지난 3월 10일 공포된 개인정보보호법 개정안에 묻혀 있는 한 줄이 있다. "대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보보호 인증을 받아야 한다." 과징금 매출 10%에 모든 관심이 쏠렸지만, 장기적으로 더 많은 회사의 일상을 바꿀 조항은 이쪽이다.
뭐가 바뀌었나
ISMS-P(정보보호 및 개인정보보호 관리체계) 인증은 원래도 의무 대상이 있었다. 정보통신서비스 매출 100억 이상이거나 일일 평균 이용자 100만 이상이면 ISMS 인증을 받아야 했다. 이번 개정은 그 위에 개인정보보호법 차원의 의무 인증을 별도로 얹었다. 시행일은 2027년 7월 1일.
정부가 파악한 의무 대상은 공공기관 57곳, 민간기업 약 50곳. 합계 107곳이다. 숫자만 보면 "우리 회사 해당 없겠지"라고 넘기기 쉽다. 그런데 넘기면 안 된다.
107곳에서 끝나지 않는 이유
핵심은 "대통령령으로 정하는 기준"이라는 문구다. 이 기준은 시행령에서 결정된다. 시행령은 국회 표결 없이 정부가 수정할 수 있다. 올해는 107곳이지만, 기준선이 내려가면 대상은 순식간에 불어난다.
과거에도 같은 일이 있었다. ISMS 의무 대상은 처음엔 대형 ISP 중심이었다가 점점 확대됐다. 2020년엔 의료기관, 학교, 쇼핑몰까지 들어왔다. 패턴은 항상 동일하다 — 먼저 큰 곳에 적용하고, 안정화되면 범위를 넓힌다.
거기다 인증을 받은 기업은 협력사에도 동일한 보안 수준을 요구하는 경우가 많다. B2B SaaS를 운영하고 있다면, 거래처가 의무 대상에 포함되는 순간 사실상 같은 기준이 내 서비스에도 흘러들어온다. 계약서에 "ISMS-P 인증 보유 또는 동등 수준의 보안 체계 증빙"이라는 조항이 붙기 시작할 거라는 뜻이다.
3단계 인증 체계
정부는 기존 단일 구조를 세 단계로 쪼갤 계획이다.
| 등급 | 대상 | 특징 |
|---|---|---|
| 간편 | 매출 300억 미만 중소기업 | 항목·비용 완화 |
| 표준 | 일반 의무 대상 | 현행과 유사한 수준 |
| 강화 | 통신사·대형 플랫폼 | 고위험 처리자 추가 기준 적용 |
중소 SaaS라면 간편 등급에 해당된다. 항목 수가 줄어든다고는 하지만 "간편"이라는 이름에 속으면 곤란하다. 간편 인증도 최소 2개월 이상의 운영 기록이 필요하고, 준비부터 취득까지 3~4개월은 확보해야 한다.
개발팀이 직접 부딪히는 항목들
인증 심사는 서류만 보는 게 아니다. 실제 시스템 구성과 운영 현황을 확인한다. 개발자 입장에서 피부에 와닿는 부분을 꼽으면 이렇다.
접근 통제와 감사 로그. 개인정보가 포함된 DB에 누가 언제 접근했는지 기록이 남아야 한다. "root 계정 하나로 다 접속합니다"는 심사에서 바로 걸린다. 역할 기반 접근 제어(RBAC)와 쿼리 수준의 감사 로그는 기본 중의 기본이다.
암호화 기준. 전송 구간 TLS는 당연하고 저장 시 암호화도 필수다. 비밀번호는 단방향 해시, 주민등록번호 같은 고유식별정보는 양방향 암호화. 심사관은 "해시 처리했습니다"라는 답변에 "어떤 알고리즘이죠?"라고 되묻는다. bcrypt인지 SHA-256인지, 솔트는 쓰는지 구체적으로 확인한다.
개발 보안 프로세스. 시큐어 코딩 기준이 문서화되어 있는지, 실제로 적용하는지를 본다. 소스코드 정적 분석 도구 돌린 이력, 취약점 조치 기록, 심지어 오픈소스 라이선스 검증 절차까지 범위에 들어올 수 있다. CI/CD 파이프라인에 보안 스캔이 녹아 있으면 자연스럽게 증빙이 쌓이지만, 없으면 소급해서 만들어내기가 굉장히 고통스럽다.
백업과 복구 테스트. 백업은 하고 있는데 복구 테스트는 한 번도 안 해봤다는 팀이 의외로 많다. 심사에서는 복구 절차서와 실제 테스트 기록을 요구한다.
이런 항목들을 나중에 한꺼번에 맞추려면 비용이 기하급수로 뛴다. 아키텍처 설계 시점에 녹여두는 게 압도적으로 싸다.
과태료 3천만원이라는 착시
미인증 시 과태료는 최대 3천만원. 대기업 입장에서는 반올림 오차 수준이다. "그냥 과태료 내지 뭐"라는 판단이 나올 법도 하다.
진짜 위험은 과태료 자체가 아니다. 인증 없이 운영하다가 개인정보 유출 사고가 터지면, "관리 체계 미비"의 직접적 증거가 된다. 이건 과징금 산정에서 가중 요인으로 작용한다. 이번 개정에서 과징금 상한이 매출 10%로 올라갔다는 사실을 같이 놓고 보면 그림이 달라진다. 3천만원 아끼려다 매출의 10%를 물어내는 시나리오가 비현실적이지 않다.
지금 할 수 있는 것
시행까지 1년 3개월 남았다. 인증 취득에 최소 6개월, 넉넉잡으면 9개월이 걸린다. 시행령에서 세부 기준이 확정되는 시점 — 아마 올해 하반기 — 부터 실질적 카운트다운이 시작된다.
지금 당장 가능한 건 두 가지다. 첫째, 우리 서비스가 의무 대상에 포함될 가능성이 있는지 따져보는 것. 매출 규모, 개인정보 보유량, 거래처의 인증 요구 가능성까지 포함해서. 둘째, KISA가 공개한 인증 기준 항목을 훑어보면서 현재 시스템과의 갭을 미리 파악하는 것. 시행령 확정 후에 허겁지겁 컨설팅 업체를 찾으면 이미 대기열이 길어진 뒤다.