두나무, 5년간 정보보호에 627억 투자…ISMS-P 포함 7건 인증 유지

핵심 요약

- 두나무, 2021년부터 2026년까지 5년간 정보보호 분야에 총 627억 원 투자 - ISMS-P(정보보호 및 개인정보보호 관리체계) 포함 7건의 보안 인증 획득 및 유지 - 가상자산 거래소의 지속적 보안 투자가 업계 표준으로 자리잡는 추세

주요 내용

가상자산 거래소 업비트를 운영하는 두나무가 지난 5년간 정보보호 분야에 627억 원을 투자한 것으로 나타났다. 2026년 6월 29일 현재, 두나무는 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 포함해 총 7건의 보안 관련 인증을 획득하고 유지 중이다.

이는 가상자산 거래소의 특성상 대규모 개인정보 및 자산 정보를 취급하는 만큼, 정보보호 투자를 지속적으로 확대해야 한다는 업계의 인식을 반영한 것으로 분석된다. 특히 가상자산 이용자보호법 시행 이후 정보보호 요구사항이 강화되면서, 주요 거래소들의 보안 투자 경쟁이 심화되고 있다.

두나무의 연평균 정보보호 투자액은 약 125억 원 수준으로, 이는 인력 채용, 보안 시스템 구축, 외부 인증 획득 및 유지, 보안관제 운영 등 전방위적 보안 강화에 사용된 것으로 파악된다. 가상자산 거래소는 24시간 365일 운영되는 특성상 실시간 보안관제와 침해사고 대응 체계 구축이 필수적이다.

한편 두나모는 지난 26일 '2026 KPGA 투어'의 네이밍 스폰서로 참여해 '업비트 장타상'을 후원하는 등 브랜드 마케팅 활동도 병행하고 있다. 이는 보안 투자와 더불어 기업 신뢰도 제고를 위한 다각적 노력의 일환으로 해석된다.

전문가 시각

ISMS-P 심사원 관점에서 볼 때, 두나무의 5년간 627억 원 투자는 단순히 금액의 크기보다 '지속성'과 '체계성'에 주목할 필요가 있다. ISMS-P 인증은 1회성 취득이 아닌 연간 사후심사와 3년마다 갱신심사를 통해 지속적 개선을 요구하는 체계이기 때문이다. 특히 가상자산 거래소는 개인정보보호법상 '개인정보 처리 업무를 목적으로 하는 정보통신서비스 제공자'로서 ISMS-P 의무 인증 대상에 해당하며, 전년도 매출액 또는 이용자 수 기준을 충족할 경우 반드시 인증을 유지해야 한다.

실무 관점에서 주목할 점은 7건의 보안 인증을 동시에 유지한다는 것이다. 이는 ISO 27001(국제 정보보호 관리체계), PCI-DSS(결제카드 산업 데이터 보안 표준) 등 다양한 국내외 인증을 포함할 가능성이 높다. 각 인증마다 요구하는 통제 항목과 증적 자료가 상이하므로, 통합 관리체계(IMS, Integrated Management System) 구축 없이는 효율적 운영이 어렵다. 따라서 유사 업종 기업들은 정보보호 투자 시 단순 기술 도입보다 관리체계 통합과 자동화에 우선순위를 두어야 한다.

ISMS-P 심사원 체크포인트

1. 정보보호 투자 및 자원 배분 (ISMS-P 인증기준 1.2.2) - 최고경영자는 정보보호 및 개인정보보호 활동에 필요한 자원(인력, 예산, 시스템 등)을 적절히 배분하고 있는지 확인 - 심사 시 연도별 정보보호 예산 편성 내역, 집행 현황, 인력 충원 계획 등을 문서로 검토 - 개인정보보호법 제29조(안전조치의무)와 연계하여 기술적·관리적·물리적 안전조치에 충분한 투자가 이루어졌는지 평가 - 특히 가상자산 거래소는 정보통신망법 제45조의3(정보보호 최고책임자 지정 등)에 따른 전담 조직 및 예산 확보 필수

2. 인증 및 준거성 관리 (ISMS-P 인증기준 1.3.4) - 법적·규제적 요구사항 및 계약상 요구사항 준수 여부를 지속적으로 관리하는 체계 구축 확인 - 7건의 보안 인증 유지를 위한 연간 계획, 사후심사 대응 기록, 시정조치 이행 내역 등을 점검 - 각 인증별 갱신 주기 관리, 담당자 지정, 내부 사전 점검 실시 여부 확인 - 개인정보보호법 제32조의2(개인정보 보호인증) 관련, ISMS-P 인증 유효기간 관리 및 변경사항 발생 시 30일 이내 신고 의무 이행 여부 검토

3. 정보자산 및 위험 관리 (ISMS-P 인증기준 2.1.1, 2.2.1) - 가상자산 거래 시스템, 고객 개인정보 DB, 지갑 시스템 등 중요 정보자산 식별 및 분류 적정성 확인 - 연간 125억 원 수준의 투자가 위험평가 결과에 기반하여 우선순위에 따라 배분되었는지 검증 - 개인정보보호법 제29조 및 개인정보의 안전성 확보조치 기준(행정안전부 고시) 준수 여부 점검

CPPG·ISMS-P 연계 포인트

1. 안전조치 의무와 투자의 상관관계 개인정보보호법 제29조는 개인정보처리자에게 안전성 확보에 필요한 기술적·관리적·물리적 조치를 의무화하고 있다. 이는 단순 형식적 준수가 아닌 '충분성(adequacy)'을 요구하며, 정보보호 투자 규모는 안전조치 충분성을 입증하는 핵심 지표가 된다. CPPG 시험에서는 안전조치 기준 제4조(내부 관리계획 수립·시행)와 제8조(접근통제) 등 구체적 조치 항목과 연계하여 출제되므로, 투자-조치-증적의 연결고리를 이해해야 한다.

2. 의무 인증 대상과 사후 관리 정보통신서비스 부문 ISMS-P 의무 인증 대상은 ①전년도 매출액 100억 원 이상 또는 ②전년도 3개월간 일평균 이용자 수 100만 명 이상의 정보통신서비스 제공자다. 가상자산 거래소는 대부분 이 기준을 충족하며, 인증 취득 후에도 연간 사후심사를 통해 관리체계의 지속적 운영을 입증해야 한다. ISMS-P 시험에서는 인증 유효기간(3년), 사후심사 주기(매년), 중대한 변경 발생 시 재인증 요건 등이 자주 출제되므로 정확히 숙지해야 한다.