KB증권, ISMS-P·ISO 27001 인증 유지…정보보호 관리체계 지속가능경영 핵심 과제로 제시

핵심 요약

- KB증권, 2026년 6월 29일 'KB증권 ESG Report 2025' 발간, ISMS-P 및 ISO 27001 인증 유지 현황 공개 - 정보보호 및 개인정보보호 관리체계를 지속가능경영의 핵심 요소로 제시 - 금융권의 정보보호 인증이 ESG 경영과 통합 관리되는 추세 확인

주요 내용

KB증권이 2026년 6월 29일 발간한 여덟 번째 지속가능경영보고서 'KB증권 ESG Report 2025'를 통해 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증과 정보보호경영시스템 국제표준 ISO 27001 인증 유지 현황을 공개했다. 이는 금융기관의 정보보호 관리체계가 단순 규제 대응을 넘어 지속가능경영의 핵심 요소로 자리잡았음을 보여주는 사례다.

ISMS-P(정보보호 및 개인정보보호 관리체계) 인증은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 및 「개인정보 보호법」에 따라 과학기술정보통신부와 한국인터넷진흥원이 운영하는 국내 대표 정보보호 인증제도다. 금융회사는 전년도 말 기준 직전 3개월간 일일평균 이용자 수가 100만명 이상이거나 전년도 매출액이 100억원 이상인 경우 의무적으로 ISMS-P 인증을 취득해야 한다.

KB증권은 ISMS-P 인증과 함께 국제표준인 ISO 27001 인증도 병행 유지하고 있다. ISO 27001은 정보보호경영시스템(ISMS)에 대한 국제표준으로, ISMS-P가 국내 개인정보보호법 요구사항을 추가로 반영한 것과 달리 글로벌 정보보호 관리 수준을 입증하는 지표로 활용된다. 금융회사가 두 인증을 동시에 유지하는 것은 국내외 규제 대응과 함께 고객 신뢰 확보를 위한 전략적 선택으로 볼 수 있다.

이번 보고서 공개는 금융권에서 정보보호가 ESG(환경·사회·지배구조) 경영의 'G(지배구조)' 또는 'S(사회적 책임)' 영역으로 통합 관리되고 있음을 보여준다. 특히 개인정보보호는 고객 권리 보호라는 사회적 책임과 직결되며, 정보보호 관리체계의 효과적 운영은 건전한 지배구조의 핵심 요소로 인식되고 있다.

전문가 시각

금융회사의 ISMS-P 인증 유지는 단순히 법적 의무 이행을 넘어 지속가능경영 관점에서 전략적으로 접근해야 한다. KB증권이 ESG 보고서에 정보보호 인증 현황을 명시한 것은 정보보호를 리스크 관리가 아닌 가치 창출의 기회로 인식하고 있음을 의미한다. 실무적으로는 ISMS-P 인증 유지를 위한 연간 사후심사와 3년 주기 갱신심사를 ESG 보고 주기와 연계하여 관리하면, 중복 업무를 줄이고 통합 거버넌스를 구축할 수 있다.

특히 2026년 현재 금융권은 클라우드 전환, AI 활용 확대, 디지털 금융 플랫폼 고도화 등으로 정보보호 환경이 급변하고 있다. ISMS-P 인증기관은 이러한 기술 변화에 대응한 위험 평가, 개인정보 영향평가(PIA), 클라우드 보안 통제 등을 강화하여 심사하고 있다. 따라서 금융회사는 ESG 보고서에 단순히 인증 보유 사실만 기재할 것이 아니라, 신기술 도입에 따른 정보보호 대응 전략과 성과지표(KPI)를 구체적으로 공개하여 이해관계자의 신뢰를 확보해야 한다.

ISMS-P 심사원 체크포인트

1. 인증기준 2.9.1 정보보호 및 개인정보보호 조직 (관리체계 수립 및 운영) - ESG 거버넌스와 정보보호 거버넌스의 연계성 확인: 이사회 또는 ESG 위원회에 정보보호·개인정보보호 현황이 정기적으로 보고되는지, 의사결정 프로세스가 ESG 보고서와 일관성 있게 운영되는지 점검 - 「개인정보 보호법」 제31조(개인정보 보호책임자의 지정)에 따른 CPO의 역할이 ESG 경영 체계 내에서 명확히 정의되어 있는지 확인

2. 인증기준 2.10.3 법적 요구사항 준수 검토 (개인정보보호 법규 준수) - ESG 보고서에 기재된 정보보호 인증 및 준수 현황의 정확성 검증: 보고서 발행일 기준 인증 유효기간, 인증범위(사업장, 시스템 등), 최근 심사 결과 등이 실제와 일치하는지 확인 - 「자본시장과 금융투자업에 관한 법률」 제28조(건전경영 의무)와의 연계성, 금융위원회 및 금융감독원의 정보보호 관련 규제 이행 여부 점검

3. 인증기준 2.7.2 위험 관리 (정보자산 및 개인정보 위험 평가) - ESG 보고서에 공개된 디지털 전환 계획(클라우드, AI 등)에 대응하는 정보보호 위험 평가가 ISMS-P 관리체계 내에서 수행되었는지 확인 - 「개인정보 보호법」 제33조(개인정보 영향평가)에 따른 평가 결과가 ESG 리스크 관리 프레임워크와 통합 관리되는지 검토

CPPG·ISMS-P 연계 포인트

1. ESG 경영과 정보보호 거버넌스의 통합 ESG 보고서는 이해관계자에게 기업의 지속가능성을 입증하는 공시 수단이며, ISMS-P 인증은 정보보호·개인정보보호 관리체계의 적정성을 인증하는 제도다. 두 체계의 효과적 통합을 위해서는 ①이사회 수준의 정보보호 의사결정 구조, ②정보보호 성과지표(KPI)의 ESG 지표 반영, ③정보보호 관련 법규 준수 현황의 투명한 공개가 필수적이다. CPPG 시험에서는 개인정보 보호책임자의 역할과 경영진의 책임, ISMS-P 시험에서는 관리체계 거버넌스와 이사회 보고 체계가 출제 포인트다.

2. 금융회사 ISMS-P 인증 의무화 요건 「정보통신망법」 제47조 및 동법 시행령 제48조의3에 따라 정보통신서비스 제공자 중 ①전년도 말 기준 직전 3개월간 일일평균 이용자 수 100만명 이상, ②전년도 매출액 100억원 이상 등의 기준을 충족하는 경우 ISMS-P 인증이 의무화된다. 금융회사는 대부분 이 요건에 해당하며, 추가로 「전자금융거래법」, 금융위원회 감독규정 등에서 정보보호 관리체계 구축을 요구하고 있어 사실상 전면적 인증 대상이다. 시험에서는 인증 의무 대상 기준, 인증 유효기간(3년), 사후심사 주기(매년) 등이 자주 출제된다.