ISMS와 ISMS-P 차이 — 우리 조직은 무엇을 받아야 하나
ISMS는 정보보호 관리체계를, ISMS-P는 정보보호에 더해 개인정보보호까지 포함한 관리체계를 인증하는 제도입니다. 두 인증의 핵심 차이는 개인정보 처리단계별 통제 영역의 포함 여부이며, 개인정보를 직접 처리·보유하는 조직은 일반적으로 ISMS-P가 더 적합합니다. 의무대상 여부는 관련 고시 기준에 따라 결정되므로, 자사 매출·이용자 규모와 사업 유형을 기준으로 확인해야 합니다.
ISMS(정보보호 관리체계, Information Security Management System)와 ISMS-P(정보보호 및 개인정보보호 관리체계)는 KISA(한국인터넷진흥원)가 운영하는 국내 대표 보안 인증 제도입니다. 두 인증의 가장 큰 차이는 이름의 뒤에 붙은 P(Privacy, 개인정보보호)의 유무, 즉 개인정보보호 영역을 인증 범위에 포함하는지 여부입니다.
ISMS와 ISMS-P의 정의
ISMS는 조직이 정보자산을 안전하게 보호하기 위한 관리체계가 수립·운영되고 있는지를 인증하는 제도입니다. 정보보호 정책, 위험관리, 접근통제, 암호화, 침해사고 대응 등 정보보안 전반의 통제가 점검 대상이 됩니다.
ISMS-P는 ISMS의 정보보호 영역에 더해, 개인정보의 수집·이용·제공·파기 등 처리단계별 보호조치까지 인증 범위에 포함하는 제도입니다. 즉 ISMS-P는 ISMS를 포함하는 더 넓은 인증으로, 정보보호와 개인정보보호를 하나의 관리체계 안에서 함께 검증합니다.
두 인증의 핵심 차이 — 개인정보 영역의 포함 여부
ISMS와 ISMS-P의 인증기준은 크게 관리체계 수립·운영, 보호대책 요구사항, 개인정보 처리단계별 요구사항으로 구성됩니다. ISMS는 앞의 두 영역을 중심으로 심사하고, ISMS-P는 여기에 개인정보 처리단계별 요구사항까지 더해 심사합니다.
결국 선택의 기준은 단순합니다. 조직이 개인정보를 직접 수집·처리·보유하는 비중이 크다면 개인정보보호 영역까지 검증받는 ISMS-P가 적합하고, 개인정보 처리가 핵심이 아닌 정보시스템 중심 조직이라면 ISMS만으로도 정보보호 관리체계를 인증받을 수 있습니다.
| 구분 | ISMS | ISMS-P |
|---|---|---|
| 인증 대상 영역 | 정보보호 관리체계 | 정보보호 + 개인정보보호 관리체계 |
| 포함 영역 | 관리체계 수립·운영, 보호대책 요구사항 | ISMS 영역 + 개인정보 처리단계별 요구사항 |
| 심사 범위 | 정보보안 통제 전반 | 정보보안 통제 + 개인정보 수집·이용·제공·파기 보호조치 |
| 적합한 조직 | 개인정보 처리 비중이 낮은 정보시스템 중심 조직 | 개인정보를 직접 수집·처리·보유하는 조직 |
우리 조직은 무엇을 받아야 하나
어떤 인증을 받아야 하는지는 두 가지 질문으로 정리됩니다. 첫째, 법적으로 인증이 의무인가. 둘째, 의무 여부와 별개로 어떤 범위의 인증이 우리 사업에 적합한가입니다.
ISMS 인증 의무대상 여부는 매출액, 서비스 이용자 수, 사업 유형 등 일정한 정량 기준으로 정해지지만, 그 구체적인 수치와 적용 범위는 관련 고시 기준에 따라 결정됩니다. 일반적으로 일정 규모 이상의 정보통신서비스 제공자, 집적정보통신시설(IDC) 사업자, 매출·이용자 규모가 큰 기업 등이 의무대상으로 분류되는 경향이 있으나, 자사의 의무 여부는 반드시 최신 고시와 KISA 안내를 기준으로 확인해야 합니다.
- 의무대상 확인: 자사의 매출·이용자 규모와 사업 유형이 관련 고시의 의무대상 기준에 해당하는지 먼저 확인한다.
- 개인정보 처리 여부: 회원 정보, 결제 정보 등 개인정보를 직접 수집·처리·보유한다면 ISMS-P가 더 적합하다.
- 사업 성격: 개인정보 처리가 사업의 핵심이 아닌 인프라·시스템 중심 조직이라면 ISMS로 시작할 수 있다.
- 대외 신뢰: 고객사나 입찰 요건에서 요구하는 인증 범위가 있다면 이를 함께 고려한다.
클라우드(AWS) 환경에서 공통으로 요구되는 기술 통제
ISMS든 ISMS-P든, 정보시스템이 AWS와 같은 클라우드 환경에서 운영된다면 인증기준이 요구하는 기술적 보호조치는 상당 부분 공통입니다. 두 인증 모두 정보자산에 대한 접근통제, 데이터 암호화, 접속·활동 기록의 보존과 점검을 핵심 통제로 요구하기 때문입니다.
- 접근통제: IAM 권한 최소화, 불필요한 권한·계정 제거, 보안그룹의 과도한 개방(0.0.0.0/0) 차단, MFA 적용.
- 암호화: 저장 데이터(EBS·S3·RDS 등)의 암호화와 전송 구간(TLS) 암호화 적용.
- 접속기록: CloudTrail 등 활동 로그의 생성·보존과 변조 방지, 로그에 대한 접근통제.
- 구성 관리: 리소스 설정 변경 추적과 안전한 기본값 유지, 공개 노출 자원의 상시 점검.
문제는 클라우드 설정이 수시로 바뀐다는 점입니다. 한 번 안전하게 구성한 환경도 운영 중 권한이 과도하게 부여되거나 암호화·로깅이 누락되며 통제에서 벗어날 수 있어, 점검은 특정 시점이 아니라 상시로 이루어져야 합니다. gnFortress는 ISMS-P 기준 186개 항목을 AWS 환경에서 셀프로 자동 점검하고, 충족 상태를 준수 점수 리포트로 산출합니다. 점검은 CloudFormation으로 배포되는 read-only IAM 권한만으로 수행되어 운영 리소스를 변경하지 않습니다.
gnFortress는 국내 금융권 클라우드 보안 1위, 4,000여 개 이상의 워크로드 운영 경험을 보유한 가디언넷이 만든 제품입니다. 무료 Starter 플랜(1계정)으로 자사 AWS 환경의 ISMS-P 준수 점수를 직접 측정해보며, 우리 조직에 필요한 통제 수준을 가늠해볼 수 있습니다.