PrivacyNews
전체개인정보보호법령·정책ISMS-P🔴 침해사고AIPET·신기술DR·재해복구💼 취업·진로칼럼관리자
속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

수탁자 ISMS-P 인증 불가 논란...공급망 보안 강화 위해 제도 개선 필요

현행 제도상 수탁자는 ISMS-P 인증을 받을 수 없어 공급망 보안에 공백이 발생한다는 지적이 제기됐다. 위탁자의 점검 부담도 과중하다는 목소리가 커지고 있다.

백남정 기자
입력 2026년 6월 25일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/ed982d

핵심 요약

- 현행 제도상 개인정보 처리 수탁자는 ISMS-P 인증을 독자적으로 받을 수 없어 공급망 보안 강화에 한계 - 위탁자가 수탁자를 직접 점검해야 하는 구조로 리소스 부담 과중 및 전문성 부족 문제 발생 - 2026년 한국정보보호학회·공급망보안연구회 학술대회에서 제도 개선 필요성 제기

주요 내용

2026년 6월 24~25일 한국정보보호학회와 공급망보안연구회가 공동 주관한 학술대회에서 ISMS-P 인증제도의 구조적 한계가 지적됐다. 현행 정보통신망법과 개인정보보호법 체계에서는 개인정보 처리 업무를 위탁받은 수탁자가 독자적으로 ISMS-P 인증을 취득할 수 없다. 인증 주체가 '개인정보처리자'로 한정되어 있기 때문이다.

이로 인해 위탁자는 수탁자의 보안 수준을 자체적으로 검증해야 하는 부담을 안고 있다. 특히 다수의 수탁자를 관리하는 대형 플랫폼 사업자의 경우 점검 리소스가 과도하게 소요되며, 전문 심사원 수준의 평가 역량을 갖추기 어렵다는 한계가 있다. 수탁자 입장에서도 고객사별로 상이한 점검 기준에 대응해야 하는 비효율이 발생한다.

공급망 보안 강화가 글로벌 트렌드로 자리잡은 가운데, 미국의 CMMC(Cybersecurity Maturity Model Certification)나 ISO 27001처럼 공급자 차원의 독립적 인증 체계가 필요하다는 주장이 힘을 얻고 있다. 수탁자가 ISMS-P 인증을 받을 수 있도록 제도를 개선하면, 위탁자는 인증 여부만 확인하면 되고 수탁자는 표준화된 보안 수준을 입증할 수 있어 생태계 전반의 효율성이 높아진다는 분석이다.

전문가 시각

30년 이상 ISMS-P 심사 현장을 경험한 입장에서 볼 때, 현행 제도는 2000년대 초반 정보보호 패러다임에 기반하고 있어 클라우드·SaaS 중심의 디지털 전환 시대와 맞지 않는다. 실제 심사 시 위탁 관리 영역에서 가장 많은 시정조치가 발생하는데, 위탁자가 수탁자의 기술적 통제를 제대로 평가하지 못하는 경우가 대부분이다. 수탁자에게 독립적 인증 자격을 부여하면 이러한 심사 부적합을 상당 부분 예방할 수 있다.

다만 제도 개선 시 주의할 점은 수탁자 인증이 위탁자의 관리·감독 책임을 면제하는 것이 아니라는 점이다. 위탁계약 체결 시 인증 보유를 필수 조건으로 명시하고, 인증 유효기간 및 심사 결과를 지속적으로 모니터링하는 프로세스가 병행되어야 한다. 또한 수탁자 인증 기준은 일반 ISMS-P보다 위수탁 특화 통제 항목(데이터 반환·파기, 재위탁 관리, 접근권한 통제 등)을 강화하는 방향으로 설계되어야 실효성을 확보할 수 있다.

ISMS-P 심사원 체크포인트

1. 인증기준 2.8.1 개인정보 처리 업무 위·수탁 관리 - 위탁계약 시 개인정보보호법 제26조에 따른 안전성 확보조치 이행 여부를 명시해야 함 - 심사 시 수탁자의 보안 수준 점검 결과(점검표, 현장실사 보고서 등)를 필수 확인 - 재위탁 시 위탁자 사전 동의 및 재수탁자 관리 체계 점검 필요 - 현재는 수탁자가 ISMS-P를 보유하더라도 법적 효력이 없어 위탁자의 직접 점검 의무는 면제되지 않음

2. 인증기준 2.8.2 개인정보 처리 업무 위·수탁 현황 관리 - 위탁 현황대장에 수탁자별 보안 수준 평가 결과 및 개선 이행 현황 기록 필요 - 수탁자의 보안사고 발생 시 즉시 보고 체계 및 책임 범위를 계약서에 명확히 규정 - 연 1회 이상 정기 점검 의무화, 고위험 수탁자는 반기 점검 권고

3. 개인정보보호법 제26조(업무 위탁에 따른 개인정보의 처리 제한) - 위탁자는 수탁자가 안전성 확보조치(개인정보보호법 제29조)를 준수하도록 관리·감독할 법적 의무 - 수탁자 선정 시 기술적·관리적 보호조치 이행 능력을 사전 평가해야 하나, 현재는 객관적 평가 기준 부재 - 수탁자 ISMS-P 인증 허용 시 이 조항의 이행 수단으로 활용 가능

CPPG·ISMS-P 연계 포인트

공급망 보안(Supply Chain Security) 클라우드 서비스, 아웃소싱 등 외부 공급자를 통한 개인정보 처리가 증가하면서 공급망 전체의 보안 수준 관리가 중요해졌다. ISMS-P 인증기준 2.8장(위수탁 관리)과 ISO 27036(공급자 관계 정보보안) 기준이 연계되며, CPPG 시험에서는 위탁 시 안전성 확보조치 이행 의무(개인정보보호법 제26조)와 공급망 위험 평가 방법론이 출제된다.

위탁자의 관리·감독 책임 개인정보 처리 업무를 위탁하더라도 개인정보처리자로서의 법적 책임은 위탁자에게 있으며, 수탁자 선정·계약·점검·교육 전 과정을 관리·감독해야 한다. ISMS-P 심사 시 위탁계약서, 수탁자 점검 기록, 교육 이수 현황이 필수 증빙이며, CPPG 시험에서는 위탁 동의 고지 방법, 재위탁 제한 요건, 위탁 종료 시 개인정보 반환·파기 절차가 자주 출제된다.

#ISMS-P#수탁자인증#공급망보안#위수탁관리#정보보호관리체계
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

ISMS-P 기사 더 보기 →
개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
PET·신기술

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화

2026년 6월 19일
[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리
인공지능

[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리

2026년 6월 3일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
취업·진로

공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”

2026년 6월 7일
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
개인정보보호

[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최

2026년 5월 22일