속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

골프존, 스크린골프 업계 최초 ISMS-P 인증 획득…AI 서비스 보안 강화

골프존이 2024년 11월 스크린골프 업계 최초로 ISMS-P 인증을 획득했다. AI 기반 신규 서비스 확대에 따른 정보보호 및 개인정보보호 관리체계 구축이 인정받았다.

백남정 기자
입력 2026년 7월 9일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/6d71ac

핵심 요약

- 골프존, 2024년 11월 스크린골프 업계 최초 ISMS-P 인증 획득 - AI 기반 신규 서비스 확대에 따른 정보보호 관리체계 구축 완료 - 레저·호텔 업계의 ISMS-P 인증 확대 추세 확인

주요 내용

골프존이 스크린골프 업계 최초로 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 획득하며 레저 산업 분야의 정보보호 수준을 한 단계 끌어올렸다. 2024년 11월 인증을 완료한 골프존은 AI 기반 신규 서비스 개발 및 확대 과정에서 정보보호와 개인정보보호를 동시에 관리할 수 있는 체계를 구축했다.

스크린골프 서비스는 회원의 개인정보, 게임 기록, 결제 정보 등 민감한 데이터를 대량으로 처리한다. 특히 골프존은 AI 기술을 활용한 스윙 분석, 개인 맞춤형 코칭 서비스 등을 제공하면서 생체정보에 준하는 영상 데이터까지 수집·처리하고 있어 더욱 강화된 보안 체계가 요구되는 상황이었다.

이번 인증 획득은 단순히 규제 준수 차원을 넘어 고객 신뢰 확보와 비즈니스 연속성 보장이라는 전략적 목표를 달성한 것으로 평가된다. 골프존과 함께 서울신라호텔은 라 리스트 호텔 어워즈 2026에서 2년 연속 국내 1위를 차지하며 서비스 품질과 함께 정보보호 수준도 업계 최고 수준을 유지하고 있음을 입증했다.

레저·호텔 업계는 고객 접점이 많고 다양한 결제 수단을 운영하며, 최근에는 모바일 앱과 IoT 기기를 통한 서비스 확대로 정보보호 리스크가 증가하고 있다. 이에 따라 ISMS-P 인증을 통한 체계적인 관리가 업계 표준으로 자리잡고 있는 추세다.

전문가 시각

레저·관광 산업의 디지털 전환이 가속화되면서 ISMS-P 인증은 선택이 아닌 필수가 되고 있다. 특히 골프존의 사례는 AI 서비스를 도입하는 기업들에게 중요한 시사점을 제공한다. AI 학습 데이터의 수집·처리·보관 전 과정에서 개인정보보호법 제28조의2(가명정보 처리 특례)와 제28조의4(개인정보의 파기)를 엄격히 준수해야 하며, 특히 영상정보와 같은 민감 데이터의 경우 별도의 암호화 및 접근통제 체계가 필수적이다.

실무적으로 레저 업계 기업들은 시즌별 고객 증가에 따른 시스템 부하 관리, 다양한 제휴사와의 데이터 연동 시 제3자 제공 동의 관리, 모바일 앱을 통한 위치정보 수집 시 적법성 확보 등에 특별히 주의해야 한다. 골프존의 인증 사례는 이러한 복합적인 요구사항을 체계적으로 관리한 모범 사례로서, 향후 유사 업종의 벤치마킹 대상이 될 것으로 전망된다.

ISMS-P 심사원 체크포인트

1. 인증기준 2.6.3(개인정보 수집 시 동의) - AI 스윙 분석 서비스 제공 시 영상정보 수집에 대한 별도 동의 절차 확인 - 개인정보보호법 제15조(개인정보의 수집·이용) 및 제22조(동의를 받는 방법) 준수 여부 - 심사 시 모바일 앱의 동의 화면 구성, 선택적 동의 항목 분리, 철회 절차의 용이성 점검

2. 인증기준 2.8.3(개인정보 처리업무 위탁) - 제휴 골프장, 결제대행사, 클라우드 서비스 제공자 등 수탁자 관리 체계 - 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 이행 확인 - 위탁계약서 내 보호조치 의무, 재위탁 제한, 손해배상 조항 및 연 1회 이상 수탁자 관리·감독 실시 기록 검토

3. 인증기준 2.10.1(개인정보 파기) - 회원 탈퇴 시 게임 기록, 결제 내역 등 개인정보의 파기 또는 분리보관 절차 - 전자상거래법상 5년 보관 의무 정보와 일반 개인정보의 분리 관리 방안 - 파기 대상 정보의 자동 선별, 파기 이력 관리, 복구 불가능한 파기 방법(물리적 파기 또는 암호화 키 삭제) 적용 여부

CPPG·ISMS-P 연계 포인트

AI 서비스와 가명정보 처리 특례 개인정보보호법 제28조의2는 통계작성, 과학적 연구, 공익적 기록보존 목적으로 가명정보 처리를 허용한다. AI 기반 스윙 분석 서비스 개발 시 수집된 영상 데이터를 가명처리하여 알고리즘 학습에 활용할 수 있으나, 원 목적과의 합리적 관련성, 처리 방식의 적정성, 안전성 확보조치 등을 종합적으로 고려해야 한다.

정보보호 및 개인정보보호 관리체계의 통합 운영 ISMS-P는 정보보호(ISMS) 인증기준 80개 항목과 개인정보보호(PIMS) 22개 항목을 통합한 102개 인증기준으로 구성된다. 레저 업계처럼 고객 데이터 처리가 핵심 업무인 경우, 관리체계(1장), 보호대책(2장), 개인정보 처리단계별 요구사항(3장)을 유기적으로 연계하여 PDCA(Plan-Do-Check-Act) 사이클을 구축해야 지속적 개선이 가능하다.

#ISMS-P#골프존#정보보호인증#AI서비스#개인정보보호
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사