PrivacyNews
전체개인정보보호법령·정책ISMS-P🔴 침해사고AIPET·신기술DR·재해복구💼 취업·진로칼럼관리자
속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

카카오, 정보보호 투자 340억원 규모로 확대했으나 전체 IT 투자 대비 비중은 감소

카카오가 2025년 정보보호에 340억원을 투자했으나, IT 전체 투자 증가율 14% 대비 정보보호 투자 비중은 오히려 하락한 것으로 나타났다. ISMS-P 등 인증 체계는 유지 중이다.

백남정 기자
입력 2026년 6월 21일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/692c18

핵심 요약

- 카카오는 2025년 정보보호 분야에 340억원을 투자하며 절대 금액은 증가 - IT 전체 투자가 14% 증가한 가운데 정보보호 투자 비중은 상대적으로 하락 - ISMS-P, BCMS 등 국내외 핵심 보안 인증 체계는 지속 유지

주요 내용

카카오가 2025년 정보보호 분야에 340억원을 투자한 것으로 확인됐다. 이는 절대 금액 측면에서는 상당한 규모지만, IT 전체 투자가 전년 대비 14% 증가한 것을 감안하면 정보보호 투자의 상대적 비중은 오히려 감소한 것으로 분석된다.

카카오는 AI, 게임, 금융 등 신사업 영역으로의 확장을 지속하고 있으며, 이에 따른 IT 인프라 투자가 전반적으로 증가하고 있다. 그러나 정보보호 투자 비중의 하락은 사업 확장 속도에 비해 보안 투자가 상대적으로 뒤처질 수 있다는 우려를 낳고 있다.

한편 카카오는 정보보호관리체계(ISMS-P) 인증과 업무 연속성 경영시스템(BCMS) 인증 등 국내외 핵심 보안 인증 체계를 계속 유지하고 있는 것으로 나타났다. 이는 제도적 보안 요구사항은 충족하고 있음을 보여준다.

카카오의 지배구조 변화와 함께 보안 투자 전략의 적정성에 대한 검토가 필요한 시점이다. 특히 개인정보를 대규모로 처리하는 플랫폼 기업으로서 사업 확장에 비례한 정보보호 투자 확대가 요구된다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 절대 투자 금액보다 중요한 것은 사업 규모와 위험도에 비례한 적정 투자 수준이다. 카카오처럼 AI, 금융 등 신사업으로 확장하는 경우, 새로운 개인정보 처리 영역이 발생하고 보안 위협면이 확대되므로 정보보호 투자 비중은 오히려 증가해야 정상이다. IT 투자 증가율 대비 정보보호 투자 비중 하락은 심사 시 경영진의 정보보호 의지와 자원 배분의 적정성에 대한 면밀한 검토 사항이 된다.

특히 ISMS-P 인증을 유지하는 기업의 경우, 인증기준 1.1.1(경영진의 참여 및 지원)에서 요구하는 '적정 수준의 자원 할당'이 실질적으로 이행되고 있는지가 핵심이다. 사업 확장기에는 정보보호 조직 인력, 보안 솔루션, 교육 등 전방위적 투자 확대가 필요하며, 단순히 인증 유지를 위한 최소한의 투자는 실제 침해사고 발생 시 대응 역량 부족으로 이어질 수 있다. 경영진은 재무적 투자 현황뿐 아니라 투자 효과성과 위험 기반 투자 우선순위를 정기적으로 점검해야 한다.

ISMS-P 심사원 체크포인트

1. 인증기준 1.1.1(경영진의 참여 및 지원) - 정보보호 자원의 적정성 - 사업 규모, 처리 개인정보 유형 및 규모, 신규 서비스 출시 현황 대비 정보보호 예산 배분의 적정성 검토 - 최근 3개년 IT 투자 대비 정보보호 투자 비율 추이 분석 및 감소 시 합리적 사유 확인 - 개인정보보호법 제29조(안전조치의무)의 '기술적·관리적·물리적 조치'를 위한 충분한 자원 배분 여부

2. 인증기준 2.1.1(정보보호 조직 및 역할·책임) - 조직 역량의 적정성 - 신사업(AI, 금융 등) 확장에 따른 정보보호 조직 인력 충원 현황 및 전문성 확보 여부 - 정보보호 최고책임자(CISO)의 예산 집행 권한 및 의사결정 참여 수준 - 개인정보보호법 제31조(개인정보 보호책임자의 지정)에 따른 책임자의 실질적 권한 부여 여부

3. 인증기준 2.10.3(업무 연속성 계획 수립 및 운영) - BCMS 실효성 - BCMS 인증 유지와 함께 실제 비상대응 훈련 및 복구 테스트 수행 여부 - 사업 확장에 따른 핵심 자산 및 영향 분석(BIA) 재평가 주기 준수 여부

CPPG·IMS-P 연계 포인트

경영진의 정보보호 책임과 자원 할당 ISMS-P 인증기준 1.1.1은 경영진이 정보보호 및 개인정보보호 활동에 필요한 적정 수준의 인력, 예산, 시설 등 자원을 할당할 것을 요구한다. 이는 단순한 투자 금액이 아닌, 조직의 위험 수준과 사업 특성에 비례한 '적정성'이 핵심이다. CPPG 시험에서는 개인정보보호법 제29조의 안전조치의무 이행을 위한 경영진의 역할, 자원 배분의 적정성 판단 기준이 출제될 수 있다.

업무 연속성 관리(BCM)와 복원력 BCMS(ISO 22301)는 조직의 중단 위협에 대비한 지속적 운영 능력을 보장하는 경영시스템이다. ISMS-P 인증기준 2.10에서 요구하는 업무 연속성 계획은 재해복구(DR)를 포함하며, 개인정보 처리 시스템의 가용성 보장과 직결된다. 카카오처럼 대규모 이용자를 보유한 플랫폼은 서비스 중단 시 개인정보 접근 불가 및 2차 피해 발생 가능성이 높아 BCM의 실효성이 더욱 중요하다.

#카카오#ISMS-P#정보보호투자#보안인증#BCMS
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

ISMS-P 기사 더 보기 →
개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
PET·신기술

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화

2026년 6월 19일
[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리
인공지능

[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리

2026년 6월 3일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
취업·진로

공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”

2026년 6월 7일
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
개인정보보호

[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최

2026년 5월 22일