속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

무신사, 상장 앞두고 ISMS-P 전사 정보보호위원회 격상…보안 거버넌스 강화

무신사가 2025년부터 ISMS-P 인증 요건에 맞춰 전사 정보보호위원회를 격상 운영 중이다. 상장 준비와 글로벌 확장을 앞두고 보안 거버넌스 체계를 강화하는 전략이다.

백남정 기자
입력 2026년 7월 2일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/c4d4ad

핵심 요약

- 무신사, 2025년부터 ISMS-P 인증 요건에 부합하는 전사 정보보호위원회 격상 운영 - 상장 준비 및 글로벌 확장 전략과 연계한 보안 거버넌스 강화 추진 - 유통업계 대표 기업으로서 개인정보보호 관리체계 고도화 사례 제시

주요 내용

무신사가 상장 준비와 글로벌 사업 확장을 앞두고 정보보호 거버넌스를 대폭 강화하고 있다. 2026년 7월 2일 더벨 보도에 따르면, 무신사는 2025년부터 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 요건에 부합하도록 전사 정보보호위원회를 격상해 운영 중이다.

정보보호위원회 격상은 단순한 조직 개편이 아니라 의사결정 구조의 근본적 변화를 의미한다. 기존의 실무 중심 협의체에서 경영진이 직접 참여하는 최고 의사결정기구로 전환함으로써, 정보보호 정책과 투자가 경영 전략과 긴밀하게 연계될 수 있는 체계를 구축한 것이다. 이는 연간 100만 명 이상의 개인정보를 처리하는 정보통신서비스 제공자에게 의무화된 ISMS-P 인증의 핵심 요구사항이다.

특히 무신사의 이번 조치는 상장 준비 과정에서 투자자와 규제기관에 보안 역량을 입증하려는 전략적 선택으로 분석된다. 글로벌 시장 진출 시 현지 개인정보보호 규제(GDPR, CCPA 등) 준수를 위한 선제적 대응 체계를 마련한 것으로도 평가된다.

국내 주요 이커머스 플랫폼들이 연이어 개인정보 유출 사고를 겪으면서, 유통업계 전반에 보안 거버넌스 강화가 시급한 과제로 떠오른 상황에서 무신사의 사례는 업계 벤치마크가 될 전망이다.

전문가 시각

ISMS-P 심사 현장에서 가장 빈번하게 지적되는 사항 중 하나가 바로 정보보호위원회의 형식적 운영이다. 많은 기업이 인증 취득을 위해 위원회를 구성하지만, 실질적인 의사결정 권한이 없거나 연 1~2회 형식적 회의만 개최하는 경우가 많다. 무신사의 위원회 격상은 CISO(최고정보보호책임자)에게 실질적 권한을 부여하고, 정보보호 예산·인력·정책이 경영진 차원에서 논의되는 구조를 만들었다는 점에서 의미가 크다.

특히 상장 준비 기업의 경우, 정보보호 거버넌스는 IPO 실사 과정에서 필수 점검 항목이다. 금융감독원과 한국거래소는 상장 예비심사 시 개인정보보호 관리체계와 보안사고 이력을 면밀히 검토한다. 무신사처럼 상장 전 선제적으로 ISMS-P 요건에 맞춰 거버넌스를 강화하는 것은, 심사 지연이나 추가 요구사항 발생 리스크를 최소화하는 전략적 접근이라 할 수 있다. 다만 위원회 격상만으로는 불충분하며, 실제 회의록·안건 처리 이력·후속 조치 실행 증적이 체계적으로 관리되어야 심사에서 인정받을 수 있다.

ISMS-P 심사원 체크포인트

1. 관리체계 기반 마련(1.1.3 조직 구성) - 정보보호위원회 실효성 검증 - ISMS-P 인증기준 1.1.3항은 정보보호 및 개인정보보호 조직의 역할·책임·권한을 명확히 정의하고, 최고경영자가 참여하는 의사결정기구 운영을 요구한다. - 심사 시 주요 점검사항: ① 정보보호위원회 규정 및 구성원(임원급 포함 여부) ② 연간 개최 실적 및 회의록(안건, 의결사항, 조치결과) ③ 정보보호 예산·인력 승인 권한 보유 여부 ④ 주요 보안사고 보고 및 대응 체계 - 관련 법령: 개인정보보호법 제31조(개인정보 보호책임자의 지정), 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)

2. 경영진 책임과 역할(1.1.1) - 최고경영자의 정보보호 의지 구현 - 정보보호위원회 격상은 최고경영자의 정보보호 의지를 구체화하는 핵심 수단이다. ISMS-P는 최고경영자가 정보보호정책을 승인하고 자원을 배분하는 리더십을 요구한다. - 심사 시 주요 점검사항: ① CEO의 정보보호정책 승인 서명 ② 정보보호 예산 및 인력 배정 내역 ③ 전사 공지 및 교육 실시 증적 ④ 정보보호위원회 CEO 직접 주재 또는 위임 근거 - 상장 준비 기업의 경우, IPO 실사 시 이사회 차원의 보안 리스크 관리 체계도 함께 검토된다.

3. 법적 요구사항 준수(1.3.1) - 상장 및 글로벌 진출 시 추가 요건 - 상장 기업은 자본시장법상 내부통제 기준, 글로벌 진출 시에는 GDPR(EU), CCPA(미국 캘리포니아) 등 현지 규제 준수가 필요하다. - 심사 시 주요 점검사항: ① 적용 법령 목록 및 준수 현황 점검표 ② 법령 변경 모니터링 체계 ③ 글로벌 개인정보 이전 관련 SCC(Standard Contractual Clauses) 체결 여부 ④ 상장 예비심사 지적사항 대응 이력

CPPG·ISMS-P 연계 포인트

정보보호 거버넌스(Governance) 개념 정보보호 거버넌스는 조직의 정보자산을 보호하기 위한 의사결정 구조와 책임 체계를 의미한다. CPPG 시험에서는 정보보호위원회·CISO 역할·정책 승인 프로세스가 출제되며, ISMS-P 1.1장(관리체계 기반 마련) 전반과 직결된다. 특히 최고경영자의 리더십, 조직 구성, 역할과 책임 명확화가 핵심이다.

정보보호 최고책임자(CISO) 제도 정보통신망법 제45조의3은 정보통신서비스 제공자 중 일정 규모 이상 기업에 CISO 지정을 의무화한다. CISO는 정보보호 관리체계 수립·시행, 정보보호위원회 운영, 침해사고 대응 총괄 등의 역할을 수행한다. ISMS-P 인증에서는 CISO의 독립성·전문성·권한 범위가 중요 심사 항목이며, 상장 기업의 경우 이사회 보고 체계까지 요구된다.

#ISMS-P#무신사#정보보호위원회#보안거버넌스#상장준비
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사