속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

교보증권, ISMS-P 인증 획득으로 정보보호 관리체계 고도화

교보증권이 2025년 12월 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득하며 금융권 정보보호 강화 추세에 동참했다.

백남정 기자
입력 2026년 7월 9일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/eb360b

핵심 요약

- 교보증권, 2025년 12월 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 획득 - 금융투자업계의 정보보호 관리체계 강화 추세 반영 - 통합 인증을 통한 체계적 정보자산 및 개인정보 보호체계 구축

주요 내용

교보증권이 2025년 12월 한국인터넷진흥원(KISA)으로부터 ISMS-P 인증을 획득하며 금융권 정보보호 수준을 한 단계 끌어올렸다. ISMS-P는 기존 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 인증제도로, 기업의 정보자산과 개인정보를 체계적으로 보호하기 위한 관리체계 구축 여부를 종합적으로 심사한다.

금융투자업계는 최근 디지털 금융서비스 확대와 함께 사이버 보안 위협이 증가하면서 정보보호 관리체계 고도화에 주력하고 있다. 특히 증권사는 고객의 금융거래 정보, 투자 성향, 자산 규모 등 민감한 개인정보를 대량으로 처리하는 만큼 체계적인 보호 방안 마련이 필수적이다.

ISMS-P 인증은 관리체계 수립 및 운영(16개 항목), 보호대책 요구사항(64개 항목), 개인정보 처리단계별 요구사항(22개 항목) 등 총 102개 인증기준을 충족해야 획득할 수 있다. 교보증권의 이번 인증 획득은 정보보호 정책, 위험관리, 사고 예방 및 대응 등 전사적 보안 관리체계가 국가 기준에 부합함을 입증받은 것으로 평가된다.

금융당국은 금융회사의 정보보호 의무를 강화하는 방향으로 규제를 정비하고 있으며, 2026년 현재 일정 규모 이상의 금융기관은 ISMS-P 인증 획득이 사실상 필수로 자리 잡고 있다. 교보증권의 인증 획득은 이러한 규제 환경 변화에 선제적으로 대응한 사례로 볼 수 있다.

전문가 시각

금융투자업계의 ISMS-P 인증 획득은 단순한 규제 대응을 넘어 디지털 금융 시대의 경쟁력 확보 수단으로 자리매김하고 있다. 심사원으로서 증권사를 심사할 때 가장 중요하게 보는 부분은 온라인 거래 시스템의 보안 통제, 내부자에 의한 정보 유출 방지 대책, 그리고 제3자 제공 시 개인정보 보호 조치의 적정성이다. 특히 최근 오픈뱅킹과 마이데이터 사업 확대로 외부 시스템과의 연계가 증가하면서 API 보안, 암호화 통신, 접근권한 관리가 핵심 심사 포인트로 부상했다.

증권사가 ISMS-P 인증을 유지하기 위해서는 초기 인증 획득보다 사후 관리가 더 중요하다. 3년마다 갱신 심사를 받아야 하며, 매년 사후관리 심사를 통해 관리체계의 지속적 운영 여부를 검증받는다. 실무적으로는 정보보호 및 개인정보보호 조직의 독립성 확보, 임직원 정기 교육 실시, 보안 사고 대응 훈련, 협력사 관리 강화 등을 일상적으로 수행해야 한다. 특히 개인정보 처리 현황을 상시 모니터링하고, 처리 목적 달성 시 즉시 파기하는 생애주기 관리가 심사에서 중점 확인되는 사항이다.

ISMS-P 심사원 체크포인트

1. 개인정보 보호조직 구성 및 역할 명확화 (2.4.2 개인정보 보호조직) - 개인정보보호법 제31조(개인정보 보호책임자의 지정)에 따른 개인정보 보호책임자(CPO) 지정 여부 - 심사 시 확인사항: CPO의 독립성 및 전결권한, 정보보호와 개인정보보호 조직 간 협업체계, 개인정보 처리 부서별 담당자 지정 현황 - 금융회사는 CPO를 임원급으로 지정해야 하며, 개인정보 처리 현황 파악과 내부 통제 권한이 실질적으로 부여되어 있는지 문서와 인터뷰로 교차 검증

2. 개인정보 암호화 (3.5.4 암호화 적용 / 3.7.3 개인정보 암호화) - 개인정보보호법 제24조의2(고유식별정보의 암호화) 및 제29조(안전조치의무) 관련 시행령 제30조 적용 - 심사 시 확인사항: 주민등록번호, 계좌번호, 비밀번호 등 중요 개인정보의 저장·전송 시 암호화 적용 여부, 암호키 관리체계, 모바일 앱 및 API 통신 구간 암호화 - 증권사 특성상 거래 정보와 자산 정보가 결합된 고위험 정보의 경우 이중 암호화 또는 토큰화 적용 여부를 기술적으로 검증

3. 개인정보 제3자 제공 및 위탁 관리 (3.7.5 개인정보 제공 및 위탁) - 개인정보보호법 제17조(개인정보의 제공), 제26조(업무위탁에 따른 개인정보의 처리 제한) - 심사 시 확인사항: 제3자 제공 및 위탁 현황 관리대장, 고객 동의 획득 절차, 수탁자 관리·감독 체계, 위탁계약서 내 정보보호 조항 포함 여부 - 특히 마케팅 목적 제3자 제공, 신용평가사·여신업무 관련 위탁, 클라우드 서비스 이용 시 해외 이전 해당 여부 및 적법성을 중점 심사

CPPG·ISMS-P 연계 포인트

1. 통합 인증체계의 이해 ISMS-P는 2018년 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)가 통합된 제도로, 정보보호와 개인정보보호를 일원화하여 관리할 수 있도록 설계되었다. 인증기준은 관리체계 수립 및 운영(1장), 보호대책 요구사항(2장), 개인정보 처리단계별 요구사항(3장)으로 구성되며, 금융회사처럼 개인정보를 대량 처리하는 경우 ISMS-P 인증 취득이 의무화된다. CPPG 시험에서는 인증 대상, 신청 절차, 유효기간(3년) 등이 출제되며, ISMS-P 심사원 시험에서는 102개 인증기준의 구체적 요구사항과 심사 방법론이 핵심이다.

2. 금융분야 개인정보 안전조치 의무 개인정보보호법 제29조 및 같은 법 시행령 제30조는 개인정보처리자에게 안전성 확보조치를 의무화하고 있으며, 금융위원회는 「금융분야 개인정보보호 가이드라인」을 통해 업종별 특화 기준을 제시한다. 증권사는 내부 관리계획 수립, 접근권한 관리, 접속기록 보관(5년), 암호화, 보안프로그램 설치 등을 이행해야 하며, 위반 시 과태료(3억원 이하) 또는 과징금이 부과될 수 있다. CPPG·ISMS-P 시험에서는 안전조치 기준의 세부 항목(개인정보의 암호화, 접근통제, 접속기록 보관 등)과 금융권 특례 조항이 자주 출제된다.

#ISMS-P#교보증권#정보보호관리체계#개인정보보호#금융보안
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사