PrivacyNews
전체개인정보보호법령·정책ISMS-P🔴 침해사고AIPET·신기술DR·재해복구💼 취업·진로칼럼관리자
속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

두나무, 5년간 보안에 627억 투자…ISMS-P 포함 7개 인증 유지로 준법경영 강화

가상자산거래소 업비트 운영사 두나무가 2026년 준법경영 실천 서약식을 개최하고 보안·개인정보보호 투자 현황을 공개했다. ISMS-P를 포함한 7건의 보안 인증 유지와 버그바운티 운영 등 체계적 보안 관리체계를 강조했다.

백남정 기자
입력 2026년 6월 30일·조회 1·원문 보기 ↗
단축URLhttps://privacynews.kr/s/04ae5c
두나무, 5년간 보안에 627억 투자…ISMS-P 포함 7개 인증 유지로 준법경영 강화

핵심 요약

- 두나무, 5년간 보안 분야에 627억 원 투자하며 ISMS-P 등 국내외 보안 인증 7건 유지 - 2026년 준법경영 실천 서약식에서 오경석 대표와 임직원들이 투명 경영 의지 천명 - 버그바운티(업비트) 등 선제적 보안 취약점 관리 프로그램 운영으로 지속적 보안 수준 제고

주요 내용

두나무가 2026년 6월 준법경영 실천 서약식을 개최하고 정보보호 및 개인정보보호에 대한 지속적 투자 의지를 재확인했다. 회사는 최근 5년간 보안 분야에 총 627억 원을 투자했으며, 이는 가상자산거래소의 신뢰성 확보를 위한 핵심 전략의 일환이다.

특히 두나무는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 포함해 국내외 보안 관련 인증 7건을 유지하고 있다. ISMS-P는 정보통신망법과 개인정보보호법에 따라 정보통신서비스 제공자가 의무적으로 취득해야 하는 통합 인증으로, 가상자산거래소는 특히 엄격한 심사 기준을 적용받는다.

두나무는 보안 취약점 포상제도인 '버그바운티(업비트)'를 운영하며 외부 보안 전문가들과 협력하여 선제적으로 시스템 취약점을 발견하고 개선하는 체계를 구축했다. 이러한 프로그램은 지속적인 보안 수준 향상과 사전 예방적 보안 관리의 모범 사례로 평가된다.

오경석 대표를 비롯한 임직원들이 참여한 이번 서약식에서는 "투명성이 핵심 가치"임을 강조하며, 고객 자산 보호와 개인정보 안전성 확보를 최우선 과제로 삼겠다는 의지를 표명했다.

전문가 시각

ISMS-P 인증은 단순한 형식적 요건이 아니라 실질적인 보안 수준을 입증하는 지표다. 두나무와 같은 가상자산거래소는 정보통신망법 제47조에 따라 ISMS-P 의무인증 대상이며, 최근 가상자산 관련 규제 강화 추세를 고려할 때 627억 원 규모의 투자는 적절한 수준이다. 다만 투자 금액보다 중요한 것은 실제 보안 사고 예방 효과와 개인정보 침해 최소화 성과이며, 이는 지속적인 모니터링과 개선 활동을 통해 검증되어야 한다.

버그바운티 프로그램은 ISMS-P 인증기준 중 '보안 취약점 점검 및 조치' 항목과 직접 연계된다. 외부 보안 전문가의 참여를 통한 크라우드소싱 방식의 취약점 발굴은 내부 점검만으로는 발견하기 어려운 보안 위험을 식별할 수 있어 효과적이다. 하지만 발견된 취약점의 신속한 조치와 재발 방지 대책 수립, 그리고 이러한 프로세스의 문서화가 수반되어야만 인증 심사 시 실질적인 평가를 받을 수 있다.

ISMS-P 심사원 체크포인트

1. 정보보호 투자 및 자원 배분 (ISMS-P 인증기준 2.1.2) - 5년간 627억 원의 보안 투자에 대한 연도별 집행 내역과 투자 효과 분석 자료 확인 - 정보보호 예산이 전체 예산 대비 적정 수준으로 배분되었는지, 최고경영자의 승인 및 의사결정 프로세스 검토 - 개인정보보호법 제29조(안전조치의무)와 정보통신망법 제45조(정보보호 조치) 이행을 위한 기술적·관리적 투자의 적절성 평가

2. 보안 취약점 점검 및 조치 (ISMS-P 인증기준 2.8.4) - 버그바운티 프로그램 운영 규정, 참여자 관리 절차, 보상 체계의 문서화 여부 확인 - 발견된 취약점의 위험도 분류, 조치 우선순위 결정, 조치 완료 기한 준수 현황 점검 - 취약점 조치 이력 관리 및 유사 취약점 재발 방지를 위한 시스템 개선 활동 검토

3. 경영진의 참여와 조직 문화 (ISMS-P 인증기준 2.1.1) - 준법경영 서약식과 같은 최고경영자의 정보보호 의지 표명 활동의 정기성 및 실효성 확인 - 서약 내용이 실제 정보보호 정책 및 개인정보 처리방침에 반영되었는지, 임직원 교육 및 인식 제고 활동으로 연계되는지 평가 - 개인정보보호법 제31조(개인정보 보호책임자의 지정) 요건 충족 및 책임자의 실질적 권한과 역할 수행 여부 검토

CPPG·ISMS-P 연계 포인트

관리체계 인증의 법적 근거와 의무 대상 정보통신망법 제47조와 개인정보보호법 제32조의2에 따라 전년도 매출액 100억 원 이상의 정보통신서비스 제공자 또는 전년도 말 기준 일일평균 이용자 수 100만 명 이상인 사업자는 ISMS-P 인증을 의무적으로 취득해야 한다. 가상자산거래소는 특정 금융거래정보법상 신고 수리 요건으로도 ISMS 인증이 요구되며, 시험에서는 의무인증 대상과 인증 유효기간(3년), 사후관리 심사 주기(매년) 등이 출제된다.

보안 투자와 안전조치의무의 상관관계 개인정보보호법 제29조는 개인정보처리자에게 개인정보의 안전성 확보에 필요한 기술적·관리적·물리적 조치를 취하도록 의무화하고 있으며, 시행령 제30조에서 구체적 조치 사항을 규정한다. 두나무의 627억 원 투자는 이러한 안전조치의무 이행의 구체적 사례이며, 시험에서는 안전조치 미이행 시 과태료(5천만 원 이하) 및 손해배상 책임, 그리고 투자 규모의 적정성 판단 기준이 출제될 수 있다.

#ISMS-P#두나무#업비트#정보보호관리체계#준법경영
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

ISMS-P 기사 더 보기 →
개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
PET·신기술

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화

2026년 6월 19일
[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리
인공지능

[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리

2026년 6월 3일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
취업·진로

공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”

2026년 6월 7일
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
개인정보보호

[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최

2026년 5월 22일