카카오게임즈, ISMS-P·ISO 27001 인증 획득…MSCI ESG 'AAA' 2년 연속 달성

핵심 요약

- 카카오게임즈, 2025년 ISMS-P 및 ISO 27001 국내외 정보보호 인증 동시 취득 - 2026년 3월 MSCI ESG 평가에서 2년 연속 최고등급 AAA 획득으로 글로벌 정보보호 역량 인정 - 4번째 ESG 보고서 발간, 이용자 권익·정보보안·기후대응 중심의 통합 경영 체계 구축

주요 내용

카카오게임즈는 2025년 사회(S) 부문 강화의 일환으로 국내 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증과 국제 정보보호 표준인 ISO 27001 인증을 동시에 취득했다. ISMS-P는 과학기술정보통신부와 한국인터넷진흥원이 주관하는 국내 최고 수준의 정보보호 인증제도로, 기업의 정보자산 보호와 개인정보 처리 전반에 대한 체계적 관리 능력을 검증한다.

이번 인증 취득은 카카오게임즈가 게임 서비스 운영 과정에서 수집·처리하는 대규모 이용자 개인정보에 대한 보호 체계를 국내외 표준에 부합하도록 고도화했음을 의미한다. 특히 게임산업 특성상 글로벌 서비스 운영이 필수적인 점을 고려할 때, ISO 27001 국제 인증 병행 취득은 해외 파트너사 및 이용자에 대한 신뢰도 제고에 중요한 역할을 한다.

카카오게임즈는 2026년 3월 모건스탠리캐피털인터내셔널(MSCI) ESG 평가에서 2년 연속 최고등급인 AAA를 획득하며 정보보호 경영의 우수성을 대외적으로 인정받았다. MSCI ESG 평가는 글로벌 투자기관들이 활용하는 대표적 ESG 지표로, AAA 등급은 전체 평가 대상 기업 중 상위 10% 이내에만 부여되는 최고 수준의 평가다. 4번째 ESG 보고서 발간을 통해 이용자 권익, 정보보안, 기후대응을 핵심 경영 어젠다로 통합 관리하는 체계를 공개했다.

정보보호 인증 취득과 ESG 최고등급 획득은 규제 준수를 넘어 지속가능경영의 핵심 요소로 정보보호를 인식하는 기업 문화의 변화를 반영한다. 특히 게임산업에서 개인정보 유출 사고가 기업 가치에 미치는 영향이 커지는 상황에서, 선제적 보안 투자와 체계 구축은 경쟁력 확보의 필수 요건이 되고 있다.

전문가 시각

ISMS-P와 ISO 27001 인증을 동시에 추진한 전략은 국내 규제 준수와 글로벌 비즈니스 확장을 동시에 고려한 효율적 접근이다. 두 인증은 위험관리(Risk Management) 방법론과 PDCA(Plan-Do-Check-Act) 순환 체계를 공통 기반으로 하므로, 통합 관리체계 구축 시 중복 투자를 최소화하면서 시너지를 극대화할 수 있다. 특히 게임산업은 실시간 서비스 특성상 가용성(Availability) 요구사항이 높아, 보안과 서비스 안정성을 균형있게 관리하는 체계 설계가 중요하다.

MSCI ESG AAA 등급 2년 연속 유지는 일회성 인증 취득을 넘어 지속적 개선 활동(Continuous Improvement)이 실질적으로 작동하고 있음을 보여주는 지표다. 심사원 관점에서 볼 때, 기업이 정보보호를 단순 IT 부서 업무가 아닌 경영진 주도의 전사적 과제로 다루고, 이를 ESG 보고서를 통해 투명하게 공개하는 것은 모범적 거버넌스 사례다. 향후 다른 게임사들도 정보보호 관리체계를 ESG 경영과 통합하는 추세가 가속화될 것으로 전망된다.

ISMS-P 심사원 체크포인트

1. 관리체계 기반 마련 (1.1.1 경영진의 참여) - ISMS-P 인증기준 1.1.1항은 경영진이 정보보호 및 개인정보보호 정책을 수립하고 필요한 자원을 할당하도록 요구함 - ESG 보고서 발간 및 MSCI 평가 대응은 경영진의 직접적 관여를 입증하는 객관적 증거로 활용 가능 - 개인정보보호법 제31조(개인정보 보호책임자의 지정) 및 정보통신망법 제45조의3(정보보호 최고책임자의 지정)과 연계하여 책임자 역할 수행 실적 확인 필요

2. 개인정보 보호 조치 (3.1.2 개인정보 수집 시 동의) - 게임 서비스 특성상 회원가입, 인게임 결제, 소셜 기능 등 다양한 경로에서 개인정보 수집 발생 - 개인정보보호법 제15조(개인정보의 수집·이용), 제22조(동의를 받는 방법) 준수 여부를 게임별·플랫폼별로 세부 점검 - 특히 만 14세 미만 아동 이용자에 대한 법정대리인 동의 절차(개인정보보호법 제22조 제6항) 이행 여부가 주요 심사 포인트

3. 국제 이전 및 제3자 제공 관리 (3.1.7 개인정보의 파기) - 글로벌 서비스 운영 시 개인정보 국외 이전에 대한 개인정보보호법 제39조의12 고지·동의 의무 이행 확인 - ISO 27001과의 연계 운영 시 국가별 데이터 현지화(Data Localization) 요구사항 대응 체계 점검 - 클라우드 서비스 이용 시 수탁자 관리·감독(개인정보보호법 제26조) 및 재위탁 통제 절차 구비 여부 검토

CPPG·ISMS-P 연계 포인트

1. 통합 인증과 관리체계의 효율화 ISMS-P는 정보보호(ISMS) 인증에 개인정보보호 요구사항을 통합한 제도로, ISO 27001(정보보호)과 ISO 27701(개인정보보호) 체계와 상호 매핑이 가능하다. 두 인증을 병행 취득할 경우 공통 통제항목(정책, 위험관리, 내부감사 등)은 단일 프로세스로 운영하되, 법적 요구사항(국내법 vs 국제표준)에 따른 차이점만 별도 관리하는 것이 효율적이다. CPPG 시험에서는 ISMS-P의 5개 영역(관리체계 수립·보호대책·개인정보 처리단계별 요구사항·개인정보 안전조치·정보통신망 침해사고 대응) 구조를 이해해야 한다.

2. ESG와 개인정보보호 거버넌스의 통합 ESG 평가에서 S(사회) 영역은 고객정보보호, 데이터 프라이버시를 핵심 지표로 포함하며, MSCI AAA 등급 획득은 실질적 개인정보 보호활동의 증거가 된다. 개인정보 보호책임자(CPO)는 개인정보보호법 제31조에 따라 개인정보 처리 관련 업무를 총괄하며, ESG 위원회와 협업하여 경영진에게 정기 보고하는 체계가 모범사례다. CPPG 자격 취득자는 이러한 거버넌스 구조 설계 및 ESG 보고서 작성 시 개인정보보호 성과지표 수립에 전문성을 발휘할 수 있다.