미래에셋증권 ISMS-P·ISO 27001·ISO 27701 3종 인증 유지...개인신용정보 보호체계 고도화

핵심 요약

- 미래에셋증권, 2026년 6월 15번째 ESG 보고서 발간하며 ISMS-P·ISO 27001·ISO 27701 인증 유지 현황 공개 - 개인신용정보 관리·보호 실태 연 1회 정기 점검 체계 구축·운영 - 금융권 개인정보보호 인증 다각화 전략으로 글로벌 수준의 정보보호 체계 구현

주요 내용

미래에셋증권이 2026년 6월 발간한 15번째 ESG 보고서를 통해 정보보호 및 개인정보보호 관리체계의 고도화 현황을 공개했다. 동사는 현재 국내 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증과 함께 국제 표준인 ISO 27001(정보보호 관리체계), ISO 27701(개인정보 관리체계) 인증을 모두 취득·유지하고 있는 것으로 확인됐다.

금융회사는 「신용정보의 이용 및 보호에 관한 법률」에 따라 개인신용정보를 처리하는 정보통신서비스 제공자로서 ISMS-P 인증 취득 의무 대상이다. 미래에셋증권은 법적 의무사항인 ISMS-P를 넘어 ISO 27001, ISO 27701까지 확보함으로써 국내외 정보보호 기준을 모두 충족하는 삼중 안전망을 구축한 것으로 평가된다.

특히 동사는 개인신용정보 관리·보호 실태를 연 1회 정기적으로 점검하는 내부 관리체계를 운영하고 있다. 이는 금융위원회의 「개인신용정보 관리·보호 지침」 및 금융감독원의 「금융회사 개인신용정보 관리·보호 규정」에 따른 것으로, 최고경영자의 책임 하에 개인신용정보 처리 전 과정에 대한 점검을 실시하는 것을 의미한다.

2026년 현재 금융권은 마이데이터 사업 확대, 디지털 금융 서비스 고도화에 따라 개인정보 처리량이 급증하고 있으며, 이에 따른 정보보호 리스크 관리가 경영 핵심 과제로 부상하고 있다. 미래에셋증권의 다층적 인증 체계는 금융회사의 정보보호 거버넌스 강화 모범 사례로 주목받고 있다.

전문가 시각

금융회사가 ISMS-P 외에 ISO 27001, ISO 27701을 동시 취득·유지하는 것은 단순한 인증 포트폴리오 확대를 넘어 실질적인 정보보호 성숙도 향상을 의미한다. ISMS-P가 국내 법규 준수 중심이라면, ISO 27001은 위험 기반 접근법(risk-based approach)을, ISO 27701은 개인정보 처리 생명주기 전반의 프라이버시 통제를 요구한다. 세 인증체계의 통합 운영은 법적 요구사항과 글로벌 베스트 프랙티스를 동시에 충족하는 전략이다.

특히 주목할 점은 개인신용정보 관리·보호 실태 연 1회 점검 체계다. 이는 단순한 형식적 점검이 아니라 금융위원회 검사 대비, ISMS-P 사후관리 심사 대응, 내부 통제 강화를 동시에 달성하는 핵심 메커니즘이다. 실무적으로는 개인신용정보 처리 단계별(수집·이용·제공·파기) 통제 효과성 검증, 기술적·관리적·물리적 보호조치 적정성 평가, 법규 변화 반영 여부 등을 종합 점검해야 한다. 금융회사는 이러한 정기 점검 결과를 이사회 보고 안건으로 상정하고, 발견된 취약점에 대한 개선 계획과 이행 현황을 추적 관리하는 것이 바람직하다.

ISMS-P 심사원 체크포인트

1. 2.6.1 개인정보 수집 시 동의 (개인정보보호법 제15조, 제22조) 금융회사의 개인신용정보 수집 시 「신용정보법」 제32조에 따른 별도 동의 체계 구축 여부를 확인한다. 심사 시에는 ①마이데이터 서비스 등 신규 서비스별 동의서 적정성, ②민감정보·고유식별정보 처리 시 별도 동의 확보, ③동의 철회 메커니즘 구현 여부, ④동의 내역 기록·관리 체계를 중점 점검한다. 특히 금융회사는 일반 개인정보보호법과 신용정보법의 이중 규제를 받으므로 두 법령의 요구사항을 모두 충족하는지 교차 검증이 필요하다.

2. 2.8.4 개인정보 파기 (개인정보보호법 제21조) 개인신용정보의 보유기간 경과 후 파기 절차가 「신용정보법 시행령」 제28조(개인신용정보의 보유기간)에 따라 적정하게 이행되는지 확인한다. 심사원은 ①보유기간 설정의 법적 근거 명확성, ②파기 대상 자동 선별 시스템, ③파기 이력 관리 및 파기 증빙 보관, ④연 1회 개인신용정보 관리·보호 실태 점검 시 파기 이행 여부 확인 항목 포함을 점검한다. 미파기 개인정보 적발 시 과징금 부과 사유가 되므로 자동화된 파기 프로세스 구축이 필수적이다.

3. 2.10.2 개인정보 보호 관련 인증 (개인정보보호법 제32조의2) ISMS-P 인증 취득 및 사후관리 심사 대응 체계를 확인한다. 금융회사는 「신용정보법」 제45조의3에 따라 인증 의무 대상이므로, ①인증 유효기간 관리, ②연차 사후관리 심사 대응 조직 및 절차, ③인증 범위 내 중대 변경사항 발생 시 30일 이내 신고 이행, ④ISO 27001, ISO 27701 등 타 인증과의 통합 관리 체계를 점검한다. 미래에셋증권 사례처럼 다중 인증 유지 시 각 인증의 심사 주기, 통제항목 매핑, 증거자료 통합 관리 방안이 수립되어 있어야 한다.

CPPG·ISMS-P 연계 포인트

ISO/IEC 27701 (PIMS) ISO 27701은 ISO 27001/27002를 확장한 개인정보 관리체계(Privacy Information Management System) 국제 표준이다. ISMS-P의 개인정보보호 관리과정(2장)과 보호대책(3장) 요구사항을 글로벌 관점에서 보완하며, PII 컨트롤러 및 프로세서 관점의 통제항목을 제시한다. CPPG 시험에서는 ISMS-P와 ISO 27701의 차이점, 상호 매핑 관계가 출제될 수 있다.

금융회사 개인신용정보 관리·보호 지침 금융위원회 고시로, 금융회사의 개인신용정보 처리 전 단계(수집·이용·제공·관리·파기)별 준수사항을 규정한다. 연 1회 이상 내부 점검 실시, 최고경영자 책임 명시, 개인신용정보 유출 사고 즉시 보고 체계 등이 핵심이다. ISMS-P 심사 시 금융권 특화 요구사항으로 적용되며, 개인정보보호법·신용정보법·ISMS-P 인증기준의 삼각 검증 체계로 작동한다.