속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

DB손해보험·삼성화재·동양생명, 주민번호 선제 암호화로 ISMS-P 인증 강화

주요 보험사들이 고객 주민등록번호·성명·연락처 등 핵심 개인정보를 선제적으로 암호화하고 ISMS-P·ISO27001 인증을 획득하며 정보보호 체계를 강화하고 있다.

백남정 기자
입력 2026년 7월 14일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/4e6600

핵심 요약

- DB손해보험, 삼성화재 등 주요 보험사들이 주민등록번호·성명·연락처 등 핵심 개인정보를 선제적으로 암호화 조치 완료 - ISMS-P(정보보호 및 개인정보보호 관리체계) 및 ISO27001 국제 인증 동시 획득으로 정보보호 체계 고도화 - 동양생명은 2026년 하반기 리더스 교육을 통해 부서장급 리더들의 정보보호 인식 제고 추진

주요 내용

2026년 국내 주요 보험사들이 고객 개인정보 보호를 위한 선제적 암호화 조치에 나서고 있다. DB손해보험과 삼성화재는 주민등록번호, 성명, 연락처 등 개인정보보호법상 민감정보 및 고유식별정보에 해당하는 핵심 데이터를 대상으로 암호화를 완료했다. 이는 법적 의무사항을 넘어 사전 예방적 정보보호 조치로 평가된다.

특히 이들 보험사는 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)와 ISO27001(정보보안 국제표준) 인증을 동시에 획득하며 국내외 정보보호 기준을 충족하는 통합 관리체계를 구축했다. ISMS-P는 과학기술정보통신부와 한국인터넷진흥원이 운영하는 국내 대표 정보보호 인증제도로, 보험업은 개인정보보호법 시행령상 의무 인증 대상이다.

동양생명은 지난 7월 10일 인재개발원에서 임원·팀장·파트장 등 부서장급 리더들이 참석하는 '2026년 하반기 리더스 교육'을 개최했다. 보험업계는 대규모 고객정보를 취급하는 특성상 경영진 차원의 정보보호 의지와 리더십이 ISMS-P 인증심사에서 핵심 평가요소로 작용한다.

금융권의 개인정보 암호화 강화는 최근 개인정보 유출 사고가 지속되는 가운데 규제 당국의 감독이 강화되고 있는 추세와 맞물려 있다. 금융감독원과 개인정보보호위원회는 2026년 상반기부터 금융회사 대상 개인정보 보호수준 평가를 강화하고 있으며, 암호화 미흡 시 과징금 부과 등 제재 수위를 높이고 있다.

전문가 시각

보험사의 선제적 암호화 조치는 ISMS-P 인증기준 중 '개인정보 암호화(2.8.2)'를 충실히 이행한 사례로 평가할 수 있다. 다만 실무 관점에서 암호화 적용 범위를 명확히 정의하는 것이 중요하다. 단순히 주민등록번호만 암호화할 것이 아니라, 여권번호·운전면허번호 등 고유식별정보 전체와 건강정보·신용정보 등 민감정보, 그리고 보험금 청구 관련 금융정보까지 포괄적으로 적용해야 한다. 또한 암호화 키 관리체계(KMS)를 별도로 구축하고, 암호화 알고리즘은 국정원 검증 암호모듈(KCMVP) 인증제품을 사용해야 심사 시 감점 요인을 방지할 수 있다.

동양생명의 부서장급 리더 교육은 ISMS-P 인증기준 중 '최고경영자의 참여(2.1.1)'와 '조직 구성(2.1.2)'을 충족하기 위한 필수 활동이다. 심사 시 경영진 인터뷰에서 정보보호 정책에 대한 이해도와 예산 지원 의지를 구체적으로 확인하므로, 단발성 교육이 아닌 분기별 정기 보고체계와 정보보호위원회 운영 실적을 함께 준비해야 한다. 특히 2026년부터 강화된 인증기준은 개인정보 영향평가(PIA) 결과의 경영진 보고를 명시적으로 요구하고 있어, 형식적 교육을 넘어 실질적 의사결정 참여 증적을 확보하는 것이 관건이다.

ISMS-P 심사원 체크포인트

1. 개인정보 암호화 (인증기준 2.8.2 / 개인정보보호법 제24조의2, 제29조) - 고유식별정보(주민등록번호 등) 및 비밀번호는 안전한 암호알고리즘으로 암호화 저장 의무 (법 제24조의2) - 개인정보 전송 시 안전한 보안채널(SSL/TLS 등) 적용 또는 암호화 후 전송 확인 - 암호키 생성·이용·보관·배포·파기 등 전 생애주기 관리절차 수립 여부 - 국정원 검증 암호모듈(KCMVP) 사용 여부 및 암호화 대상 개인정보 범위의 적정성 - DB 암호화(TDE, API 등) 방식별 키 분리 보관 및 접근통제 이행 점검

2. 최고경영자의 참여 및 조직 구성 (인증기준 2.1.1, 2.1.2) - 최고경영자의 정보보호 및 개인정보보호 방침 승인·공표 이력 - 정보보호위원회(또는 이에 준하는 의사결정기구) 구성 및 분기별 개최 실적 - 경영진 대상 정보보호 교육 실시 기록 및 예산 배정 의사결정 증적 - 개인정보 영향평가(PIA), 위험평가 결과의 경영진 보고 체계 및 실제 보고 이력 - 개인정보보호책임자(CPO)의 독립성 보장 및 경영진 직보 체계 구축 여부

3. 금융회사 특화 점검사항 (개인정보보호법 시행령 제48조의3) - 의무인증 대상 사업자로서 3년 주기 갱신 심사 대응 체계 및 사후관리 이행 점검 - 금융감독원 '전자금융감독규정' 제19조(안전성 확보 의무) 준수 여부 - 보험금 청구정보 등 금융정보 처리 시 접근권한 관리 및 로그 기록 보존(최소 2년) - 업무위탁(콜센터, 보험설계사 등) 시 수탁자 관리·감독 및 개인정보 제공 동의 확보 절차

CPPG·ISMS-P 연계 포인트

1. 고유식별정보 암호화 의무 (CPPG 핵심) 개인정보보호법 제24조의2는 주민등록번호·여권번호·운전면허번호·외국인등록번호 등 고유식별정보 처리 시 암호화 등 안전성 확보조치를 의무화한다. 안전행정부 고시(개인정보의 안전성 확보조치 기준) 제7조는 암호화 알고리즘과 키 길이를 구체적으로 규정하며, ISMS-P 인증기준 2.8.2는 이를 관리체계 차원에서 이행·점검하도록 요구한다. 단순 암호화 기능 구현이 아닌 암호키 생명주기 관리절차까지 수립해야 인증심사 통과가 가능하다.

2. 최고경영자 책임 명확화 (ISMS-P 1영역 핵심) ISMS-P 인증기준 1영역(관리체계 수립 및 운영)은 최고경영자의 정보보호 의지와 자원 배정을 최우선 평가요소로 설정한다. 개인정보보호법 제31조는 개인정보보호책임자 지정을 의무화하되, ISMS-P는 이를 넘어 최고경영자의 방침 선언·위험평가 결과 검토·예산 승인 등 구체적 참여 증적을 요구한다. CPO·CISO 선임만으로는 불충분하며, 경영진 차원의 정기 보고체계와 의사결정 이력이 심사 시 필수 제출 자료다.

#ISMS-P#개인정보암호화#보험사정보보호#ISO27001#주민번호보호
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사