카카오게임즈, ISMS-P·ISO 27001 인증 유지로 ESG 'AAA' 2년 연속 달성

핵심 요약

- 카카오게임즈, 2025년 ISMS-P 및 ISO 27001 인증 유지로 정보보호 관리체계 지속성 입증 - 2026년 3월 MSCI ESG 평가에서 2년 연속 최고 등급 AAA 획득, 정보보호가 ESG 'S(사회)' 부문 핵심 성과로 작용 - 국내외 정보보호 인증 통합 운영을 통한 지속가능경영 체계 구축 사례 제시

주요 내용

카카오게임즈가 2026년 발간한 네 번째 ESG 보고서를 통해 2025년도 정보보호 관리체계 인증 유지 성과를 공개했다. 동사는 국내 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증과 국제 표준인 ISO 27001 인증을 동시에 유지하며, ESG 평가의 사회(S) 부문에서 우수한 성과를 달성했다.

특히 2026년 3월 실시된 모건스탠리캐피털인터내셔널(MSCI) ESG 평가에서 2년 연속 최고 등급인 AAA를 획득한 것은 주목할 만하다. MSCI ESG 평가 방법론에서 데이터 프라이버시 및 정보보안은 'Social(사회)' 부문의 핵심 평가항목으로, ISMS-P와 같은 제3자 인증 보유 여부가 직접적인 평가 지표로 활용된다.

게임 산업 특성상 수백만 명의 이용자 개인정보와 결제정보를 처리하는 카카오게임즈에게 ISMS-P 인증은 선택이 아닌 필수 요건이다. 정보통신망법 제47조에 따라 전년도 말 기준 일평균 이용자 수 100만 명 이상인 정보통신서비스 제공자는 ISMS-P 인증을 의무적으로 취득해야 하며, 카카오게임즈는 이를 단순 법적 의무 이행을 넘어 ESG 경영의 핵심 전략으로 활용하고 있다.

ISO 27001과 ISMS-P의 통합 운영은 글로벌 사업 확장과 국내 규제 준수를 동시에 달성하는 효율적인 접근법이다. 두 인증 기준은 PDCA(Plan-Do-Check-Act) 사이클 기반의 관리체계 구축이라는 공통된 철학을 공유하므로, 통합 관리를 통해 인증 유지 비용을 절감하면서도 실질적인 보안 수준을 제고할 수 있다.

전문가 시각

ISMS-P 선임심사원 관점에서 카카오게임즈 사례는 인증 제도의 본질적 가치를 잘 보여준다. 많은 기업이 ISMS-P를 법적 의무 충족을 위한 '통과의례'로 인식하지만, 실제로는 ESG 평가, 투자자 신뢰, 글로벌 시장 진출 등 다층적 가치를 창출하는 전략적 자산이다. 특히 2024년 개정된 ISMS-P 인증기준(과기정통부 고시 제2024-11호)은 클라우드 보안, 인공지능 보안 등 신기술 환경을 반영하여 ESG 평가기관들이 요구하는 최신 보안 트렌드와 정합성이 높다.

실무적으로 주목할 점은 인증 '취득'보다 '유지'의 중요성이다. 카카오게임즈처럼 지속적으로 인증을 갱신하는 것은 일회성 컴플라이언스가 아닌 실질적 관리체계 운영을 의미한다. 2026년 현재 심사 현장에서는 형식적 문서 정비보다 실제 개인정보 처리 프로세스의 작동 여부, 임직원 보안 인식 수준, 사고 대응 이력 등 실질적 운영 성과를 중점 검증하는 추세다. 기업들은 인증 준비 시 단순 인증 취득이 아닌, ESG 보고서 등 대외 공시와 연계한 통합 관리 전략을 수립해야 한다.

ISMS-P 심사원 체크포인트

1. 인증기준 2.8.1 개인정보 수집 시 동의 (개인정보보호법 제15조, 제22조) 게임 서비스의 경우 회원가입, 인앱 결제, 마케팅 등 다양한 목적으로 개인정보를 수집한다. 심사 시 ① 필수·선택 정보 구분의 적정성, ② 만 14세 미만 아동에 대한 법정대리인 동의 절차(개인정보보호법 제22조 제6항), ③ 게임 이용 과정에서 수집되는 행동정보(플레이 로그, 접속 기록 등)에 대한 고지·동의 여부를 중점 확인한다. 특히 카카오 플랫폼 연동 시 제3자 제공 동의 절차의 명확성이 핵심 점검 사항이다.

2. 인증기준 2.9.3 개인정보 파기 (개인정보보호법 제21조) 휴면계정 및 탈퇴 회원 정보 파기 절차가 실제 운영되는지 확인한다. 정보통신망법 제29조에 따라 1년간 미이용자의 개인정보는 분리 보관 후 파기해야 하며, 심사 시 ① 휴면 전환 자동화 프로세스, ② 분리 보관 DB의 물리적·논리적 격리 수준, ③ 파기 이력 로그 보존 현황을 점검한다. 게임 산업 특성상 장기간 복귀하지 않는 이용자가 많아 파기 절차의 자동화와 이력 관리가 필수적이다.

3. 인증기준 1.2.3 관리체계 점검 및 개선 (ISO 27001 조항 9.2, 9.3 연계) ISO 27001과 ISMS-P를 통합 운영하는 경우, 내부심사(Internal Audit) 및 경영검토(Management Review) 절차의 통합 설계가 중요하다. 심사 시 ① 두 인증 기준의 요구사항을 망라하는 통합 점검표 운영 여부, ② 내부심사원의 양 기준에 대한 이해도, ③ 경영진 보고 시 ESG 지표와의 연계성을 확인한다. 카카오게임즈처럼 ESG 보고서를 발간하는 기업은 관리체계 성과지표가 ESG 보고 데이터와 일관성을 유지하는지가 핵심 평가 요소다.

CPPG·ISMS-P 연계 포인트

1. ESG와 개인정보보호 관계 (CPPG 제1과목 개인정보보호 개론) ESG 평가체계에서 'S(사회)' 부문은 Data Privacy & Security를 핵심 평가항목으로 포함하며, MSCI, Sustainalytics 등 주요 평가기관은 ISMS-P, ISO 27001 등 제3자 인증 보유를 정량적 지표로 활용한다. 개인정보보호는 더 이상 법적 컴플라이언스 차원이 아닌 기업의 지속가능성과 투자 가치를 결정하는 ESG 경영의 핵심 요소로 진화했다.

2. 관리체계 인증의 통합 운영 (ISMS-P 제1장 관리체계 수립 및 운영) ISMS-P와 ISO 27001은 모두 PDCA 사이클 기반 관리체계를 요구하며, 통합 운영 시 ① 통합 정책 체계 수립, ② 공통 통제항목(접근통제, 암호화, 백업 등)의 단일화, ③ 통합 내부심사 및 경영검토 프로세스 설계가 핵심이다. 단, ISMS-P는 개인정보 생명주기 관리(수집-이용-제공-파기) 통제를 추가 요구하므로, 개인정보 특화 절차는 별도 관리해야 한다.