속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

ISMS-P 인증 의무화 확대, 2027년 7월 정부24·국민신문고부터 단계 시행

개인정보위원회가 2026년 하반기 업무계획을 통해 주요 공공시스템의 ISMS-P 인증 단계적 의무화 방침을 발표했다. 과징금 산정 시 예방투자 반영 등 제도 개선도 포함됐다.

백남정 기자
입력 2026년 7월 16일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/88ca4c

핵심 요약

- 개인정보위원회, 2026년 7월 16일 청와대 영빈관에서 '2026년 하반기 업무계획' 보고 - 정부24·국민신문고 등 주요 공공시스템 대상 ISMS-P 인증 2027년 7월부터 단계적 의무화 - 과징금 산정 시 사전 예방투자 반영, AI 특례 및 손해배상 입증책임 개편 추진

주요 내용

개인정보위원회는 2026년 7월 16일 청와대 영빈관에서 '2026년 하반기 업무계획'을 보고하며, 공공 부문의 정보보호 강화를 위한 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 의무화 계획을 발표했다. 이번 조치는 정부24, 국민신문고 등 국민 이용률이 높은 주요 공공시스템을 시작으로 2027년 7월부터 단계적으로 시행될 예정이다.

이번 업무계획의 핵심은 사후 제재 중심에서 사전 예방 중심으로의 정책 전환이다. 개인정보위원회는 과징금 산정 시 기업이 사전에 투자한 예방조치를 감경 사유로 반영하는 방안을 도입하기로 했다. 이는 형식적 인증 취득이 아닌, 실질적인 정보보호 투자를 유도하기 위한 조치로 평가된다.

또한 AI 기술 발전에 따른 특례 규정 마련과 개인정보 유출 사고 발생 시 손해배상 입증책임 전환 등 제도 개선도 함께 추진된다. 특히 손해배상 입증책임이 피해자에서 사업자로 전환될 경우, ISMS-P 인증을 통한 사전 관리체계 구축이 기업의 면책 입증에 중요한 근거가 될 것으로 전망된다.

ISMS-P 인증 의무화는 현재 일정 규모 이상의 정보통신서비스 제공자와 집적정보통신시설 사업자에 적용되고 있으나, 이번 조치로 공공 부문까지 확대되면서 인증 대상 기관이 크게 늘어날 것으로 예상된다. 정부는 2027년 1월부터 관련 시스템 정비를 시작해 같은 해 7월 본격 시행에 들어갈 계획이다.

전문가 시각

ISMS-P 선임심사원 관점에서 이번 공공 부문 의무화는 매우 의미 있는 정책 전환이다. 그간 민간 부문에 비해 상대적으로 인증 적용이 제한적이었던 공공기관이 선도적으로 정보보호 관리체계를 구축함으로써, 전체 공공 서비스의 보안 수준 상향 평준화를 기대할 수 있다. 특히 정부24와 국민신문고는 연간 수천만 건의 개인정보를 처리하는 대표적 공공플랫폼으로, 이들 시스템의 ISMS-P 인증은 국민의 개인정보 보호에 직접적인 기여를 할 것이다.

다만 실무적으로는 준비 기간이 약 1년밖에 남지 않은 만큼, 해당 기관들의 신속한 Gap Analysis와 이행계획 수립이 필요하다. 특히 공공기관 특성상 예산 확보 절차가 복잡하므로, 2027회계연도 예산 편성 시 ISMS-P 인증 구축 비용을 사전에 반영해야 한다. 과징금 산정 시 예방투자 반영 조항은 기업들에게 긍정적 신호이나, 무엇을 '예방투자'로 인정할지에 대한 구체적 기준 마련이 선행되어야 실효성을 확보할 수 있을 것이다.

ISMS-P 심사원 체크포인트

1. 정보보호 조직 및 예산 (ISMS-P 인증기준 1.1.2, 1.1.3) 공공기관의 경우 정보보호 전담조직 구성과 독립적 예산 확보가 핵심 심사 포인트다. 「개인정보 보호법」 제31조(개인정보 보호책임자의 지정)와 「정보통신망법」 제45조의3(정보보호 최고책임자의 지정 등)에 따라 CISO 또는 CPO의 실질적 권한과 책임 범위를 명확히 설정해야 한다. 심사 시에는 정보보호위원회 운영 실적, 연간 정보보호 예산 비율, 예산 집행 내역의 적정성을 중점 확인한다.

2. 개인정보 영향평가 및 사전 예방조치 (ISMS-P 인증기준 3.1.2) 과징금 산정 시 예방투자가 반영되는 만큼, 사전 위험분석과 영향평가 수행 이력이 중요해졌다. 「개인정보 보호법」 제33조(개인정보 영향평가)에 따른 영향평가 실시 여부, 취약점 점검 및 모의훈련 실시 기록, 보안 투자 이력 등을 문서화해야 한다. 심사 시에는 연간 보안 투자액, 사전 예방조치 실행률, 보안 사고 예방 효과 측정 지표 등을 종합 평가한다.

3. 공공시스템 특화 통제 항목 (ISMS-P 인증기준 2.8, 2.9) 정부24, 국민신문고 등 대국민 서비스는 대량의 민감정보를 처리하므로 접근통제(2.8.1~2.8.6)와 암호화(2.9.1~2.9.3) 통제가 강화 심사된다. 「개인정보 보호법」 제24조의2(가명정보의 처리 등), 제29조(안전조치의무)에 따른 암호화 적용 범위, 접근권한 관리 체계, 로그 기록 및 모니터링 체계를 집중 점검한다. 특히 행정안전부의 「개인정보의 안전성 확보조치 기준」 준수 여부가 공공기관 심사의 핵심이다.

CPPG·ISMS-P 연계 포인트

과징금 감경 사유로서의 안전조치 투자 「개인정보 보호법」 제34조의2(과징금) 제3항은 과징금 부과 시 위반행위의 내용·정도, 위반행위로 인한 피해 규모 등을 고려하도록 규정한다. 이번 정책은 사전 예방투자를 명시적 감경 사유로 인정하겠다는 것으로, CPPG 시험의 '과징금 산정 기준' 및 ISMS-P 인증기준 '1.1.3 정보보호 자원 할당'과 직결된다. 실무에서는 정보보호 예산 비율, ISMS-P 인증 유지 이력, 보안 투자 내역을 객관적으로 입증할 수 있는 문서 관리가 필수다.

손해배상 입증책임과 관리체계 구축의 상관관계 「개인정보 보호법」 제39조(손해배상책임)는 현행 과실 추정 규정을 두고 있으나, 입증책임 전환 시 사업자가 '상당한 주의를 다했음'을 입증해야 면책된다. ISMS-P 인증은 이러한 '상당한 주의' 이행의 객관적 증거로 작용할 수 있다. CPPG 시험에서는 '손해배상 청구 요건'과 '면책 사유'가 출제되며, ISMS-P에서는 '2.1 정책의 유지관리' '2.12 사고 예방 및 대응' 항목이 이를 뒷받침하는 통제 체계가 된다.

#ISMS-P인증#개인정보위원회#정보보호관리체계#공공시스템#의무인증
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사