롯데건설, ISMS-P 인증 범위 플랜트 운영 시스템까지 확대…전사 IT 보안 강화
롯데건설이 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 범위를 플랜트 운영 시스템까지 확대하며 전사 IT시스템의 정보보안 수준을 한층 높였다.
https://privacynews.kr/s/302794핵심 요약
- 롯데건설, 기존 ISMS-P 인증 범위를 플랜트 운영 시스템까지 확대 인증 완료 - 전사 IT시스템에 대한 종합적 정보보안 관리체계 구축 - 건설업계의 디지털 전환 가속화에 따른 선제적 보안 대응 사례주요 내용
롯데건설이 2026년 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 범위를 플랜트 운영 시스템까지 확대했다. 이는 기존에 취득한 ISMS-P 인증의 적용 범위를 확장한 것으로, 건설업계에서 드물게 플랜트 운영 영역까지 포괄하는 통합 보안 관리체계를 구축한 사례로 평가된다.
플랜트 운영 시스템은 발전소, 정유시설, 화학플랜트 등 대규모 산업시설의 운영 데이터와 제어 정보를 다루는 핵심 시스템이다. 이러한 시스템에는 설비 운영 데이터뿐만 아니라 운영 인력의 개인정보, 협력업체 정보, 유지보수 이력 등 민감한 정보가 포함되어 있어 높은 수준의 보안 관리가 요구된다.
롯데건설의 이번 인증 범위 확대는 건설업계의 디지털 전환(Digital Transformation) 추세와 맞물려 있다. 최근 건설사들은 BIM(건물정보모델링), IoT 기반 스마트 건설, 플랜트 원격 모니터링 등 IT 기술을 적극 도입하고 있으며, 이에 따라 관리해야 할 정보자산의 범위와 복잡도가 급증하고 있다. 전사 IT시스템에 대한 통합 보안 관리는 이제 건설사의 필수 경쟁력으로 자리잡고 있다.
한편 현대건설은 같은 기간 '2026 H-Safe 오픈이노베이션 데모데이'를 개최하며 건설 안전 분야의 오픈이노베이션 생태계 조성에 나섰다. 건설업계 전반에서 안전과 보안을 핵심 가치로 삼는 움직임이 확산되고 있다.
전문가 시각
플랜트 운영 시스템까지 ISMS-P 인증 범위를 확대한 것은 단순한 인증 취득을 넘어 실질적인 보안 거버넌스 강화를 의미한다. 플랜트 시스템은 OT(Operational Technology) 영역과 IT 영역이 융합된 복합 환경으로, 일반적인 IT 시스템과는 다른 보안 접근이 필요하다. 특히 시스템 가용성이 최우선시되는 플랜트 환경에서 보안 통제를 적용하려면 운영 연속성과 보안성 간의 균형을 섬세하게 설계해야 한다.
실무 관점에서 주목할 점은 인증 범위 확대 과정에서 요구되는 위험 재평가와 보안 통제의 재설계다. 플랜트 운영 시스템은 제어 시스템(SCADA, DCS 등)과 연계되어 있어 사이버 공격 시 물리적 피해로 이어질 수 있다. 따라서 기업들은 인증 취득 이후에도 지속적인 위험 모니터링과 보안 통제 효과성 검증을 수행해야 하며, 특히 공급망 보안과 제3자 접근 통제에 각별한 주의를 기울여야 한다.
ISMS-P 심사원 체크포인트
1. 인증범위 확대에 따른 정보자산 식별 및 위험평가 (인증기준 2.1.1, 2.2.1) 플랜트 운영 시스템 추가 시 새로운 정보자산 목록 작성과 위험평가가 필수적이다. 심사 시에는 ① 플랜트 시스템의 모든 하드웨어·소프트웨어·데이터가 자산 목록에 포함되었는지, ② OT 환경 특성을 반영한 위험평가 방법론이 적용되었는지, ③ 제어 시스템과 연계된 위험 시나리오가 식별되었는지를 중점 점검한다. 개인정보보호법 제29조(안전조치의무)에 따른 기술적·관리적 보호조치가 위험 수준에 맞게 설계되었는지 확인이 필요하다.
2. 네트워크 분리 및 접근통제 (인증기준 2.6.1, 2.6.3) 플랜트 운영 시스템은 IT 네트워크와의 물리적·논리적 분리가 핵심이다. 심사원은 ① IT-OT 네트워크 간 방화벽 및 DMZ 구성의 적절성, ② 원격 접속 시 다중인증 및 접속 기록 관리, ③ 협력업체 및 유지보수 인력의 제한적 접근 통제 구현 여부를 확인한다. 특히 플랜트 운영 데이터에 개인정보가 포함된 경우 개인정보보호법 제28조의2(가명정보 처리)와 제59조(금지행위) 준수 여부도 점검 대상이다.
3. 변경관리 및 패치관리 프로세스 (인증기준 2.5.4, 2.8.5) 플랜트 시스템은 24시간 가동되는 특성상 일반적인 패치 적용이 어렵다. 심사 시에는 ① 시스템 변경 시 사전 영향 평가 및 승인 절차, ② 보안 패치 적용 계획 수립 및 대안 통제(네트워크 차단, 모니터링 강화 등), ③ 변경 이력 관리 및 롤백 계획의 문서화 여부를 중점 확인한다. 이는 정보통신망법 제45조(정보보호 조치)의 이행과도 직결된다.
CPPG·ISMS-P 연계 포인트
IT-OT 융합 환경의 보안 관리 플랜트와 같은 OT 환경은 전통적인 IT 보안과 다른 접근이 필요하다. 가용성(Availability)이 최우선이며, 실시간 제어 특성상 보안 통제가 시스템 성능에 영향을 주지 않도록 설계해야 한다. ISMS-P 시험에서는 IT-OT 융합 환경의 위험 특성, 네트워크 세그먼테이션, 제어 시스템 보안 표준(IEC 62443 등)에 대한 이해가 요구된다.
인증 범위 관리와 경계 설정 ISMS-P 인증 범위는 조직의 핵심 업무와 정보자산을 고려해 합리적으로 설정되어야 한다. 범위 확대 시에는 새로운 자산에 대한 위험평가, 보안 통제 재설계, 관련 인력의 역할과 책임 재정의가 필요하다. CPPG 시험에서는 인증 범위 설정 원칙, 범위 변경 시 심사 절차, 범위 내외 인터페이스 관리 등이 출제될 수 있다.

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
