삼성증권, ISMS-P·ISO 27001 인증 유지로 디지털 혁신 기반 강화

핵심 요약

- 삼성증권, 2026년 6월 30일 16번째 ESG 보고서 발간하며 ISMS-P·ISO 27001 인증 유지 현황 공개 - 정보보호 및 개인정보보호 관리체계 인증을 통해 디지털 혁신 추진의 보안 기반 확보 - 금융권 디지털 전환 가속화 속에서 인증 기반 통합 보안관리체계 운영의 중요성 재확인

주요 내용

삼성증권이 2026년 6월 30일 발간한 16번째 ESG 보고서를 통해 ISMS-P(정보보호 및 개인정보보호 관리체계) 및 ISO 27001 인증을 지속 유지하고 있음을 밝혔다. 이는 금융회사가 디지털 혁신을 추진하는 과정에서 정보보호와 개인정보보호를 통합 관리하는 체계적 접근을 보여주는 사례다.

ISMS-P 인증은 정보통신망법과 개인정보보호법에 근거한 법정 인증제도로, 금융회사의 경우 전자금융거래법상 정보기술부문 및 전자금융업무에 대한 통합 인증이 요구된다. 삼성증권은 이러한 법적 요구사항을 충족하며 동시에 국제표준인 ISO 27001 인증을 병행 유지함으로써 글로벌 수준의 정보보호 역량을 입증하고 있다.

특히 금융권에서 디지털 전환이 가속화되면서 모바일 트레이딩 시스템(MTS), 로보어드바이저, AI 기반 투자 상담 등 다양한 디지털 서비스가 확대되고 있다. 이 과정에서 고객 금융정보와 개인정보의 안전한 처리는 필수적이며, ISMS-P 인증 유지는 이러한 디지털 혁신의 신뢰성을 담보하는 핵심 요소로 작용한다.

ESG 보고서를 통한 정보보호 인증 현황 공개는 투명한 보안 거버넌스 운영을 이해관계자에게 알리는 중요한 커뮤니케이션 수단이다. 특히 ESG 평가에서 'G(지배구조)' 영역의 정보보호 항목이 강화되는 추세 속에서, 인증 유지 현황은 기업의 보안 성숙도를 객관적으로 보여주는 지표가 되고 있다.

전문가 시각

금융회사의 ISMS-P 인증 유지는 단순히 법적 요구사항 충족을 넘어, 디지털 금융 서비스의 지속가능성을 확보하는 전략적 과제다. 실제 심사 현장에서 관찰되는 바에 따르면, 인증을 단순히 '취득'하는 것과 '유지·개선'하는 것 사이에는 상당한 관리 수준의 차이가 존재한다. 삼성증권과 같이 장기간 인증을 유지하는 기업은 PDCA(Plan-Do-Check-Act) 사이클이 실질적으로 작동하며, 위험 기반 접근법(Risk-Based Approach)이 일상적 업무 프로세스에 내재화되어 있다는 특징을 보인다.

디지털 혁신과 정보보호의 균형은 2026년 현재 모든 금융회사가 직면한 과제다. 클라우드 전환, API 경제 확산, 오픈뱅킹 등 새로운 기술 환경에서 ISMS-P 인증 기반의 통합 관리체계는 혁신 속도를 저해하지 않으면서도 보안 리스크를 통제할 수 있는 최적의 프레임워크를 제공한다. 향후 금융권에서는 인증 유지를 넘어, 인증 범위를 클라우드 환경까지 확대하고 DevSecOps와 같은 애자일 보안 체계와 통합하는 고도화 단계로 진화할 것으로 예상된다.

ISMS-P 심사원 체크포인트

1. 인증 범위의 적정성 및 핵심 자산 포함 여부 (ISMS-P 인증기준 1.2.1) 금융회사 심사 시 인증 범위에 전자금융거래법 제21조의2에서 요구하는 '전자금융업무 관련 정보기술부문 및 정보보호 관리체계'가 적절히 포함되었는지 확인한다. 특히 MTS, HTS 등 핵심 거래 시스템과 고객정보 처리 시스템이 인증 범위 내에 있는지, 범위 설정의 합리성을 검토한다. 개인정보보호법 제29조(안전조치의무)와 연계하여 개인정보 처리 전 단계가 관리체계에 포함되었는지 점검한다.

2. 디지털 전환 환경에서의 위험 관리 (ISMS-P 인증기준 2.1.1~2.1.3) 디지털 혁신 추진 시 새로운 서비스·기술 도입에 따른 정보보호 및 개인정보 위험평가가 사전에 수행되는지 확인한다. 클라우드, AI, 빅데이터 분석 등 신기술 도입 시 개인정보보호법 제3조(개인정보 보호 원칙) 및 제24조의2(가명정보 처리)에 따른 적법성 검토와 위험 평가가 체계적으로 이루어지는지 심사한다. 특히 ESG 보고서에 공개된 내용과 실제 운영 현황의 일치성도 검증 대상이다.

3. 지속적 개선 및 경영진 참여 (ISMS-P 인증기준 1.1.1, 3.1.1) 인증 유지 기업의 경우 최고경영자의 정보보호 및 개인정보보호 의지가 실질적으로 구현되는지, 연 1회 이상 경영진 검토가 형식적이지 않고 의사결정으로 연결되는지 확인한다. 전년도 심사 지적사항 및 자체 모니터링에서 발견된 개선사항이 적절히 조치되었는지 추적 심사하며, 개인정보보호법 제31조(개인정보 보호책임자의 지정)에 따른 CPO의 역할과 권한이 실효성 있게 부여되었는지 점검한다.

CPPG·ISMS-P 연계 포인트

통합 인증의 범위 및 법적 근거 ISMS-P는 정보통신망법 제47조 및 개인정보보호법 제32조의2에 근거한 통합 인증제도로, 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 하나로 통합한 인증이다. 금융회사는 전자금융거래법 제21조의2에 따라 의무적으로 인증을 취득·유지해야 하며, 인증기준 총 102개 항목(정보보호 80개 + 개인정보보호 22개) 중 80% 이상을 준수해야 한다. ISO 27001은 국제표준으로 법적 의무는 아니지만, 글로벌 비즈니스를 위해 병행 취득하는 경우가 많다.

위험 기반 접근법과 지속적 개선 ISMS-P 인증의 핵심은 위험평가(Risk Assessment)를 기반으로 조직의 상황에 맞는 보호대책을 수립하고, PDCA 사이클을 통해 지속적으로 개선하는 것이다. 인증기준 2.1항의 위험 관리는 자산 식별→위험 분석→위험 평가→위험 처리의 4단계로 진행되며, 매년 정기적으로 재평가해야 한다. 특히 디지털 전환 시 신규 서비스나 기술 도입 시마다 사전 위험평가를 수행하여, 개인정보 침해 가능성을 사전에 차단하는 것이 개인정보보호법상 안전조치의무(제29조) 이행의 핵심이다.