속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

롯데건설 ISMS-P 인증으로 건설업계 정보보호 우수사례 선도 - 취약점 관리 체계 구축 주목

롯데건설이 ISMS-P 인증 취득과 정보보호 자율 공시 참여로 건설업계 보안 수준 향상에 기여하며 수상. CVE-2026-13762 등 심각 등급 취약점 2건 등록 관리.

백남정 기자
입력 2026년 7월 9일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/eeef6a

핵심 요약

- 롯데건설이 2026년 ISMS-P 인증 취득 및 정보보호 자율 공시 참여로 건설업계 보안 향상 기여 인정받아 - CVE-2026-13762, CVE-2026-13763 두 건의 심각 등급(CVSS 9.8) 취약점이 등록되어 원격 인증 우회 공격 위험 확인 - 건설업 특성상 협력업체 관리 및 현장 보안 취약성 해소를 위한 ISMS-P 인증 사례로 주목

주요 내용

롯데건설은 2026년 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 취득하고 정보보호 자율 공시에 참여하는 등 건설업계의 정보보호 수준 향상에 기여한 공로를 인정받았다. 건설업은 전통적으로 IT 보안 투자가 제조업이나 금융업 대비 낮은 편이었으나, 최근 스마트 건설과 디지털 전환이 가속화되면서 정보보호 인증 필요성이 급증하고 있다.

특히 건설업계는 설계도면, 입찰정보, 협력업체 개인정보 등 민감정보를 다수 취급하면서도 현장 중심의 업무 특성상 보안 통제가 어려운 구조적 한계를 갖고 있다. 롯데건설의 ISMS-P 인증 취득은 이러한 업계 특성을 고려한 관리체계 수립의 모범 사례로 평가받고 있으며, 협력업체와의 계약 시 보안 요구사항 명시, 현장 모바일 기기 보안 강화 등 실질적인 보안 조치가 포함된 것으로 알려졌다.

한편, 2026년 상반기에 등록된 CVE-2026-13762와 CVE-2026-13763 취약점은 각각 CVSS 9.8점의 심각(Critical) 등급으로 분류되었다. 두 취약점 모두 인증 절차 없이 원격에서 공격이 가능한 특성을 보이며, 공격 복잡도(AC)가 낮아 기술적 지식이 부족한 공격자도 쉽게 악용할 수 있는 위험성을 내포하고 있다. 이는 사용자 인터랙션(UI) 없이 자동화된 공격 도구로 대량 시스템을 스캔하여 침해할 수 있음을 의미한다.

이러한 고위험 취약점의 지속적인 발견은 ISMS-P 인증기업들이 인증 취득 후에도 취약점 모니터링 및 패치 관리 체계를 지속적으로 운영해야 함을 보여준다. 특히 건설업처럼 다수의 협력업체와 시스템을 연동하는 산업군에서는 공급망 보안 관점에서 협력사의 취약점 관리 수준까지 점검하는 것이 필수적이다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 건설업의 인증 취득은 일반 IT 기업과 다른 접근이 필요하다. 현장과 본사 간 물리적 분리, 협력업체 관리 범위의 광범위성, 프로젝트 단위의 임시 조직 구성 등으로 인해 정보자산 식별과 통제 적용에 어려움이 크기 때문이다. 롯데건설 사례는 이러한 산업 특성을 반영한 맞춤형 관리체계 수립이 가능함을 증명했다는 점에서 의의가 있다.

다만 ISMS-P 인증 유지 단계에서는 CVE로 등록되는 고위험 취약점에 대한 긴급 대응 체계가 더욱 중요해진다. CVSS 9.8점의 심각 취약점은 발견 즉시 임시 조치(WAF 룰 적용, 네트워크 분리 등)를 실행하고 48시간 내 패치 적용 계획을 수립해야 한다. 특히 원격 인증 우회가 가능한 취약점은 랜섬웨어 공격의 진입점으로 악용될 가능성이 높아, 건설업계가 보유한 설계도면 및 프로젝트 정보 유출로 이어질 수 있어 각별한 주의가 필요하다.

ISMS-P 심사원 체크포인트

1. 취약점 관리 프로세스 (ISMS-P 인증기준 2.8.3 '시스템 및 서비스 보안 취약점 점검') - 심사 시 CVE 데이터베이스 모니터링 체계 및 자산별 취약점 영향도 분석 절차를 확인한다. CVSS 9.0 이상 심각 취약점은 발견 후 72시간 내 조치 완료가 권고되며, 조치 불가 시 대체 통제(네트워크 접근제어, IPS 시그니처 적용) 증적을 요구한다. 개인정보보호법 제29조(안전조치의무)와 연계하여 개인정보처리시스템에 대한 취약점 점검을 연 1회 이상 수행했는지 점검한다.

2. 협력업체 보안 관리 (ISMS-P 인증기준 2.3.2 '외부자 보안') - 건설업 특성상 다수 협력업체가 정보시스템에 접근하므로, 협력업체와의 보안 서약서 체결, 접근 권한 최소화, 주기적 보안교육 실시 여부를 확인한다. 특히 협력업체가 사용하는 시스템의 취약점 관리 책임 소재를 계약서에 명확히 규정했는지 검토하며, 개인정보 제3자 제공 시 개인정보보호법 제17조 준수 여부를 점검한다.

3. 정보보호 자율 공시 연계성 (ISMS-P 인증기준 1.2.2 '경영진 책임 및 참여') - 정보보호 자율 공시 참여는 경영진의 정보보호 의지를 대외적으로 표명하는 행위로, 공시 내용과 실제 ISMS-P 관리체계 운영 현황의 일치성을 심사한다. 공시된 보안 투자 규모, 인력 현황, 교육 실적이 실제 운영 기록과 부합하는지 교차 검증하며, 이사회 보고 안건에 정보보호 현황이 포함되어 있는지 확인한다.

CPPG·ISMS-P 연계 포인트

CVSS(Common Vulnerability Scoring System) 평가 체계 CVSS는 취약점의 심각도를 0~10점으로 수치화하는 국제 표준으로, 9.0~10.0은 심각(Critical), 7.0~8.9는 고위험(High)으로 분류된다. 평가 항목은 공격 벡터(AV), 공격 복잡도(AC), 권한 요구사항(PR), 사용자 인터랙션(UI) 등으로 구성되며, 원격 공격 가능·인증 불필요·사용자 개입 불필요 조건이 결합되면 9.8점 이상의 최고 등급이 부여된다. ISMS-P 심사에서는 7.0 이상 취약점의 조치 현황을 필수 점검한다.

정보보호 자율 공시 제도 과학기술정보통신부가 2023년부터 시행한 제도로, 기업이 자발적으로 정보보호 투자·조직·활동 현황을 공개하여 이해관계자의 신뢰를 확보하는 제도이다. ISMS-P 인증 취득, 개인정보 영향평가 실시, 보안 교육 시간 등 20여 개 항목을 공시하며, 참여 기업은 공공입찰 시 가점, 금융권 거래 심사 우대 등의 인센티브를 받는다. CPPG 시험에서는 자율 공시와 법정 의무사항의 차이점을 구분하는 문제가 출제된다.

#ISMS-P#롯데건설#건설업정보보호#취약점관리#CVE
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사