Skip to main content

1 Regulations

1. 거버넌스와 규제의 핵심 요소

거버넌스나 규제를 살펴볼 때 다음 요소들을 중심적으로 보면 도움이 됩니다:

  • 규제에 대한 패널티 및 혜택
  • 인증 비용과 시간
  • 난이도

PIMS (개인정보보호관리체계) 혜택

  • 개인 정보 관련 사고가 일어났을 때 과징금/과태료가 최대 50%까지 줄어듦

인증의 특징

  • 대부분의 인증은 기업의 규모, 업종에 따라 필수요건 혹은 인증비용, 인증시간 등이 달라짐

2. ISO 27001

정의

  • 정보보안경영시스템
  • 정보경영, 보안경영과 관련된 요구사항을 정의한 국제표준화기구(ISO)에서 제정한 국제표준
  • PDCA에 근거한 위험분석 및 프로세스를 구축

적용 대상

  • 사용자의 실수 또는 바이러스 같은 것으로 인한 데이터손실에 대한 보호를 실천하고 조직의 주요 정보 및 시스템 보호에 적용
  • 해킹, 내부직원의 기밀유출 등과 같은 것을 예방하며 사업상의 피해를 예방하는 기업이 적용

국제 표준

  • 국제표준화기구 (ISO: International Organization for Standardization) 및 국제전기기술위원회 (IEC: International Electrotechnical Commission)에서 제정한 정보보호 관리체계에 대한 국제 표준
  • 정보보호 분야에서 가장 권위 있는 국제 인증표준으로, 정보보호정책, 물리적 보안, 정보접근 통제 등 정보보안 관련 11개 영역, 133개 항목을 다룸

인증 과정

  1. 1단계 심사: 서류적으로 수립된 정책이 ISO 27001 기준에 맞는지 검토
  2. 2단계 심사: 현장에서 이루어지는 심사

133개 통제 영역

  • 133개 통제 영역별 주요 내용 (2017 이전 기준)
  • 기술적인 내용보다는 우선 운영과 체계에 관련된 기준점이 많음

ISO 27001 혜택

1. 고객 및 파트너 신뢰 확보

  • 국제적으로 공인된 보안 인증이라, 고객·투자자·협력사에게 정보보호를 체계적으로 관리한다는 신뢰 부여
  • 해외 기업과 거래 시 보안 요건을 충족하는 증빙 자료로 사용 가능

2. 입찰 및 사업 기회 확대

  • 공공기관·대기업·글로벌 기업은 입찰 조건에 ISO 27001 보유를 요구하는 경우가 많음
  • 특히 클라우드, 핀테크, 헬스케어, 데이터 기반 기업은 영업 경쟁력으로 가능

3. 법적/규제 대응

  • 개인정보보호법, 정보통신망법, 전자금융거래법 등 각종 보안 관련 규제 준수에 유리
  • 심사 대응 자료로 활용 가능 → 규제 리스크 최소화
  • ex) 과징금 50% 감액 등 혜택 부여

4. 리스크 관리 및 비용 절감

  • 보안 사고(해킹, 데이터 유출, 랜섬웨어 등) 발생 가능성을 줄임 → 사고 대응 비용·평판 피해 절감
  • 체계적인 보안 관리 프로세스 구축으로 내부 관리 효율도 향상

5. 내부 보안 문화 정착

  • 문서화된 정책, 직원 교육, 정기 감사 등을 통해 보안 인식이 강화됩니다
  • 내부 인적 리스크(부주의, 내부자 유출 등)도 예방할 수 있음

6. 국제 시장 진출 용이

  • ISO 27001은 글로벌 표준이라 해외 고객사/파트너와 협력 시 별도의 보안 심사를 최소화
  • SaaS, 클라우드, IT 서비스 기업에 특히 유리
  • 개인적으로 비용 효율에 있어 이점이 상당히 많아 보인다고 느꼈습니다.

3. 개인정보보호법

관련 법률

개인정보보호법은 2가지 법과 밀접한 관련이 있습니다:

  • 정보통신망법
  • 신용정보법

주요 내용

  • 개인정보의 제3자 제공
  • GDPR과의 연관성

4. GDPR (General Data Protection Regulation)

정의

  • 개인정보보호규정(GDPR: General Data Protection Regulation)
  • 2018년 5월 25일부터 시행된 유럽연합(EU)의 개인정보보호규정
  • EU 거주자의 개인정보를 다루는 모든 기업이나 단체가 프라이버시 보호와 관련된 광범위한 규정들을 준수하도록 규제요구사항이 증가
  • KISA에서도 국제적으로 적극 많이 다루고 있음

개인정보 유출 사례

  • '해킹 사태' 국회 불려간 롯데카드..."수익 치우쳐 정보보호 간과한 인재"(종합) -뉴스1(2025.09.23)
  • 당연한 얘기지만, 과징금 + 기업의 신뢰도 + 고객 이탈 등 큰 타격을 받음
  • SKT 해킹 당시 주가가 10% 빠졌습니다. 시총 대비 1조 가량이 되는 주가 손실이 발생했습니다.

GDPR 혜택

1. EU 시장 진출/유지 용이

  • GDPR은 EU 내 모든 기업 및 EU 시민 데이터를 처리하는 전 세계 기업에 적용
  • 따라서 준수하면 EU 고객·파트너와의 거래 장벽 제거 → 수출·진출 기회 확대
  • 추가적으로 GDPR과 캘리포니아 주 개인정보 보호법 또한 비슷하게 엄격한 것으로 알고 있습니다.

2. 고객 신뢰도 상승

  • GDPR은 투명한 데이터 처리와 개인정보 권리 보장을 핵심
  • 이를 준수하는 기업은 고객에게 **"개인정보를 안전하게 다룬다"**는 메시지를 주어 브랜드 이미지 개선
  • B2C 서비스(앱, 쇼핑몰, SaaS 등)에서 가입·이용 전환율 향상에 기여할 수 있음

3. 데이터 관리 효율성 증가

  • GDPR은 최소 수집, 목적 제한, 저장 기간 제한 등을 요구

  • 사실 마케팅 및 고객관리 목적으로 최대한의 데이터를 확보하고 싶은 마음과 충돌됨

4. 법적/재정적 리스크 회피

  • GDPR 위반 시 매출의 최대 4% 또는 2천만 유로의 과징금 부과
  • 준수하면 이런 거액의 벌금 및 소송 리스크에서 벗어나 안전한 운영 가능

5. 내부 보안 수준 강화

  • 개인정보 접근 통제, 암호화, 로깅, 데이터 처리 프로세스 등을 체계적으로 관리
  • 내부 직원의 보안 의식 향상 → 인적 보안 리스크도 감소

6. 글로벌 경쟁력 확보

  • GDPR은 사실상 세계적인 개인정보보호 표준으로 자리잡음
  • 준수 기업은 미국 CCPA, 한국 개인정보보호법, ISO 27701 등 다른 규제 대응도 유리
  • 글로벌 고객사와 협업·계약 시 "GDPR compliant" 라벨이 큰 경쟁력으로 작용

5. PIMS (개인정보보호관리체계)

정의

  • PIMS(개인정보보호관리체계)
  • Personal Information Management System
  • (ISMS-P라고해서 ISMS + PIMS 합쳐짐)
  • 방송통신위원회가 정책기관이고, 개인정보보호협회가 위탁하여 KISA가 인증함

인증 비용

1. 사전 컨설팅 비용

  • 현황 진단, 가이드라인 작성, 문서화, 내부 교육 등 준비 단계
  • 보통 2,000만 ~ 5,000만 원 수준 (기업 규모 및 범위에 따라 상이)

2. 심사 비용 (한국인터넷진흥원 KISA / 인증기관)

  • 실제 심사 기관에 납부하는 심사 수수료
  • 기업 매출액 및 인증 범위에 따라 약 1,000만 ~ 3,000만 원

3. 인력/내부 운영 비용

  • 내부 개인정보보호 담당자, IT 보안팀, 교육 비용 등 인건비
  • 중소기업은 부담이 적지만, 대기업은 수천만 원 이상의 인건비 투입

4. 시스템 보완 비용

  • 인증을 통과하려면 보안 솔루션 도입(접근통제, 암호화, 로그 관리 등)이 필요한 경우가 많음
  • 상황에 따라 수백만 원 ~ 수억 원까지 추가 발생 가능

6. ISMS-P

정의

  • ISMS + PIMS
  • 과학기술정보통신부 - 정보통신망법
  • 개인정보보호위원회 - 개인정보보호법

인증체계

  • 심사기관
  • 인증기관
  • 정책기관

ISMS 의무대상자

  • (이왕이면 ISMS-P를 한번에 따려고 함)

ISMS-P 인증심사원

  • 정책 관련된 내용 (문과)

7. 클라우드 보안인증제

클라우드컴퓨팅법

  • 클라우드컴퓨팅법?

클라우드 정보유출 사고

IaaS

  • AWS EC2 (네트워크, 스토리지, 서버 등 제공)

SaaS

  • Google Docs
  • Office 365

ISMS-P 인증서 발급수

  • ISMS-P 인증서 발급수를 확인할 수 있음

8. CSAP (클라우드 서비스 보안인증)

정의

  • CSAP(Cloud Security Assurance Program)란 클라우드서비스 제공자가 제공하는 서비스에 대해 「클라우드컴퓨팅발전및이용자보호에관한법률」 제23조의2에 따라 정보보호 수준의 향상 및 보장을 위하여 보안인증 기준에 적합한 클라우드컴퓨팅 서비스에 대하여 보안인증을 수행하는 제도

목적

  • 한국인터넷진흥원(KISA)에서는 이용자의 보안 우려를 해소하고, 나아가 클라우드 서비스의 경쟁력 강화를 위해 CSAP 인증제도를 통해 공공기관에 '안전성'과 '신뢰성'이 검증된 클라우드 서비스를 공급 요구
  • 민간 기업이 공공 부문에 클라우드 서비스를 공급하기 위해서는 CSAP 인증이 필요하게 됨
  • 나라장터 등

무역장벽 측면

  • 외산 AWS 클라우드 같은 경우 CSAP 기준을 맞추기가 어려워서 어떻게 보면 무역장벽이 되기도 함
  • (미국산 소고기, 철강, 자동차 등 무역 관세 등과 비슷하게 생각하면 이해하기 쉬움)
  • '하' 등급에서 물리적 망분리 대신 논리적 망분리 허용해주면서 MS > 2024년 12월, GCP > 2025년 2월, AWS 또한 2025년 전부 들어옴