중소기업 ISMS-P 간편인증 제도 활용 전략

"ISMS-P 인증, 우리 같은 중소기업도 받아야 하나요?"

정보보호 컨설턴트에게 가장 많이 들어오는 질문 중 하나입니다. ISMS-P라는 단어를 처음 접하면, 대기업이나 금융사에나 해당되는 이야기처럼 느껴질 수 있습니다. 하지만 2023년 기준 ISMS-P 의무 인증 대상 범위는 꾸준히 확대되어 왔고, 일부 중소기업도 의무 대상에 포함됩니다.

문제는 비용과 준비 부담입니다. 101개 인증기준 항목, 328개 세부 점검항목을 모두 충족하는 정규 인증은 중소기업 입장에서 현실적으로 버거울 수 있습니다. 이 문제를 해결하기 위해 도입된 것이 바로 간편인증 제도입니다.

간편인증이 뭔가요? 정규 인증과 어떻게 다른가요?

정규 ISMS-P 인증을 건물 전체를 설계하고 시공하는 것에 비유한다면, 간편인증은 표준 설계도를 활용해 빠르게 짓는 방식입니다. 점검해야 할 항목 수 자체가 줄어드는 것이 핵심입니다.

간편인증은 두 가지 유형으로 나뉩니다.

간편인증 유형 7의2: 소기업 및 매출 300억 미만 중기업

점검 항목이 62개로 압축됩니다. 정규 인증의 세부 점검항목(328개)과 비교하면 약 81%가 줄어드는 셈입니다. 인력과 예산이 제한적인 소기업이나 초기 단계의 중소기업에 적합한 경로입니다.

간편인증 유형 7의3: 매출 300억 이상 주요 정보통신설비 미보유 중기업

점검 항목은 65개입니다. 7의2보다 소폭 많지만, 정규 인증에 비하면 여전히 대폭 간소화된 수준입니다. 어느 정도 사업 규모는 있지만 데이터센터나 주요 정보통신설비를 직접 보유하지 않은 중기업이 해당됩니다.

우리 회사는 어느 유형에 해당할까요?

판단 기준은 두 가지입니다. 매출 규모와 주요 정보통신설비 보유 여부입니다.

주요 정보통신설비란 「정보통신망법 시행령」에서 정의하는 개념으로, 쉽게 말해 자체 데이터센터나 대규모 서버 인프라를 직접 운영하는 경우를 뜻합니다. 클라우드만 사용한다면 대부분 해당되지 않습니다.

간편인증이 '쉽다'는 뜻은 아닙니다

항목 수가 줄었다고 해서 내용이 허술한 것은 아닙니다. 간편인증 역시 정보보호 관리체계(ISMS) 의 핵심 요건을 포함하고 있으며, 실제 운영 증적(로그, 정책 문서, 교육 이력 등)이 없으면 통과하기 어렵습니다.

실무에서 자주 발생하는 실수 두 가지를 짚어 드립니다.

첫 번째, 인증 신청 전에 내부 정책 문서를 갑자기 만들려는 경우입니다. 정보보호 정책과 절차는 실제로 운영된 이력이 있어야 합니다. 인증 심사 몇 주 전에 급하게 작성한 문서는 심사 위원이 쉽게 식별합니다.

두 번째, 유형 판단을 잘못해서 준비 범위를 잘못 설정하는 경우입니다. 7의2로 준비했는데 실제로는 7의3 대상이거나, 반대의 경우가 생기면 준비 기간이 크게 늘어납니다. 사전에 정확한 유형 진단이 필요한 이유입니다.

중소기업 경영진이 챙겨야 할 실질적인 포인트

인증은 담당자 혼자 끌어갈 수 없습니다. 경영진이 직접 관여해야 하는 부분이 있습니다.

경영진 검토 및 승인: ISMS-P 인증기준 1.1.1에 따라 최고경영자 또는 임원급의 정보보호 방침 승인이 요구됩니다. 서명 날짜와 실제 논의 이력이 남아 있어야 합니다.

예산과 인력 배정: 간편인증이라도 담당자가 최소 1명은 지정되어야 하고, 외부 컨설팅 또는 솔루션 도입 예산을 사전에 편성해 두는 것이 유리합니다.

연간 일정 관리: 인증 유효기간은 3년이지만, 매년 사후심사가 있습니다. 처음 인증을 받는 것보다 유지하는 것이 더 중요합니다.

3줄 요약

• 중소기업은 규모에 따라 간편인증 7의2(62개 항목) 또는 7의3(65개 항목)을 선택할 수 있습니다.
• 항목 수는 줄었지만, 실제 운영 증적이 없으면 인증 획득이 어렵습니다.
• 경영진의 공식 승인과 연간 유지 관리 체계가 인증 성패를 좌우합니다.

어디서부터 시작해야 할지 모른다면, ComplixShield가 도움이 될 수 있습니다. 간편인증 유형 자동 진단부터 증적 관리, 사후심사 대응까지 중소기업 규모에 맞게 지원합니다.