속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

엔씨소프트, 정보보호 투자 146억원으로 국내 상장 게임사 1위…ISMS-P 인증 유지

엔씨소프트가 2026년 정보보호 분야에 146억원을 투자하며 국내 상장 게임사 중 최대 규모를 기록했다. ISMS-P 인증을 지속 유지하며 MSCI ESG 평가 AAA 등급을 획득했다.

백남정 기자
입력 2026년 7월 2일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/ef2e9d

핵심 요약

- 엔씨소프트가 2026년 정보보호 분야에 146억원을 투자하며 국내 상장 게임사 중 최대 규모 달성 - ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 지속적으로 유지·갱신하며 체계적 보안 관리 입증 - MSCI ESG 평가 최고등급 AAA 및 서스테이널리틱스 ESG 리스크 평가에서 우수한 성과 기록

주요 내용

엔씨소프트는 2026년 정보보호 분야에 총 146억원을 투자하며 국내 상장 게임사 중 가장 큰 규모의 보안 투자를 단행했다. 이는 게임 산업에서 개인정보보호와 정보보안이 핵심 경쟁력으로 자리잡고 있음을 보여주는 사례다. 특히 온라인 게임 서비스는 대규모 이용자의 개인정보를 처리하고 결제 정보를 다루는 만큼, 체계적인 정보보호 관리가 필수적이다.

엔씨소프트는 ISMS-P 인증을 지속적으로 유지·갱신하고 있으며, 외부 위협으로부터 서비스와 자산을 보호하기 위해 자체 보안 체계를 구축·운영하고 있다. ISMS-P는 정보통신망법과 개인정보보호법에 따른 법정 의무 인증으로, 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 국내 유일의 법정 인증제도다. 게임사의 경우 전년도 매출액 100억원 이상 또는 직전 3개월간 일평균 이용자 수 100만명 이상일 경우 의무적으로 ISMS-P 인증을 획득해야 한다.

또한 엔씨소프트는 2026년 MSCI ESG 평가에서 최고 등급인 AAA를 받았으며, 서스테이널리틱스 ESG 리스크 평가에서도 우수한 성과를 기록했다. 이는 정보보호 투자가 단순한 규제 대응을 넘어 ESG 경영의 핵심 요소로 평가받고 있음을 시사한다. 글로벌 투자자들은 기업의 정보보호 관리 수준을 ESG 평가의 주요 지표로 활용하고 있으며, 특히 개인정보 침해사고 이력과 보안 투자 규모를 중점적으로 검토한다.

국내 게임 산업은 2025년 이후 대규모 개인정보 유출 사고들이 연이어 발생하면서 정보보호 투자 확대가 업계 전반의 과제로 부상했다. 엔씨소프트의 사례는 선제적 보안 투자가 ESG 평가 개선과 기업 신뢰도 제고로 이어질 수 있음을 보여주는 모범 사례로 평가된다.

전문가 시각

ISMS-P 선임심사원으로서 엔씨소프트의 146억원 규모 정보보호 투자는 단순한 재무 지출이 아닌 전략적 리스크 관리 투자로 해석된다. 게임 산업은 DDoS 공격, 계정 탈취, 게임머니 해킹 등 다양한 보안 위협에 노출되어 있으며, 한 번의 대규모 개인정보 유출 사고는 브랜드 가치 하락과 법적 제재로 이어져 수백억원의 손실을 초래할 수 있다. 따라서 매출 대비 적정 수준의 정보보호 예산 편성과 지속적인 투자는 ISMS-P 심사에서 경영진의 정보보호 의지를 평가하는 핵심 지표다.

특히 주목할 점은 ISMS-P 인증의 '유지·갱신'이라는 표현이다. ISMS-P는 최초 인증 후 3년마다 갱신심사를 받아야 하며, 매년 사후심사를 통해 관리체계의 지속적 운영을 검증받는다. 많은 기업들이 최초 인증 획득에만 집중하다가 사후관리 미흡으로 인증이 취소되거나 등급이 하락하는 사례가 빈번한데, 엔씨소프트는 지속적인 투자와 관리를 통해 인증을 안정적으로 유지하고 있다는 점에서 높이 평가할 수 있다. 이는 일회성 컴플라이언스가 아닌 실질적인 보안 문화가 조직에 정착되었음을 의미한다.

ISMS-P 심사원 체크포인트

1. 1.2.1 정보보호 및 개인정보보호 조직 구성 (관리체계 수립 및 운영) - 경영진의 정보보호 예산 편성 및 승인 프로세스가 문서화되어 있는지 확인 - 전년도 대비 정보보호 투자 비율, 매출 대비 투자 비중 등 정량적 지표 검토 - 정보보호최고책임자(CISO)의 예산 집행 권한과 독립성 확인 - 개인정보보호법 제31조(개인정보 보호책임자의 지정), 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등) 준수 여부

2. 2.5.2 정보자산 보호 대책 마련 (보호대책 요구사항) - 146억원 투자 내역의 세부 구성: 보안장비 구매, 인력 충원, 교육훈련, 컨설팅 등 항목별 배분 검토 - 외부 위협 대응을 위한 기술적 보호조치: DDoS 방어, 침입탐지·차단시스템, 웹방화벽, 암호화 솔루션 등 구축 현황 - 게임 서비스 특성을 반영한 맞춤형 보안 대책: 게임 계정 보호, 게임머니 이상거래 탐지, 핵(Hack) 프로그램 차단 등 - 정보통신망법 제45조(정보보호 조치), 개인정보보호법 제29조(안전조치의무) 이행 수준

3. 3.1.1 개인정보 수집 시 동의 (개인정보 처리 단계별 요구사항) - 게임 이용자 개인정보 수집 시 동의 절차의 적법성: 필수·선택 항목 구분, 명확한 동의 획득 - 결제정보, 위치정보 등 민감정보 처리 시 별도 동의 및 암호화 저장 여부 - 게임 내 챗팅, 길드 활동 등 이용자 간 정보 공유 시 개인정보 노출 최소화 조치 - 개인정보보호법 제15조(개인정보의 수집·이용), 제22조(동의를 받는 방법) 준수 여부

CPPG·ISMS-P 연계 포인트

정보보호 거버넌스와 경영진 책임 CPPG 시험에서 자주 출제되는 '개인정보 보호책임자의 역할과 책임' 영역과 직결된다. 정보보호법 제31조는 개인정보 보호책임자가 개인정보 보호 계획 수립, 예산 확보, 교육 실시 등을 총괄하도록 규정하고 있으며, ISMS-P 인증기준 1.2.1항은 경영진의 정보보호 의지를 예산 편성과 자원 배분으로 입증할 것을 요구한다. 146억원 규모의 투자는 이러한 법적·제도적 요구사항을 충족하는 모범 사례다.

ESG와 개인정보보호의 통합 관리 최근 CPPG 및 ISMS-P 심사에서 강조되는 트렌드는 개인정보보호를 ESG 경영의 일부로 통합 관리하는 것이다. MSCI, 서스테이널리틱스 등 글로벌 ESG 평가기관들은 개인정보 침해사고 이력, 정보보호 투자 규모, ISMS-P 등 인증 보유 여부를 'Social(사회)' 및 'Governance(지배구조)' 영역의 핵심 평가지표로 활용한다. 기업은 단순 법규 준수를 넘어 이해관계자 신뢰 확보 차원에서 정보보호 관리체계를 운영해야 하며, 이는 ISMS-P 인증기준 1.1.1항 '경영진의 참여'에서 요구하는 최고경영자의 정보보호 의지 표명과 일맥상통한다.

#ISMS-P#엔씨소프트#정보보호투자#ESG평가#게임보안
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사