대신증권, 2026년 ISMS-P 인증 유지로 정보보호 관리체계 지속성 입증

핵심 요약

- 대신증권, 2026년 6월 29일 13번째 ESG 보고서 발간하며 ISMS-P 인증 유지 현황 공개 - 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증의 지속적 유지로 관리체계 성숙도 입증 - 금융투자업계의 ESG 경영에서 정보보호·개인정보보호가 핵심 사회적 책임 요소로 자리매김

주요 내용

대신증권이 2026년 6월 29일 발간한 13번째 ESG 보고서를 통해 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 지속적으로 유지하고 있음을 밝혔다. ISMS-P 인증은 과학기술정보통신부와 한국인터넷진흥원이 주관하는 국내 대표 정보보호 인증제도로, 특히 금융기관의 경우 정보통신망법 및 개인정보보호법에 따라 의무적으로 취득·유지해야 하는 법정 인증이다.

ESG 보고서 내 정보보호 부문 공시는 단순한 인증 취득 여부를 넘어 관리체계의 지속적 운영 수준을 보여주는 중요한 지표다. 대신증권은 13년 연속 ESG 보고서를 발간하며 정보보호 및 개인정보보호를 ESG 경영의 'S(사회적 책임)' 영역 핵심 과제로 관리하고 있음을 대외적으로 입증했다. 이는 투자자, 고객, 규제기관 등 이해관계자들에게 정보보호 거버넌스의 투명성을 제공하는 중요한 공시 행위다.

금융투자업계는 고객의 금융정보, 투자정보 등 민감한 개인정보를 대량으로 처리하는 특성상 높은 수준의 정보보호 관리체계 운영이 필수적이다. 대신증권의 ISMS-P 인증 유지는 3년 주기의 재인증 심사와 매년 사후관리 심사를 통과했음을 의미하며, 이는 관리체계가 형식적 수준이 아닌 실질적으로 작동하고 있음을 시사한다.

최근 금융권에서는 디지털 전환 가속화로 인한 보안 위협 증가, 마이데이터 사업 확대에 따른 개인정보 처리 범위 확대 등으로 정보보호 관리의 중요성이 더욱 커지고 있다. ESG 보고서를 통한 정보보호 성과 공시는 이러한 환경 변화 속에서 기업의 대응 역량을 평가하는 핵심 지표로 활용되고 있다.

전문가 시각

ISMS-P 인증의 '유지'는 '취득'보다 훨씬 중요한 의미를 갖는다. 인증 취득은 특정 시점의 관리체계 수준을 평가받는 것이지만, 유지는 지속적인 모니터링, 개선, 재평가 프로세스를 거쳐 관리체계가 살아있음을 증명하는 것이기 때문이다. 특히 금융기관은 연간 사후관리 심사를 통해 전년도 지적사항 개선, 법규 변경사항 반영, 신규 서비스에 대한 보안대책 수립 등을 지속적으로 점검받는다. 대신증권이 13년 연속 ESG 보고서에서 이를 공시한다는 것은 정보보호 관리체계가 최고경영층의 관심 아래 일관되게 관리되고 있음을 보여준다.

실무적으로 금융기관들은 ISMS-P 인증 유지를 위해 연간 단위의 정보보호 계획 수립, 위험평가, 내부심사, 경영진 검토 등 PDCA(Plan-Do-Check-Act) 사이클을 체계적으로 운영해야 한다. ESG 보고서에 이러한 활동을 공시하는 것은 대외적 신뢰도 제고뿐 아니라 내부적으로도 정보보호 활동의 정당성과 예산 확보 근거를 강화하는 효과가 있다. 향후 금융당국의 ESG 공시 의무화 논의가 본격화될 경우, 정보보호 부문은 필수 공시 항목으로 포함될 가능성이 높아 선제적 대응이 필요하다.

ISMS-P 심사원 체크포인트

1. 관리체계 지속성 입증 (ISMS-P 인증기준 1.1.1 정보보호 정책 수립·운영) 심사 시 정보보호 및 개인정보보호 정책이 경영환경 변화에 따라 정기적으로 검토·개정되고 있는지 확인한다. ESG 보고서 공시 내용과 실제 관리체계 문서의 일관성을 점검하며, 특히 최고경영자의 승인을 받은 정책이 조직 전체에 공표·교육되고 있는지 증적을 확인한다. 개인정보보호법 제29조(안전조치의무)와 정보통신망법 제45조의3(정보보호 관리체계 인증 등)의 법적 요구사항 준수 여부도 함께 검토한다.

2. ESG 보고서 공시 내용의 정확성 (ISMS-P 인증기준 1.2.2 경영진 책임 및 역할) ESG 보고서에 기재된 ISMS-P 인증 범위, 유효기간, 인증번호 등이 실제 인증서와 일치하는지 확인한다. 심사원은 대외 공시 자료의 오류가 이해관계자에게 잘못된 정보를 제공할 수 있으므로, 공시 전 내부 검증 프로세스가 수립되어 있는지 점검한다. 또한 정보보호 성과지표(KPI)가 ESG 보고서에 명확하게 제시되고, 이것이 내부 관리체계와 연계되어 모니터링되고 있는지 확인한다.

3. 금융기관 특화 통제 사항 (ISMS-P 인증기준 2.8.2 개인정보 처리 현황 관리) 금융투자업은 자본시장법상 투자자 정보, 거래정보 등 민감정보를 다루므로 개인정보 영향평가(PIA) 수행, 개인정보 처리 현황 관리, 제3자 제공 동의 관리 등이 엄격하게 운영되어야 한다. 심사 시 마이데이터 사업 등 신규 서비스 도입 시 개인정보보호 검토가 사전에 이루어졌는지, 개인정보 처리방침이 법령 변경사항을 반영하여 최신화되어 있는지 확인한다. 개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개) 준수 여부가 핵심 점검 사항이다.

CPPG·ISMS-P 연계 포인트

1. ISMS-P 인증 대상 및 유효기간 정보통신망법 시행령 제48조의3에 따라 전년도 매출액 또는 이용자 수 기준을 충족하는 정보통신서비스 제공자는 ISMS-P 인증을 의무적으로 취득해야 한다. 금융기관은 대부분 이 기준에 해당하며, 인증 유효기간은 3년이다. 유효기간 내 매년 사후관리 심사를 통과해야 하며, 중대한 보안사고 발생 시 인증이 취소될 수 있다. ESG 보고서에 '인증 유지'를 명시하는 것은 사후관리 심사를 지속적으로 통과했음을 의미한다.

2. PDCA 기반 관리체계 운영 ISMS-P는 ISO 27001 기반의 PDCA 사이클을 적용한다. Plan(정책·계획 수립) → Do(보안대책 구현) → Check(모니터링·내부심사) → Act(경영진 검토·개선조치)의 순환 구조로 운영되며, 매년 이 사이클이 반복되어야 한다. ESG 보고서 발간은 Act 단계의 대외 공시 활동으로 볼 수 있으며, 이해관계자에게 관리체계 운영 성과를 투명하게 공개함으로써 사회적 책임을 이행하는 것이다. 시험에서는 PDCA 각 단계별 주요 활동과 산출물을 정확히 구분할 수 있어야 한다.