행령 제32조(전담조직 구성)와 연계하여, 형식적 지정이 아닌 실질적 권한과 자원 배정 여부를 증적으로 검증

2. 인증 및 제3자 검증 활용(1.3.4 법적 요구사항 준수) - 다중 인증(ISMS-P, ISO 27001 등) 보유 시, 각 인증 간 요구사항 매핑 테이블과 통합 관리 정책 확인 - ISO 27017·27018(클라우드), ISO 27701(개인정보) 등 특화 인증은 서비스 특성에 따른 추가 통제항목 구현 여부 점검 - 정보통신망법 제47조(정보보호 관리체계 인증), 개인정보보호법 제32조의2(개인정보 보호 인증) 등 관련 법적 요구사항과 인증 범위의 일치성 검토

3. 정보보호 및 개인정보보호 투자(1.2.1 조직 구성) - 정보보호 예산 집행 내역을 기술적·물리적·관리적 보호조치로 분류하고, 개인정보 라이프사이클별 투자 균형 평가 - 인력 투자의 경우 단순 인원수가 아닌, 정보보호 전문자격(CPPG, CISSP 등) 보유 비율, 교육훈련 시간(연 8시간 이상) 등 질적 지표 확인 - 개인정보보호법 시행령 제48조의3(안전성 확보조치 기준)에 따른 기술적·관리적·물리적 조치별 투자 적정성 검토

CPPG·ISMS-P 연계 포인트

정보보호 투자 적정성 평가 기준 CPPG 및 ISMS-P 시험에서 '정보보호 예산 적정성'은 절대액이 아닌 상대 비율로 평가된다. IT 예산 대비 정보보호 예산 비율 7~10%(금융권 기준), 전체 임직원 대비 정보보호 전담인력 1% 이상(법정 기준), 매출액 대비 정보보호 투자 비율(업종별 상이) 등을 기준으로 한다. 네이버 사례의 58.4% 증가율은 절대적 수치보다 '지속적 증가 추세'가 중요하며, 이는 PDCA 사이클의 'Act(개선)' 단계에서 예산 재배정으로 구체화되어야 한다.

다중 인증 통합 관리체계(IMS) 구축 ISMS-P, ISO 27001, ISO 27701 등 여러 인증을 동시 운영할 경우, 공통 통제항목(약 70%)을 식별하고 단일 증적으로 관리하는 IMS 구축이 효율적이다. 시험에서는 '부속서 A(Annex A) 통제항목 매핑', '통합 위험평가 및 관리', '공통 내부심사 프로그램 운영' 등이 출제된다. 특히 ISO 27701의 경우 GDPR 준수를 위한 추가 요구사항(데이터 처리자·통제자 역할 분리 등)이 포함되므로, 개인정보 국외 이전이 있는 기업은 필수적으로 검토해야 한다.