카카오페이, AI 시대 대비 ESG·보안 투자 확대…ISMS-P 기반 3단계 전략 공개

핵심 요약

- 카카오페이, 2026~2028년 3단계 AI 전환 로드맵 발표 ('AI Ready & Quick-win' → 'Growth & Roll-out' → 'AI-Native') - 2025년 전체 IT 투자액의 11.2%를 정보보호에 집행, 핀테크 업계 최초 ISMS-P 인증 취득 강조 - ESG 보고서를 AI가 읽을 수 있는 형식으로 제공, AI 시대 투명성 확보 전략 선도

주요 내용

카카오페이는 2026년 6월 현재 AI 네이티브 기업으로의 전환을 위한 구체적인 로드맵을 제시했다. 올해를 'AI Ready & Quick-win' 단계로 설정하고, 2027년 'Growth & Roll-out', 2028년 이후 'AI-Native' 단계로 단계적 전환을 추진한다는 계획이다. 특히 주목할 점은 ESG 보고서를 AI가 읽고 분석할 수 있는 형식으로 제공한다는 전략으로, 이는 AI 시대 기업 투명성 확보의 새로운 방식으로 평가된다.

카카오페이는 2025년 전체 IT 투자액 중 약 11.2%를 정보보호 분야에 집행했다고 밝혔다. 이는 금융권 평균 정보보호 투자 비율인 7~9%를 크게 상회하는 수치다. 핀테크 업계 최초로 취득한 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 기반으로, AI 도입 과정에서도 개인정보보호와 보안을 최우선 과치로 설정했다는 점이 특징적이다.

AI 기술 도입이 가속화되는 금융 산업에서 카카오페이의 이러한 움직임은 기술 혁신과 보안·프라이버시 보호의 균형점을 찾는 모범 사례로 주목받고 있다. 특히 AI가 ESG 보고서를 직접 분석할 수 있도록 구조화된 데이터를 제공하는 것은, 향후 AI 기반 투자 의사결정과 ESG 평가 자동화 시대를 대비한 선제적 대응으로 해석된다.

금융당국도 2026년 상반기부터 AI 활용 금융서비스에 대한 개인정보보호 가이드라인을 강화하고 있는 상황에서, 카카오페이의 ISMS-P 기반 AI 전환 전략은 업계 전반에 시사하는 바가 크다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 카카오페이의 접근법은 AI 시대 정보보호 관리체계의 진화 방향을 제시한다. 단순히 ISMS-P 인증을 취득하는 것을 넘어, AI 기술 도입의 각 단계마다 개인정보 영향평가(PIA)와 알고리즘 투명성 확보를 연계하는 것이 핵심이다. 특히 'AI Ready' 단계에서부터 정보보호 투자 비율을 11.2%로 설정한 것은, AI 학습 데이터의 비식별화, 모델 보안, AI 윤리 거버넌스 구축에 충분한 자원을 배분하겠다는 의지로 읽힌다.

실무적으로 기업들이 주목해야 할 점은 ESG 보고서의 'AI 가독성' 확보 전략이다. 이는 단순한 기술적 이슈가 아니라, 개인정보 처리 방침, 정보보호 정책, 제3자 제공 내역 등 법정 공시 사항을 AI가 정확하게 해석할 수 있도록 구조화해야 함을 의미한다. 2026년 현재 개인정보보호위원회가 추진 중인 'AI 시대 개인정보 보호 프레임워크'에도 이러한 기계 판독 가능한(machine-readable) 프라이버시 정책 제공이 권고 사항으로 포함될 전망이다.

ISMS-P 심사원 체크포인트

1. 인증기준 2.8.2 (개인정보 영향평가) 및 2.10.1 (신기술 도입 시 보안 대책) AI 시스템 도입 시 개인정보 영향평가(PIA) 수행이 필수다. 카카오페이와 같이 AI 전환 로드맵을 수립한 조직은 각 단계별(Ready, Roll-out, Native)로 PIA를 실시하고, AI 학습 데이터에 포함된 개인정보의 수집·이용·제공 법적 근거를 명확히 문서화해야 한다. 개인정보보호법 제33조(개인정보 영향평가) 및 시행령 제35조에 따라 대규모 개인정보를 처리하는 금융회사는 5만 명 이상 정보주체의 민감정보를 처리하는 AI 시스템 구축 시 의무적으로 영향평가를 수행해야 한다.

2. 인증기준 2.3.2 (개인정보 처리방침 수립·공개) - AI 처리 내역 명시 AI가 개인정보를 처리하는 경우, 개인정보 처리방침에 자동화된 의사결정의 존재, 사용되는 개인정보 항목, 처리 목적을 구체적으로 명시해야 한다. 'AI 가독성' 확보를 위해서는 JSON-LD, Schema.org 등 구조화된 형식으로 개인정보 처리방침을 제공하고, API를 통해 기계적 접근이 가능하도록 설계하는 것이 바람직하다. 개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개) 제2항 제7호의2 '자동화된 결정에 관한 사항' 공개 의무와 직결된다.

3. 인증기준 1.2.2 (정보보호 예산 및 자원 확보) IT 투자 대비 정보보호 투자 비율 11.2%는 심사 시 긍정적 평가 요소다. 심사원은 AI 시스템 구축 예산 내 보안·프라이버시 강화 기술(PETs: Privacy Enhancing Technologies) 예산 편성 여부, 차등정보보호(Differential Privacy), 연합학습(Federated Learning), 동형암호(Homomorphic Encryption) 등 프라이버시 보호 AI 기술 도입 계획을 점검한다. 정보통신망법 제45조(정보보호 관리체계의 인증)와 연계하여 지속적 투자 이력을 확인한다.

CPPG·ISMS-P 연계 포인트

개인정보 영향평가(PIA) - Privacy Impact Assessment AI 시스템 도입 시 필수적인 사전 보호조치로, 개인정보의 위험도를 평가하고 보호대책을 수립하는 절차다. 평가 대상은 ①개인정보 파일 수가 5만 명 이상이면서 민감정보 또는 고유식별정보를 처리하는 경우 ②50만 명 이상 개인정보 파일을 구축·운용 또는 변경하는 경우다. AI 학습 데이터셋 구축, 자동화된 신용평가·프로파일링 시스템 등이 해당되며, 반드시 외부 전문기관 평가를 포함해야 한다.

프라이버시 강화 기술(PETs) - Privacy Enhancing Technologies 개인정보를 보호하면서도 데이터 활용을 가능하게 하는 기술군으로, AI 시대 핵심 보호 수단이다. 대표적으로 차등 프라이버시(개인 식별 불가하도록 노이즈 추가), 동형암호(암호화 상태에서 연산 수행), 합성데이터(실제와 유사한 가상 데이터 생성), 연합학습(데이터 이동 없이 분산 학습) 등이 있다. ISMS-P 인증심사 시 PETs 적용 여부는 '개인정보의 안전한 처리(2.7~2.10)' 영역에서 가점 요소로 평가된다.