롯데건설, ISMS-P 인증 취득 후 플랜트 운영 시스템까지 확대…전사 정보보안 강화
롯데건설이 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 취득하고, 최근 인증 범위를 플랜트 운영 시스템까지 확대하며 전사 IT시스템에 대한 정보보안 체계를 강화했다.
https://privacynews.kr/s/77fa69핵심 요약
- 롯데건설이 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 취득하며 건설업계 정보보안 수준 제고 - 최근 인증 범위를 플랜트 운영 시스템까지 확대하여 전사 IT시스템 보안 관리체계 구축 완료 - 건설업 특성상 협력업체·현장 관리 등 복잡한 정보 흐름에 대한 체계적 보안 관리 필요성 대응주요 내용
롯데건설이 2026년 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 취득하고, 이를 플랜트 운영 시스템까지 확대 적용하며 전사 차원의 정보보안 강화에 나섰다. ISMS-P는 한국인터넷진흥원(KISA)이 인증하는 정보보호 및 개인정보보호 통합 관리체계로, 기업의 정보자산과 개인정보를 체계적으로 보호하기 위한 관리적·기술적·물리적 보호조치의 종합적 이행을 검증하는 제도다.
건설업계는 시공 과정에서 발주처 정보, 설계도면, 협력업체 및 근로자 개인정보 등 다양한 민감정보를 취급한다. 특히 플랜트 운영 시스템은 생산설비 제어 정보와 운영 데이터를 포함하고 있어 보안 사고 발생 시 물리적 안전사고로 이어질 수 있는 고위험 영역이다. 롯데건설의 이번 인증 범위 확대는 OT(Operational Technology) 영역까지 정보보호 관리체계를 통합한 선제적 조치로 평가된다.
삼성물산 건설부문도 2026 FutureScape 실증 트랙 킥오프미팅에 참석하는 등 건설업계의 디지털 전환과 함께 정보보안 강화가 업계 전반의 과제로 부상하고 있다. 건설현장의 스마트화, BIM(건물정보모델링) 활용 확대, IoT 기반 안전관리 시스템 도입 등으로 사이버 공격 표면이 넓어지면서 체계적인 정보보호 관리가 필수적인 상황이다.
건설업계는 전통적으로 물리적 안전에 집중해왔으나, 최근 디지털 전환 가속화로 사이버보안과 물리보안의 융합이 중요해지고 있다. ISMS-P 인증 취득은 단순히 법적 요구사항 충족을 넘어, 발주처와 협력업체로부터 신뢰를 확보하고 정보보안 사고로 인한 공사 지연과 손해배상 리스크를 예방하는 경영 전략적 의미를 갖는다.
전문가 시각
건설업의 ISMS-P 인증에서 가장 중요한 것은 본사 IT시스템과 현장 운영 시스템 간의 정보보호 정책 일관성 확보다. 롯데건설이 플랜트 운영 시스템까지 인증 범위를 확대한 것은 매우 바람직한 접근이다. 실무적으로 건설현장은 프로젝트 단위로 운영되며 협력업체의 시스템 접근이 빈번해 접근통제와 로그 관리가 취약한 경우가 많다. 인증 유지를 위해서는 현장별 정보보호 책임자 지정, 협력업체 보안서약 체결, 현장 네트워크 분리 등 실질적 보호조치 이행이 필수적이다.
특히 플랜트 운영 시스템은 IT와 OT가 결합된 환경으로, 일반 IT시스템과 다른 보안 접근이 필요하다. 실시간 운영 중단이 어렵고 레거시 시스템이 많아 패치 적용이 제한적이므로, 네트워크 세그먼테이션과 이상징후 탐지에 중점을 둔 보안 전략이 요구된다. 향후 정기 사후심사에서는 플랜트 운영 환경의 특수성을 반영한 위험평가와 대응체계 수립 여부가 중점 심사될 것으로 예상된다.
ISMS-P 심사원 체크포인트
1. 인증범위 확대에 따른 위험평가 재수행 (ISMS-P 인증기준 2.1.3) 플랜트 운영 시스템을 인증범위에 포함할 경우, 정보자산 식별부터 재수행해야 한다. 「개인정보보호법」 제29조(안전조치의무)에 따라 개인정보 처리 단계별 위험도 분석이 필요하며, 특히 OT 환경의 특수성(가용성 우선, 24시간 운영)을 반영한 위험평가가 이루어져야 한다. 심사 시 플랜트 시스템의 자산분류, 위협 시나리오, 보호대책 적정성을 중점 검토한다.
2. 협력업체 및 제3자 보안관리 체계 (ISMS-P 인증기준 2.5.4) 건설업은 다수의 협력업체가 본사 및 현장 시스템에 접근한다. 「개인정보보호법」 제26조(업무위탁)에 따른 수탁자 관리·감독 의무를 이행하기 위해, 협력업체별 접근권한 관리대장, 보안서약서, 주기적 보안점검 기록이 필요하다. 특히 플랜트 유지보수 업체의 원격접속 통제와 로그 관리가 핵심 심사 항목이다.
3. 물리적·기술적 분리 통제 (ISMS-P 인증기준 2.8.2) 플랜트 운영망과 사무망의 물리적 또는 논리적 분리, DMZ 구성, 방화벽 정책 등 네트워크 세그먼테이션이 적절히 구현되었는지 확인한다. 「개인정보의 안전성 확보조치 기준」 제4조(접근통제)에 따라 개인정보처리시스템에 대한 접근권한 부여·변경·말소 내역과 접속기록 보관(최소 2년)을 점검한다.
CPPG·ISMS-P 연계 포인트
OT(Operational Technology) 보안과 IT 보안의 차별화 OT는 생산·제조·에너지 등 물리적 프로세스를 제어하는 기술로, 가용성이 최우선이며 실시간 운영 중단이 어렵다는 특징이 있다. IT 보안이 기밀성·무결성·가용성(CIA)을 균형있게 고려한다면, OT 보안은 가용성을 최우선으로 하되 안전(Safety)을 추가로 고려해야 한다. ISMS-P 인증 시 OT 환경은 패치 관리보다 네트워크 분리와 화이트리스트 기반 통제가 효과적이다.
인증범위 변경과 경미한 변경 신고 ISMS-P 인증 취득 후 조직·시스템·서비스 등에 중요한 변경이 발생하면 30일 이내 인증기관에 신고해야 한다. 플랜트 운영 시스템 추가는 '중요한 변경'에 해당하므로 변경심사 또는 확대심사를 받아야 한다. 경미한 변경(담당자 변경, 소규모 시스템 추가 등)은 신고만으로 가능하나, 범위 확대는 재심사 대상이므로 사전 계획 수립이 필요하다.

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
