KT, CISO 외부 영입·신입 채용 확대 예고…ISMS-P 인증 체계 강화 신호탄
박윤영 KT 대표가 외부 역량 있는 CISO 영입 계획을 밝히고, 9월 신입사원 채용 공고 예정을 발표했다. 통신사의 정보보호 조직 강화가 ISMS-P 인증 체계에 미치는 영향에 주목된다.
https://privacynews.kr/s/2fdb78핵심 요약
- 박윤영 KT 대표, 외부 역량 있는 CISO(정보보호최고책임자) 영입 계획 공식화 - 이선주 인재실장, 2026년 9월 신입사원 채용 공고 예정 발표 - 통신사업자의 정보보호 조직 강화가 ISMS-P 인증심사 및 개인정보보호 체계 고도화로 직결주요 내용
KT가 2026년 하반기 정보보호 조직 강화에 본격 나선다. 박윤영 대표는 일문일답을 통해 "외부에서 역량 있는 CISO를 영입하겠다"고 밝혔으며, 이선주 인재실장은 "오는 9월 신입사원 채용 공고를 낼 예정"이라고 구체적인 시점을 제시했다.
이번 인사 계획은 단순한 인력 충원을 넘어 정보보호 거버넌스 재편의 신호로 해석된다. 특히 CISO 외부 영입은 최근 몇 년간 신입 채용 규모가 크지 않았던 KT가 정보보호 전문성 확보에 적극적으로 나서겠다는 의지를 보여준다. 통신사업자는 정보통신망법상 정보보호 관리체계(ISMS) 인증 의무 대상이며, 개인정보 처리량을 고려하면 ISMS-P 인증이 사실상 필수다.
정보보호 최고책임자의 역할은 ISMS-P 인증기준 1.1.2(최고경영자의 지정)에서 명시적으로 요구하는 핵심 통제항목이다. 외부 영입을 통한 전문성 강화는 조직의 정보보호 성숙도를 단기간에 끌어올릴 수 있는 전략적 선택이지만, 기존 조직문화와의 통합, 권한 위임의 실질성 확보가 관건이 될 전망이다.
9월 신입 채용 공고는 정보보호 전담인력 확보라는 법적 요구사항 충족과 동시에, AI·클라우드 등 신기술 환경에서의 보안 역량 강화를 목표로 한 것으로 분석된다. 토큰 팩토리 등 신사업 추진을 언급한 만큼, 개인정보 처리 환경이 복잡해지는 상황에서 조직 역량 확충은 불가피한 선택이다.
전문가 시각
ISMS-P 심사 현장에서 가장 빈번하게 지적되는 사항 중 하나가 '정보보호 최고책임자의 형식적 지정'이다. 이름만 올려놓고 실질적 권한이나 자원 배분 권한이 없는 경우, 인증심사에서 부적합 판정을 받는다. KT의 이번 CISO 외부 영입은 최고경영자가 직접 언급했다는 점에서 경영진의 의지가 반영된 것으로 평가할 수 있으나, 핵심은 '임명 이후'다. CISO에게 예산 편성권, 인사권, 경영진 보고 채널이 실질적으로 부여되는지가 인증심사의 핵심 검증 포인트가 된다.
신입사원 채용 확대 역시 단순히 인원수만으로는 인증심사를 통과할 수 없다. ISMS-P 인증기준 2.2.1(정보보호 조직 구성)은 '적정 인력'을 요구하는데, 여기서 적정성은 개인정보 처리량, 시스템 규모, 업무 특성에 비례해 판단된다. KT처럼 대규모 개인정보를 처리하는 통신사는 보안관제, 취약점 점검, 개인정보 영향평가, 침해사고 대응 등 각 기능별로 전담인력 배치가 필요하며, 신입사원의 경우 최소 6개월 이상의 교육훈련 계획과 실행 이력이 심사 시 확인된다.
ISMS-P 심사원 체크포인트
1. 인증기준 1.1.2(정보보호 최고책임자 지정) - 경영진이 임명한 CISO의 직위, 보고체계, 권한 범위를 명문화한 내부 규정 확인 - 정보보호위원회 또는 경영진 회의 참석 이력, 예산 편성 권한 행사 증적 검토 - 개인정보보호법 제31조(개인정보 보호책임자 지정) 준수 여부 교차 검증 필요 - 심사 시 주요 확인사항: CISO 임명장, 직무기술서, 최근 6개월 경영진 보고 자료, 예산 편성 결재 문서
2. 인증기준 2.2.1(정보보호 조직 구성 및 인력 운영) - 정보보호·개인정보보호 전담조직의 인원 구성이 처리 규모 대비 적정한지 평가 - 신규 채용 인력에 대한 교육훈련 계획(직무별 최소 40시간 이상 권고) 및 이수 현황 - 개인정보보호법 시행령 제32조(전문인력 지정기준)에 따른 자격 요건 충족 확인 - 심사 시 주요 확인사항: 조직도, 인력 현황표, 직무기술서, 신입사원 온보딩 교육 이수 증명서, 개인정보보호 자격증 보유 현황
3. 인증기준 2.2.3(정보보호 교육) - 신규 채용 인력 대상 정보보호·개인정보보호 교육 프로그램의 체계성 점검 - 전 직원 연 1회 이상 개인정보보호 교육(개인정보보호법 제28조) 이행 여부 - 심사 시 주요 확인사항: 교육 계획서, 교육 교재, 수료증, 평가시험 결과, 이수율 통계
CPPG·ISMS-P 연계 포인트
1. 정보보호 최고책임자(CISO)의 법적 지위 정보통신망법 제45조의3은 정보보호 최고책임자 지정을 의무화하며, ISMS-P 인증기준 1.1.2는 이를 구체화한다. CISO는 ①경영진에 직접 보고 ②독립적 지위 보장 ③충분한 권한과 자원 확보가 핵심 요건이다. 개인정보보호법상 개인정보 보호책임자(CPO)와 역할이 중첩될 수 있으며, 실무에서는 CISO가 CPO를 겸직하거나 긴밀히 협업하는 구조가 일반적이다.
2. 정보보호 전담조직의 적정성 판단 기준 ISMS-P 인증심사에서 '적정 인력'은 정량적 기준이 아닌 ①개인정보 처리 건수 ②시스템 복잡도 ③사업장 수 ④과거 침해사고 이력 등을 종합 평가한다. 통신사업자는 정보통신망법 시행령 제49조에 따라 100만 명 이상 이용자 보유 시 정보보호 전담조직 의무 설치 대상이며, 최소 3인 이상의 전담인력 배치가 요구된다. 신규 인력 충원 시 개인정보보호 전문인력 자격 요건(CPPG, 개인정보관리사 등) 보유자 우대가 실무 관행이다.

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
