블로그로 돌아가기
ISMS-P 인증대상ISMS-P 의무대상정보통신망법 시행령ISMS 인증 중소기업정보보호 인증 의무

바뀌는 ISMS-P 인증대상, 중소기업 경영진이 알아야 할 것

2024년 개정된 정보통신망법 시행령으로 ISMS-P 인증대상 기준이 변경되었습니다. 중소기업 경영진이 반드시 확인해야 할 의무 대상 판단 기준과 실무적 시사점을 정리했습니다.

C
ComplixShield 편집팀
··읽는 시간 1

바뀌는 ISMS-P 인증대상, 중소기업 경영진이 알아야 할 것

2023년 과학기술정보통신부가 발표한 정보보호 실태조사에 따르면, ISMS 의무인증 대상임에도 인증을 취득하지 않아 과태료 처분을 받은 사업자는 매년 수십 건에 달합니다. 그 중 상당수는 "우리 회사가 대상인지 몰랐다"는 이유를 댑니다. 모르는 것이 면책 사유가 되지 않는다는 점은, 경영진이라면 이미 알고 계실 겁니다.

기존 기준이 왜 문제였나

정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 제47조 및 동법 시행령 제49조는 ISMS 의무인증 대상을 규정합니다. 기존 기준은 크게 세 가지였습니다.

  • 매출 기준: 전년도 정보통신서비스 매출액 100억 원 이상
  • 이용자 기준: 전년도 일일평균 이용자 수 100만 명 이상
  • 의료기관·학교 등 특정 업종: 규모와 무관하게 의무 적용

문제는 이 기준이 급격히 성장하는 SaaS, 핀테크, 이커머스 기업의 실제 위험 수준을 반영하지 못한다는 지적이 지속적으로 제기되었다는 점입니다. 매출 100억 원 미만이어도 수십만 명의 개인정보를 처리하는 스타트업이 의무 대상에서 빠지는 구조적 공백이 존재했습니다.

무엇이 바뀌었나

2024년 시행된 정보통신망법 시행령 개정의 핵심은 이용자 기준의 하향 조정클라우드·부가통신사업자 범위 명확화입니다.

개정 시행령은 기존 '일일평균 이용자 100만 명' 기준을 유지하되, 전년도 말 기준 직전 3개월간 일일평균 이용자 수 산정 방식을 구체화하여 계절적 편차를 활용한 기준 회피를 차단했습니다. 또한 클라우드 기반 서비스 제공자에 대해 물리적 서버 보유 여부와 무관하게 의무 대상으로 포함하는 해석 기준을 명확히 했습니다.

매출 기준 역시 정보통신서비스 매출의 범위를 구독형 SaaS 수익, API 연동 수수료 등 디지털 서비스 매출로 확대 해석하도록 유권해석이 정비되었습니다. 단순히 소프트웨어를 판매하는 것이 아니라, 서비스 형태로 제공하는 모든 온라인 수익이 산정 기준에 포함될 수 있습니다.

중소기업 경영진이 직접 확인해야 할 세 가지

1. 매출 산정 범위 재검토

귀사의 매출 중 '정보통신서비스'에 해당하는 항목이 무엇인지 재무팀과 함께 재분류하십시오. 구독료, 광고 수익, 데이터 제공 수익은 대부분 포함됩니다. 오프라인 매출과 단순 SI 용역은 제외될 수 있지만, 유지보수 계약에 온라인 서비스가 포함된 경우 판단이 달라집니다.

2. 이용자 수 산정 방식 점검

'이용자'는 가입자 수가 아닌 실제 서비스를 이용한 자를 기준으로 합니다. 비회원 이용, 소셜 로그인 연동 사용자도 포함됩니다. 특히 B2B SaaS의 경우 계약 기업 수가 아닌 실제 엔드유저 수로 산정해야 합니다.

3. 업종 코드와 실제 사업 내용의 불일치 여부 확인

사업자 등록상 업종 코드가 의무 대상 업종에 해당하지 않더라도, 실제 사업 내용이 정보통신서비스 제공에 해당한다면 의무 대상이 될 수 있습니다. 과학기술정보통신부는 실질 판단 원칙을 적용하고 있으며, 업종 코드만으로 면제를 주장하기는 어렵습니다.

의무 대상이 아니어도 '준비'가 필요한 이유

ISMS-P 의무인증 대상이 아닌 기업이라도 두 가지 상황에서 사실상 인증이 강제됩니다.

하나는 대기업·공공기관 공급망 요건입니다. 금융기관, 공공기관 등과 계약하려면 ISMS 인증을 요구하는 RFP가 늘고 있습니다. 의무는 아니지만, 수주 자격 요건이 됩니다.

다른 하나는 성장에 따른 의무 전환 시점입니다. 올해 매출 80억 원인 기업이 내년에 120억 원을 달성하면, 그 다음 해에 의무 대상이 됩니다. 인증 준비 기간이 통상 6~12개월임을 감안하면, 의무 발생 시점에 이미 늦습니다.

실무적 시사점

ISMS-P 인증기준은 101개 항목, 328개 세부 점검항목으로 구성됩니다. 이를 처음부터 내부 인력으로 대응하려면 현실적으로 전담 인력 1~2명이 6개월 이상 매달려야 합니다. 중소기업 경영진 입장에서는 비용과 시간 모두 부담입니다.

인증 의무 여부를 정확히 판단하고, 준비 범위를 사전에 좁혀두는 것이 가장 효율적인 접근입니다. 의무 대상 해당 여부 진단, 인증 범위 설정, 증적 문서 자동화까지 단계적으로 지원받고 싶다면 ComplixShield의 ISMS-P 자동화 솔루션을 통해 구체적인 로드맵을 확인하실 수 있습니다.

기본 제도와 의무 대상이 궁금하다면

ISMS-P 개요, 대상 여부, 준비 순서를 먼저 정리하고 싶다면 ISMS-P 가이드에서 한 번에 확인할 수 있습니다.

ComplixShield

ISMS-P 준비를 엑셀과 메신저 대신 한 곳에서 관리하세요

체크리스트, 증적 예시, 정책문서 초안, 주간 보고까지 이어지는 실무형 워크플로를 ComplixShield에서 바로 시작할 수 있습니다.

101개 항목 추적정책문서 템플릿증적 관리보고서 자동화
ComplixShield 살펴보기