카카오, 2025년 정보보호 투자 340억원…ISMS-P 인증 기업의 보안 투자 모범 사례

핵심 요약

- 카카오, 2025년 정보보호 투자액 340억원 기록하며 5년 연속 증가세 유지 - KISA 보고서, AI 활용 사이버 위협 증가 경고…2026년 전망 주목 - 정보보호를 기업 경영의 핵심 요소로 관리하는 ISMS-P 인증 기업 사례

주요 내용

카카오가 2025년 한 해 동안 정보보호 분야에 340억원을 투자한 것으로 확인됐다. 이는 국내 대표 IT 기업이 정보보호를 단순한 비용이 아닌 전략적 투자로 인식하고 있음을 보여주는 사례다. 특히 5년 연속 보안 투자가 증가한 것은 디지털 전환 가속화와 함께 사이버 위협이 고도화되고 있는 환경에서 선제적 대응의 필요성을 인식한 결과로 분석된다.

한국인터넷진흥원(KISA)이 발표한 '2025년 사이버 위협 하반기 동향 및 2026년 전망' 보고서는 최근 AI를 활용한 사이버 위협이 급증하고 있다고 경고했다. 생성형 AI를 악용한 정교한 피싱 공격, 딥페이크 기반 사회공학 기법, AI 자동화 공격 등이 2026년 주요 보안 이슈로 부상할 것으로 전망된다. 이러한 환경에서 카카오의 지속적인 보안 투자는 시의적절한 대응으로 평가받고 있다.

카카오 관계자는 "정보보호를 기업 경영의 핵심 요소이자 전사적 과제로 관리하고 있다"며 "ISMS-P 등 국내외 인증을 통해 체계적인 정보보호 관리체계를 운영하고 있다"고 밝혔다. 이는 개인정보보호법 및 정보통신망법상 요구되는 정보보호 최고책임자(CISO) 지정, 전담조직 운영, 정기적 보안투자 등 법적 의무를 충실히 이행하고 있음을 시사한다.

ISMS-P(개인정보보호 관리체계) 인증을 유지하는 기업으로서 카카오는 매년 사후심사를 통해 정보보호 및 개인정보보호 관리체계의 지속적 개선을 입증해야 한다. 340억원 규모의 투자는 기술적·물리적·관리적 보호대책 전반에 걸친 체계적 접근을 보여주는 지표다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 카카오의 사례는 '정보보호 투자의 지속성과 증가 추세'라는 중요한 심사 포인트를 충족하고 있다. 인증심사 시 단순히 현재의 투자 규모만 평가하는 것이 아니라, 최근 3~5년간의 투자 추이, 전년 대비 증감률, 매출 대비 투자 비율 등을 종합적으로 검토한다. 5년 연속 증가세는 경영진의 정보보호에 대한 의지와 전략적 접근을 명확히 보여주는 객관적 지표다.

특히 2026년 현재 AI 기반 위협이 급증하는 상황에서 기업들은 전통적인 보안 솔루션만으로는 대응이 어렵다. AI/ML 기반 위협 탐지 시스템, 행위 기반 이상징후 분석, 제로트러스트 아키텍처 등 차세대 보안 기술에 대한 투자가 필수적이다. ISMS-P 인증 기업은 위험 분석을 통해 새로운 위협을 식별하고, 이에 대응하는 보호대책을 수립·이행해야 하며, 이는 적절한 예산 배정 없이는 불가능하다. 따라서 정보보호 투자는 단순한 비용이 아닌 기업의 지속가능성을 위한 필수 요소로 인식되어야 한다.

ISMS-P 심사원 체크포인트

1. 인증기준 1.1.2 정보보호 예산 및 자원 (관리체계 수립 및 운영) - 심사 시 최근 3개년 정보보호 예산 편성 내역 및 집행 현황을 확인한다. 단순히 예산 규모뿐 아니라 전년 대비 증감률, 전체 IT 예산 대비 비율, 매출액 대비 비율 등을 종합 검토한다. - 예산 편성 시 위험평가 결과가 반영되었는지, 경영진 승인을 받았는지, 계획 대비 실제 집행률은 적정한지를 확인한다. - 개인정보보호법 제29조(안전조치의무) 이행을 위한 기술적·관리적·물리적 보호대책 투자가 균형있게 배분되었는지 점검한다.

2. 인증기준 2.8.1 보안 신기술 및 동향 파악 (정보보호 대책 요구사항) - AI 기반 위협 등 최신 사이버 위협 동향을 정기적으로 모니터링하고 있는지, KISA 등 공신력 있는 기관의 보고서를 활용하는지 확인한다. - 파악된 신규 위협에 대응하기 위한 보호대책이 수립되었는지, 이를 위한 예산이 배정되었는지 점검한다. - 정보통신망법 제45조의3(정보보호 최고책임자의 지정 등) 제2항에 따라 CISO가 신기술 동향을 경영진에게 보고하고 필요한 예산을 요구하는 체계가 있는지 확인한다.

3. 인증기준 1.2.3 경영진 참여 및 의사결정 (관리체계 수립 및 운영) - 정보보호 투자에 대한 경영진의 승인 절차와 의사결정 기록을 확인한다. 340억원 규모의 투자 결정은 이사회 또는 경영진 회의에서 논의·결의되었어야 한다. - 경영진이 정기적으로(최소 분기 1회) 정보보호 및 개인정보보호 현황 보고를 받고 있는지, 주요 투자 안건에 대해 의사결정을 하고 있는지 점검한다. - 개인정보보호법 제31조(개인정보 보호책임자의 지정)에 따른 개인정보 보호책임자(CPO)가 경영진과 협의하여 필요한 자원을 확보하는 체계가 구축되어 있는지 확인한다.

CPPG·ISMS-P 연계 포인트

1. 정보보호 예산 편성의 법적 근거 정보통신망법 제45조의3은 정보통신서비스 제공자에게 정보보호 최고책임자(CISO) 지정을 의무화하고 있으며, CISO는 정보보호 계획 수립 및 예산 편성 권한을 가진다. ISMS-P 인증기준 1.1.2는 이를 구체화하여 조직이 정보보호 목표 달성을 위해 충분한 예산과 인력을 배정할 것을 요구한다. CPPG 시험에서는 법적 의무사항과 인증기준의 연계, 예산 편성 시 고려사항(위험평가 결과 반영, 경영진 승인 등)이 출제된다.

2. 안전조치의무와 지속적 개선 개인정보보호법 제29조는 개인정보처리자에게 안전성 확보조치 의무를 부과하며, 이는 일회성이 아닌 지속적인 투자를 요구한다. AI 기반 위협 등 신규 위협이 등장하면 기존 보호대책만으로는 불충분하며, 이에 대응하는 추가 투자가 필요하다. ISMS-P 인증기준의 '지속적 개선' 원칙은 매년 위험을 재평가하고 보호대책을 강화하는 것을 의미하며, 이는 예산 증가로 가시화된다. 시험에서는 PDCA 사이클과 정보보호 투자의 연계, 위험 기반 접근법(risk-based approach)의 실무 적용이 중요 출제 포인트다.