LG헬로비전 ISMS-P 인증 획득, 통합 정보보호체계 구축 완료
LG헬로비전이 2026년 상반기 ISMS-P 인증을 획득하며 정보보호와 개인정보보호 통합 관리체계를 구축했다. ISO45001과 함께 ESG 경영 강화에 나섰다.
https://privacynews.kr/s/fe4215핵심 요약
- LG헬로비전, 2026년 상반기 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 획득 - ISO45001(안전보건경영시스템) 인증 유지와 함께 통합 경영시스템 운영 체계 확립 - '2025-2026 지속가능경영보고서' 발간으로 ESG 경영 성과 및 정보보호 활동 투명하게 공개주요 내용
LG헬로비전이 2026년 7월 15일 발표한 지속가능경영보고서를 통해 ISMS-P 인증 획득 사실을 공개했다. ISMS-P는 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS)를 통합한 인증제도로, 과학기술정보통신부와 한국인터넷진흥원(KISA)이 운영하는 국내 대표 정보보호 인증이다.
방송통신 및 인터넷 서비스를 제공하는 LG헬로비전은 약 410만 가입자의 시청 이력, 결제 정보, 개인식별정보 등 대규모 개인정보를 처리하는 사업자로서 ISMS-P 인증 획득이 필수적인 상황이었다. 개인정보보호법 제32조의2에 따라 정보통신서비스 제공자 중 전년도 말 기준 직전 3개월간 일일평균 이용자 수가 100만명 이상인 사업자는 ISMS-P 인증을 의무적으로 받아야 한다.
LG헬로비전은 이번 인증을 통해 개인정보 생명주기 전반에 걸친 기술적·관리적 보호조치를 체계화했다. 특히 OTT 서비스 확대와 AI 기반 개인화 추천 서비스 도입에 따른 개인정보 처리 증가에 선제적으로 대응할 수 있는 관리체계를 마련한 것으로 평가된다.
이와 함께 ISO45001 인증 유지는 정보보호 인력의 안전한 근무환경 조성과도 연계되며, 통합 경영시스템 관점에서 ESG 경영의 'G(지배구조 및 투명성)' 영역을 강화하는 성과로 볼 수 있다.
전문가 시각
ISMS-P 선임심사원 관점에서 볼 때, LG헬로비전의 인증 획득은 방송통신 산업 내 정보보호 수준 상향 평준화에 긍정적 신호다. 특히 IPTV, 케이블방송, 초고속인터넷 등 다중 서비스를 운영하는 사업자의 경우 서비스별 개인정보 처리 범위와 보유 기간이 상이하여 통합 관리체계 구축이 까다롭다. 이번 인증은 복합 서비스 사업자가 단일 ISMS-P 체계로 전사 정보자산과 개인정보를 효과적으로 관리할 수 있음을 입증한 사례다.
다만 인증 획득 이후가 더 중요하다. ISMS-P는 3년 주기 갱신 심사와 매년 사후 심사를 받아야 하며, 조직·서비스·기술 환경 변화 시 관리체계도 즉시 반영해야 한다. 특히 생성형 AI 기반 고객 응대 서비스 도입, 클라우드 전환 가속화 등 디지털 전환 과정에서 개인정보 영향평가(PIA) 수행, 제3자 제공 동의 관리, 가명·익명 처리 등의 통제 활동이 지속 이행되는지가 핵심 관리 포인트가 될 것이다.
ISMS-P 심사원 체크포인트
1. 인증범위 적정성 및 주요 정보자산 식별 (ISMS-P 인증기준 2.1.1) 방송·통신·인터넷 서비스별 개인정보 처리 업무가 모두 인증범위에 포함되었는지 확인한다. 특히 OTT 플랫폼, 고객센터 상담 시스템, 모바일 앱, 결제 시스템 등 개인정보 처리 시스템이 누락 없이 식별되고, 각 자산별 중요도 평가 및 책임자 지정이 이루어졌는지 점검한다. 개인정보보호법 제29조(안전조치의무) 및 시행령 제30조의 기술적·관리적 보호조치 대상 시스템 범위와 일치해야 한다.
2. 개인정보 생명주기별 보호조치 (ISMS-P 인증기준 3.1.1~3.1.8) 가입자 정보의 수집·이용·제공·파기 전 과정에서 법적 근거 확보, 동의 관리, 최소수집 원칙 준수, 보유기간 명시, 자동 파기 체계 등이 구현되었는지 심사한다. 특히 시청 이력 데이터의 경우 「통신비밀보호법」 제13조의4(통신사실 확인자료 제공) 및 「방송법」 제5조의2(개인정보 보호)와의 정합성을 확인하며, 마케팅 활용 시 별도 동의 획득 여부를 중점 점검한다.
3. 연간 점검 및 지속적 개선 체계 (ISMS-P 인증기준 2.7.1~2.7.3) ISMS-P는 인증 후 연간 자체 점검, 경영진 검토, 시정조치 이행이 의무화되어 있다. 지속가능경영보고서 발간이 단순 홍보가 아닌 실제 PDCA(Plan-Do-Check-Act) 사이클의 'Check' 단계로 작동하는지, 정보보호 및 개인정보보호 목표·지표·성과가 정량적으로 관리되고 이사회 또는 경영진에게 정기 보고되는지를 확인한다.
CPPG·ISMS-P 연계 포인트
개인정보 영향평가(Privacy Impact Assessment, PIA) 개인정보보호법 제33조에 따라 고유식별정보 또는 민감정보를 처리하거나 100만 명 이상의 정보를 보유한 공공기관·대규모 사업자는 개인정보 처리 시스템 구축·변경 시 사전에 영향평가를 수행해야 한다. LG헬로비전과 같은 대규모 방송통신 사업자는 신규 서비스 도입, AI 알고리즘 변경, 클라우드 이전 등 시스템 변경 시 반드시 PIA를 실시하고 개인정보보호위원회 또는 전문기관에 제출해야 한다.
통합 인증(ISMS-P)과 개별 인증(ISMS/PIMS) 선택 기준 ISMS-P는 정보보호(104개 항목)와 개인정보보호(22개 항목, 총 80개 세부 통제항목) 요구사항을 모두 충족해야 하는 통합 인증이다. 개인정보를 처리하는 정보통신서비스 제공자는 ISMS-P 인증이 법적 의무 요건이며, 개인정보 미처리 사업자는 ISMS 단독 인증도 가능하다. 기업은 사업 특성, 법적 의무 대상 여부, 인증 유지 비용 등을 고려해 인증 유형을 선택하되, 향후 사업 확장을 고려하면 처음부터 ISMS-P 통합 인증을 취득하는 것이 관리 효율성 측면에서 유리하다.

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
