속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

ISMS-P 인증 공공시스템 81개 확대, 보안투자 기업 과징금 40% 감경 추진

개인정보보호위원회가 2026년 하반기부터 정부24 등 주요 공공시스템 81개에 ISMS-P 인증을 단계적으로 적용하고, 보안투자 기업에 대한 과징금 감경 제도를 도입한다.

백남정 기자
입력 2026년 7월 16일·조회 3·원문 보기 ↗
단축URLhttps://privacynews.kr/s/3a0bdc
ISMS-P 인증 공공시스템 81개 확대, 보안투자 기업 과징금 40% 감경 추진

핵심 요약

- 개인정보보호위원회, 정부24·국민신문고 등 주요 공공시스템 81개에 2027년 7월부터 ISMS-P 인증 단계적 의무화 - 보안투자를 이행한 기업에 대해 과징금 최대 40% 감경하는 인센티브 제도 신설 - AI 개발 목적의 원본 개인정보 활용 규제 완화로 가명·익명 처리 부담 경감

주요 내용

개인정보보호위원회는 2026년 7월 16일 청와대 영빈관에서 '2026년 하반기 업무계획'을 보고하며, 공공부문 개인정보 보호 관리체계 강화와 민간 기업에 대한 차등적 제재 방안을 발표했다. 이번 계획의 핵심은 정부24, 국민신문고 등 국민 이용도가 높은 주요 공공시스템 81개에 ISMS-P(개인정보 보호 관리체계) 인증을 2027년 7월부터 단계적으로 의무화한다는 것이다.

특히 주목할 만한 점은 보안투자를 성실히 이행한 기업에 대한 과징금 감경 제도다. 개인정보 침해사고 발생 시에도 사전에 보안관리체계 구축과 기술적 보호조치에 투자한 기업은 최대 40%까지 과징금을 감경받을 수 있게 된다. 이는 사후 처벌 중심에서 사전 예방 투자를 유도하는 정책 전환을 의미한다.

또한 AI 개발 활성화를 위해 원본 개인정보 활용 규제도 완화된다. 기존에는 AI 학습용 데이터 구축 시 가명처리나 익명처리를 거쳐야 했으나, 일정 요건 충족 시 원본 개인정보를 직접 활용할 수 있는 길이 열리게 된다. 이는 AI 개발 기업들의 데이터 전처리 부담을 크게 줄여줄 것으로 예상된다.

이번 업무계획은 공공과 민간, 규제와 진흥의 균형을 모색한 것으로 평가된다. 공공부문에는 ISMS-P 인증 의무화로 책임성을 강화하고, 민간에는 투자 인센티브와 규제 완화로 혁신 동력을 제공하는 투트랙 전략이다.

전문가 시각

ISMS-P 선임심사원으로서 이번 공공시스템 인증 확대는 매우 긍정적인 신호로 받아들여진다. 정부24와 국민신문고는 연간 수억 건의 개인정보를 처리하는 초대형 시스템임에도 불구하고 그간 체계적인 보호관리체계 인증 없이 운영되어 왔다. 2027년 7월부터 단계적 적용이 시작되면, 해당 시스템 운영기관들은 최소 6개월 전부터 갭분석, 정책·절차 정비, 기술적 보호조치 강화 등 선제적 준비에 착수해야 한다. 특히 클라우드 기반으로 전환된 시스템의 경우 CSP(Cloud Service Provider)와의 책임 분담 명확화가 심사의 핵심 포인트가 될 것이다.

과징금 40% 감경 제도는 실무적으로 매우 중요한 의미를 갖는다. 다만 '보안투자 이행'의 입증 기준이 관건인데, ISMS-P 인증 취득 여부, 정보보호 예산 비율, 개인정보 영향평가 이행 실적 등이 정량적 지표로 활용될 가능성이 크다. 기업들은 보안투자 내역을 문서화하고, 정기적인 취약점 점검과 개선 이력을 체계적으로 관리해야 한다. 특히 중소기업의 경우 한정된 예산 내에서 어떤 보안투자가 감경 요건으로 인정받을 수 있는지에 대한 명확한 가이드라인이 조속히 마련되어야 할 것이다.

ISMS-P 심사원 체크포인트

1. 관리체계 수립 및 운영 (인증기준 1.1.1~1.1.3) - 공공시스템 ISMS-P 인증 준비 시 최고책임자의 정보보호정책 승인 및 조직 내 공표가 선행되어야 함 - 정보보호 조직의 독립성과 권한 명확화, 특히 개인정보 처리 업무와 보호 업무의 분리 여부를 중점 심사 - 관련 법령: 개인정보보호법 제31조(개인정보 보호책임자의 지정), 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등)

2. 보호대책 요구사항 (인증기준 2.8.1~2.8.5) - 과징금 감경 인정을 위한 보안투자는 접근통제, 암호화, 접속기록 보관 등 기술적 보호조치의 실질적 이행이 핵심 - 개인정보 처리시스템에 대한 연 1회 이상의 취약점 점검 및 개선 이력, 침입차단·탐지 시스템 운영 현황을 문서화된 증적으로 보유해야 함 - 관련 법령: 개인정보보호법 시행령 제48조의2(과징금 감경 사유), 개인정보의 안전성 확보조치 기준 제4조~제10조

3. 개인정보 수집·이용·제공 (인증기준 3.1.1~3.1.4) - AI 개발 목적 원본 개인정보 활용 시 정보주체 동의 범위와 목적 명확성이 심사의 핵심 - 가명·익명처리 면제 요건 충족 여부를 입증할 수 있는 AI 모델 개발 계획서, 데이터 최소화 방안, 학습 완료 후 원본 데이터 파기 절차 등을 사전에 문서화 - 관련 법령: 개인정보보호법 제15조(개인정보의 수집·이용), 제28조의2(가명정보의 처리 등)

CPPG·ISMS-P 연계 포인트

과징금 산정 및 감경 제도 개인정보보호법 제34조의2는 과징금 부과 기준을 매출액의 3% 이하로 규정하고 있으며, 시행령 제48조의2에서 감경 사유를 열거한다. 보안투자 이행 기업에 대한 40% 감경은 '위반행위의 동기, 목적 및 결과', '개인정보 처리 관련 기술적·관리적 조치 이행 정도'를 종합 고려한 재량 감경에 해당한다. CPPG 시험에서는 과징금 산정 기준액, 가중·감경 사유, 양벌규정 적용 요건을 구분하여 출제되므로 각 조항의 수치와 요건을 정확히 암기해야 한다.

개인정보 가명·익명처리 구분 AI 개발을 위한 원본 개인정보 활용 완화는 개인정보보호법 제28조의2(가명정보)와 제58조의2(적용 제외) 조항의 해석과 직결된다. 가명처리는 추가 정보 없이는 특정 개인 식별이 불가능하나 여전히 개인정보로 분류되며, 익명처리는 재식별 가능성이 없어 법 적용 대상에서 제외된다. ISMS-P 심사 시 가명정보 처리 시 안전조치(제28조의4), 결합 전문기관 활용(제28조의3) 등의 절차 준수 여부를 점검하므로, 두 개념의 법적 요건 차이와 처리 절차를 명확히 구분하여 학습해야 한다.

#ISMS-P#개인정보보호위원회#과징금감경#정부24#공공시스템보안
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사