개정 개인정보보호법에 공공·민간 주요 개인정보처리자에 대한 ISMS-P 인증 의무화가 포함됐다. ISMS-P 의무화 관련 규정은 2027년 7월 1일부터 시행될 예정이다. Korea
그리고 동시에, ISMS-P 심사 방식 자체도 바뀐다.
2026년부터 ISMS-P 심사가 기존의 서류 중심에서 실제 시스템을 점검하는 실증 심사로 전환된다. 보안 정책과 실제 운영 간의 정합성을 더욱 엄격하게 평가하게 된다. Lexology
이 두 가지가 동시에 진행된다는 것이 핵심이다. 의무화 대상이 늘어나는데, 심사 기준은 더 엄격해진다.
실증 심사가 기존 심사와 다른 점
기존 ISMS-P 심사는 정책 문서, 절차서, 운영 기록을 검토하는 방식이 중심이었다. 담당자가 준비한 서류를 심사원이 확인하고, 항목별 충족 여부를 판단하는 구조다.
실증 심사는 다르다. 시스템에 직접 접근해서 설정값을 확인하거나, 실제 접근 로그를 들여다보거나, 권한 체계가 문서와 일치하는지를 시스템 단에서 검증한다.
"내부관리계획에 최소 권한 원칙이 명시되어 있습니다"라고 제출하는 것과, "지금 이 계정의 실제 권한을 확인해보겠습니다"라는 심사는 완전히 다른 수준을 요구한다.
준비 안 된 조직에서 드러날 문제 유형
실증 심사로 전환되면 가장 먼저 드러날 취약 지점들이 있다.
첫째, 퇴직자·전직자 계정 잔존이다. 정책에는 '퇴직 즉시 계정 삭제'라고 적혀 있지만, 실제로는 수개월째 살아있는 계정이 남아있는 경우가 적지 않다.
둘째, 접근권한과 실제 업무 범위의 불일치다. 직급이나 부서가 바뀌었는데 권한이 회수되지 않아 이전 업무의 시스템에 접근 가능한 상태가 방치되는 경우다.
셋째, 로그 보관과 무결성이다. 접속 로그가 남는다고 적혀 있지만 실제로는 일부 시스템에서 로그가 비어 있거나, 보관기간이 지침보다 짧은 경우가 있다.
넷째, 처리방침과 실제 운영의 괴리다. 처리방침에는 보유기간이 3년으로 적혀 있는데, 실제 DB에는 5년 이상 된 데이터가 남아있는 경우다.
2027년 7월까지 실질적으로 남은 시간
의무화 시행은 2027년 7월이지만, 인증 심사 일정과 준비 기간을 감안하면 실질적으로 준비를 시작해야 하는 시점은 훨씬 빠르다.
인증 심사는 신청부터 결과 통보까지 보통 3~6개월이 걸린다. 미비한 통제 항목을 보완하고 재심사를 받을 경우 추가 시간이 필요하다.
지금부터 자체 갭 분석(Gap Analysis)을 시작해두는 게 가장 현실적인 준비다. 서류 기준이 아닌 실제 시스템 운영 기준으로 현황을 들여다봐야 한다. 정책 문서와 실제 설정값을 비교하는 작업이 시작점이다.
심사원이 시스템을 열기 전에 내가 먼저 들여다보는 것. 그게 실증 심사 시대의 준비 방식이다.