속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

넷마블, 2028년까지 정보보호에 283억 투입…ISMS-P 등 4대 국제인증 유지 전략

넷마블이 2026 지속가능경영보고서를 통해 2028년까지 283억원 규모의 정보보호 투자 계획을 공개했다. ISO 27001, ISO 27701, ISMS-P, APEC CBPR 등 4대 국제 인증 체계를 동시 운영하는 전략이 주목받고 있다.

백남정 기자
입력 2026년 7월 2일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/c67c3f

핵심 요약

- 넷마블, 2028년까지 총 283억원 규모 정보보호 분야 투자 계획 발표 - ISO 27001, ISO 27701, ISMS-P, APEC CBPR 등 4대 국제 인증 동시 유지·관리 체계 구축 - 개인정보 유출 사고 이후 사후 대응이 아닌 예방 중심의 중장기 보안 전략으로 전환

주요 내용

넷마블은 2일 공개한 '2026 지속가능경영보고서'를 통해 2028년까지 정보보호 분야에 총 283억원을 투입하는 중장기 투자 계획을 밝혔다. 이는 과거 개인정보 유출 사고 이후 단발성 대응에 그쳤던 국내 게임업계의 관행과 달리, 체계적이고 지속가능한 정보보호 거버넌스 구축을 목표로 한다는 점에서 의미가 크다.

특히 주목할 부분은 넷마블이 국내 ISMS-P 인증뿐만 아니라 ISO 27001(정보보호 관리체계), ISO 27701(개인정보 관리체계), APEC CBPR(아시아태평양 국경 간 개인정보 보호 규칙) 등 4대 국제 인증을 동시에 유지·관리하겠다는 전략이다. 이는 글로벌 게임 서비스를 제공하는 기업으로서 각국의 상이한 개인정보보호 법제에 선제적으로 대응하기 위한 포석으로 해석된다.

283억원 규모의 투자는 단순 기술 도입을 넘어 조직 문화와 프로세스 전반의 혁신을 포함한다. 보안 시스템 고도화, 전문 인력 확보, 임직원 교육 강화, 제3자 보안 감사 등 다층적 보안 체계 구축에 집중 투입될 예정이다. 이는 정보보호를 비용이 아닌 지속가능경영의 핵심 자산으로 인식하는 경영진의 의지를 보여주는 대목이다.

게임업계는 대량의 이용자 개인정보와 결제정보를 보유하고 있어 해킹과 개인정보 유출의 주요 타깃이 되어왔다. 넷마블의 이번 투자 계획은 업계 전체에 벤치마크가 될 것으로 전망되며, 특히 중소 게임사들의 정보보호 수준 상향 평준화에도 긍정적 영향을 미칠 것으로 기대된다.

전문가 시각

ISMS-P 심사원 관점에서 볼 때, 넷마블의 4대 인증 동시 운영 전략은 매우 효율적인 접근이다. ISO 27001과 ISMS-P는 통합 심사가 가능하며, ISO 27701은 ISO 27001의 확장 표준으로 개인정보 특화 요구사항을 추가한 것이다. APEC CBPR은 국경 간 개인정보 이동에 대한 신뢰성을 확보하는 체계로, 이 네 가지를 유기적으로 연계 운영하면 중복 심사 부담을 최소화하면서도 글로벌 수준의 정보보호 체계를 갖출 수 있다.

다만 실무적으로 주의할 점은 다중 인증 체계 운영 시 각 표준 간 요구사항의 차이를 명확히 매핑하고, 통합 관리 프레임워크를 구축해야 한다는 것이다. 특히 ISMS-P의 국내 법적 요구사항(개인정보보호법, 정보통신망법)과 ISO 27701의 GDPR 연계 요구사항, APEC CBPR의 아태지역 프라이버시 원칙이 상충하지 않도록 정책 수립 단계에서부터 조화를 이루어야 한다. 283억원이라는 투자 규모도 중요하지만, 이를 집행하는 거버넌스와 실행력이 더욱 중요하다.

ISMS-P 심사원 체크포인트

1. 정보보호 투자 및 자원 배분 (ISMS-P 1.2.2 정보보호 자원) - 심사 시 최고경영자의 정보보호 예산 승인 내역, 연도별 투자 계획서, 인력·기술·예산의 적정성 평가 문서를 확인한다 - 개인정보보호법 제29조(안전조치의무)에 따라 개인정보의 안전성 확보에 필요한 기술적·관리적·물리적 조치에 적정한 예산이 배정되었는지 검토 - 투자 규모뿐 아니라 보안 취약점 분석 결과와의 연계성, ROI 산정 근거, 우선순위 선정 기준의 합리성을 중점 점검

2. 다중 인증 체계 통합 관리 (ISMS-P 1.1.2 정보보호 정책 수립) - ISO 27001, ISO 27701, ISMS-P, APEC CBPR 각 표준의 요구사항을 통합한 정책 체계도와 매핑 테이블 존재 여부 확인 - 정보통신망법 제45조의3(개인정보의 보호조치) 및 개인정보보호법 제29조의 기술적·관리적 보호조치 이행 여부를 다중 인증 체계 내에서 중복 없이 관리하는지 점검 - 각 인증별 심사 결과(부적합 사항, 개선 권고사항)의 통합 관리 및 경영진 보고 체계 운영 실태 확인

3. 개인정보 유출 사고 재발 방지 대책 (ISMS-P 3.2.2 개인정보 유출 및 오용·남용 방지) - 과거 개인정보 유출 사고에 대한 원인 분석, 재발 방지 대책, 이행 현황을 구체적으로 문서화했는지 검토 - 개인정보보호법 제34조(개인정보 유출 통지 등) 및 제39조의8(영향평가) 이행 여부와 283억원 투자 계획과의 연계성 확인 - 침해사고 대응 훈련 실시 기록, 모의해킹 결과 및 조치 내역, 보안 관제 체계 고도화 증적 등을 종합 평가

CPPG·ISMS-P 연계 포인트

1. 정보보호 거버넌스와 경영진 책임 ISMS-P 인증의 핵심은 최고경영자의 의지와 자원 배분이다. 개인정보보호법 제31조(개인정보 보호책임자의 지정)는 개인정보 처리에 관한 업무를 총괄하는 책임자 지정을 의무화하며, ISMS-P 1.1.1(경영진의 참여)은 경영진이 정보보호 목표 수립과 자원 배분에 직접 관여할 것을 요구한다. 283억원 투자 계획은 이러한 경영진 책임 원칙의 실질적 이행 사례로, 심사 시 이사회 의결 내역과 예산 집행 모니터링 체계를 중점 확인한다.

2. 국제 표준 간 상호운용성과 법적 요구사항 조화 ISO 27001은 정보보호 관리체계의 국제 표준이며, ISO 27701은 이를 개인정보 영역으로 확장한 것이다. ISMS-P는 한국의 법적 요구사항(개인정보보호법, 정보통신망법)을 반영한 국내 인증 제도다. CPPG 시험에서는 이들 표준 간 차이점과 공통점을 이해하는 것이 중요하다. 특히 GDPR의 '적법한 처리 근거'와 국내법의 '개인정보 처리 동의', APEC CBPR의 '책임성 원칙'이 어떻게 상호 보완되는지 이해해야 하며, 다국적 서비스 제공 기업은 이를 통합 관리하는 프레임워크 구축이 필수다.

#ISMS-P#넷마블#정보보호투자#ISO27701#APECCBPR
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사