[CIOCISO매거진 홍상수 기자] 2022년 우리나라에서 ‘정보보호 및 개인정보보호 관리체계 인증(Personal Information & Information Security Management System, ISMS-P)’ 인증을 받은 기업은 총 64곳이었다. ISMS-P 인증 취득은 제도 변경 도입 첫해인 △2019년 43개 △2020년 54개 △2021년 56개로 완만한 우상향 곡선을 그리고 있다.

정보보호 관련 인증제도는 △정보보호 중심으로 인증을 취득하는 경우 ‘정보보호 관리체계 인증(ISMS)’을 △개인정보보호와 정보보호 영역을 포괄하고자 하는 경우에는 ‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’을 인증받을 수 있다. ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 정책기관으로 인증을 집행하고, 한국인터넷진흥원(KISA)과 금융보안원(FSI)이 인증을 대행한다.

정부는 2001년 ‘정보보호 관리체계(ISMS)’ 인증제도를 처음 시행했으며, 2009년 ‘전자정부 정보보호 관리체계(G-ISMS)’ 인증, 2010년 ‘개인정보보호 관리체계(PIMS)’ 인증을 추가로 시행했다. 이후 2013년 ISMS 인증 의무화와 함께 2014년에는 G-ISMS 인증과 ISMS 인증을 통합했으며, 2013년부터 시행한 ‘개인정보보호 인증(PIPL, Personal Information Protection Level)’과 PIMS를 2016년 통합했다. 이어 2018년에는 ISMS와 PIMS를 통합해 현재의 ISMS-P 체계를 완성했다.

기업이 ISMS-P를 취득하게 되면 ①일회적 보호대책이 아닌 체계적, 종합적인 보호대책을 구현해 기업의 정보보호 및 개인정보보호 관리 수준 향상 ②기업은 지속적이고 체계적인 정보보호 및 개인정보보호 관리체계 구축을 통해 디도스, 해킹 등의 침해사고 및 개인정보 유출사고 발생 시 신속하게 대응하고, 피해 및 손실 최소화 가능 ③기업 경영진이 직접 정보보호 의사결정에 참여해 정보보호 및 개인정보보호 업무에 대한 책임성과 신뢰성 향상 ④인증을 취득한 기관은 국민과 고객의 정보보호 및 개인정보보호에 대한 신뢰성을 높여 대외 이미지 제고 ⑤인증을 취득한 기관은 입찰 시 가산점 부여 등의 인센티브 확보 등의 기대효과가 있다.

이러한 가운데 <보안뉴스>에서 KISA가 공개한 ‘ISMS-P 연도별 인증서 발급현황’을 분석한 결과, △2019년 136건 △2020년 330건 △2021년 326건 △2022년 226건 등 총 1,018건의 인증서가 발급됐다. 단, 각각의 연도별 인증서 발급현황은 △ISMS-P와 함께 금융보안원이 인증하는 △ISMS-P-FSI는 물론 개인정보보호 부문이 빠진 △ISMS 인증현황도 모두 포함된 수치라는 게 KISA 측의 설명이다.

지난해 ISMS-P 인증은 상반기(1~6월)에 25곳, 하반기(7~12월)에 30곳 등 총 55곳이 인증을 받았으며, ISMS-P-FSI는 총 9곳이 인증을 획득했다.

월별 인증현황을 살펴보면 1월에는 △미디어윌네트웍스(리크루팅 서비스) △잡코리아(온라인 리크루팅 서비스- 잡코리아, 알바몬, 게임잡, 캠퍼스몬, 채용솔루션)이, 2월에는 △한국도로공사(출입관리 및 사이버 보안관리 서비스) △라이징윙스(모바일 게임 개발 및 서비스 운영)가 인증을 취득했다.

3월에는 △크래프톤(온라인 게임 개발 및 서비스 운영) △삼성SDS(Samsung Cloud Platform 클라우드 서비스) △피치밸리(윌리스몰 온라인 서비스 운영) △한국보훈복지의료공단(한국보훈복지의료공단 대외서비스 운영- 대표홈페이지 및 6개 보훈병원, 7개 보훈요양원, 보훈원, 보훈교육연구원, 보훈휴양원, 보훈재활체육센터, 위탁병원관리단 홈페이지) △케이티알파(대표홈페이지 및 온라인 대고객 서비스- K쇼핑, 기프티쇼, 리플, 우선샵, APIStore, 시네마천국) △카카오모빌리티(카카오모빌리티 T 서비스) △동행복권(동행복권 복권포탈 서비스) 등 7곳이 인증을 받았으며, 4월에는 △서울올림픽기념국민체육진흥공단(대외 서비스- 대표홈페이지, 체육진흥투표권 인터넷발매시스템) △지에스리테일(GS리테일 온라인 서비스) △인천국제공항공사(인천공항 홈페이지 및 고객의 소리) △건양사이버대(원격 교육시스템 운영) △한글과컴퓨터(오피스응용서비스, 교육 및 채용서비스) △마크애니(마크애니 온라인플랫폼 서비스-IT 교육 및 증명서 관리) △SK스토아(T커머스 서비스) △트리시스(케이스원격평생교육원) 등 8곳이 인증을 획득했다.

5월에는 △한국교육방송공사(EBS 교육 포탈 웹서비스) △골프존카운티(골프장 예약, 부킹 등 대 고객 서비스- 직영 골프장 및 티스캐너 서비스) △잼팟(국내 온라인 게임 서비스)이, 6월에는 △SSG닷컴(온라인 쇼핑몰 서비스 및 간편결제 서비스) △코웨이(코웨이 온라인 서비스- 코웨이닷컴, 코스메틱) △숭실대(학부대상 학사정보서비스)가, 7월에는 △국립암센터(국립암센터 암빅데이터센터) △미디어윌(인터넷 정보 제공서비스- 벼룩시장, 부동산써브, 영업관리시스템) △롯데칠성음료(롯데칠성음료 홈페이지 운영)가 인증을 취득하는 등 각각 3곳씩 인증을 받았다.

8월에는 △베스핀글로벌(클라우드 매니지드 서비스 운영- Cloud MSP, OpsNow) △펄어비스(펄어비스 게임서비스 운영- ‘검은사막’ 온라인, 콘솔, 모바일) △롯데건설(롯데캐슬 분양 및 Elyes 임대 시스템 운영) △라이프시맨틱스(‘LifeRecord를 활용한 디지털헬스플랫폼’과 이를 활용한 응용 서비스) △DGB유페이(DGB유페이 선불카드 서비스 및 전자지급결제대행(PG) 서비스) △KT클라우드(Cloud 서비스) △대명스테이션(대명스테이션 고객 업무 서비스- 대명아임레디, 하이브리드 서비스, 버킷 마켓, 의전서비스, 영업지원서비스, 콜센터)이, 9월에는 △CJ올리브네트웍스(씨제이올리브네트웍스 온라인서비스 CJ ONE 운영) △안랩(안랩닷컴, 안랩몰, 기술지원서비스, 파트너지원서비스, 채용서비스, 원격관제서비스, 영업지원서비스, 안랩 클라우드 서비스, 클라우드 보안 솔루션 서비스, 안랩 위협 인텔리전스 플랫폼 서비스)이 각각 신규 인증을 취득했다.

10월에는 △GS엠비즈(온라인 고객서비스- 홈페이지, GS&포인트몰, 모바일쿠폰, GS&패널, DBM, a/O멤버십, 모빌리, GSMyCar) △네이버(고객센터, 비즈니스, 네이버인증서 및 전자문서 포함 등 네이버 서비스 운영 및 B2C·B2B 이용자 개인정보 관리) △캐논코리아(캐논코리아 온라인 쇼핑몰 운영- e스토어, 비즈몰) △네이버웹툰(네이버웹툰 온라인 서비스 운영) 4곳이, 11월에는 △사람인HR(취업 플랫폼 서비스, HR전문 서비스 플랫폼 운영) △디어유(대외 온라인 서비스 운영) △GS건설(XI 및 GS SPACE 대고객-온라인 회원-서비스) △한국재정정보원(국고보조금통합관리시스템- e나라도움) △에스원(에스원 세콤, PS/SESP 정보보안 서비스 운영) △SK플래닛(OK캐쉬백, Syrup) △NHN두레이(통합 온라인 협업 서비스- Dooray!, ERP, eTax) △NHN클라우드(NHN Cloud Center) △LG CNS(LG CNS B2C/B2B 서비스-커머스, AI 튜터, 전자금융, 메시징, MyLGID, RPA, Onebrain) △한국디지털거래소(가상자산 거래소 플라이빗 운영) 등 10곳이 인증을 받았다.

12월에는 SK 렌터카, 체커, 뉴인, 디케이테크인 등 4개 업체에서 인증을 취득했다. 세부적으로는 △SK렌터카(SK렌터카서비스 운영- 통합서비스, SK다이렉트, 스마트링크) △체커(QueryPie 개발, 데모요청 및 고객지원(문의) 서비스 운영) △뉴인(터치클래스·뉴캠퍼스 등 온라인 교육 플랫폼 서비스 운영) △디케이테크인(T-fac 스마트 플랫폼)이었다.

또한, 금융보안원이 인증 업무를 맡고 있는 금융 분야 ISMS-P-FSI의 경우 지난해 중소기업은행, KB증권, 농협은행, 토스증권, 국민은행, 한국투자증권, 삼성카드, 삼성증권, 비바리퍼블리카 9곳이 인증을 취득했다.

한편, 2021년에는 ‘가상자산’ 관련 업체의 ISMS-P 인증이 31곳에 달한 것과는 달리 지난해에는 관련 기업의 인증 취득이 단 1곳에 불과했다는 점에서 가상자산 관련 업체의 2023년 움직임이 주목된다.