요약 최근 3년간 인증기업 중 **179개사(약 14%)**에서 침해사고가 발생
SKT, 쿠팡 등 대형 인증기업의 해킹이 잇따르면서 "ISMS가 있어도 뚫린다"는 비판이 커짐
서류 제출 위주의 스냅샷 심사로는 실제 보안 수준을 담보할 수 없다는 판단 하에 제도 전반 개편
1. 인증 의무 확대 및 기준 차등화('27년~)
ISMS-P를 자율에서 의무로 전환하고, 인증을 강화·표준·간편 3단계로 나눈다.
매출 1조 이상 ISP·IDC, 매출액 3조이상 정보통신서비스 제공자 등 고위험 사업자에는 강화 인증기준(20개 추가)을 별도 적용한다. 2. 현장실증 심사로 전환('27년~)
서면 확인에서 벗어나 심사원이 현장에서 직접 시연·검증하는 방식으로 바뀐다.
취약점 점검 전문인력을 심사팀에 투입하고, 점검 자산도 기존 10대에서 최대 500대로 확대한다. 3. 사후관리 강화 및 인증취소 도입('26년 하반기~)
중대 침해사고 발생 시 인증 심사를 잠정 중단한다.
EoS 장비 운영·보안패치 미적용 등 중대결함 미조치 시 인증취소가 가능해진다.
제도 시행 이래 취소 사례가 없었던 관행을 바꾸는 것이 핵심이다. 4. 심사기관·심사원 관리 강화('27년~)
심사 후 기관 신뢰도를 평가해 배분량에 반영하고, 기준 미달 시 업무정지·지정취소가 가능해진다.
심사원 처우도 SW기술자 평균임금에 연동해 현실화한다. | 
게시일 : 2026-04-10
개인정보위와 과기정통부에서 ISMS/ISMS-P 인증제에 대한 실효성을 강화하기 위한 대책을 발표하였습니다.
기존 인증심사 수준에서 한층 더 강화될 수 있도록 제도를 개선하고 있다고 합니다.
또한 강화된 인증절차에 발맞춰 개정된 정보통신망법, 개인정보보호법 등 주요 내용들이 26년 9월, 10월 각각 시행될 예정입니다.
기존 ISMS 인증을 유지중이거나 신규로 취득하는 기업에서는 좀더 철저한 준비가 필요해보이네요.
업무에 참고하시기 바랍니다.
[목차]
Ⅰ. 추진 배경 - 제도 현황 및 문제점
Ⅱ-1. 인증 의무대상 확대 및 기준 강화
Ⅱ-2. 인증심사 방식 강화
Ⅱ-3. 인증 사후관리 강화
Ⅱ-4. 심사기관·심사원 전문성 강화
Ⅲ. 추진 일정
요약
최근 3년간 인증기업 중 **179개사(약 14%)**에서 침해사고가 발생
SKT, 쿠팡 등 대형 인증기업의 해킹이 잇따르면서 "ISMS가 있어도 뚫린다"는 비판이 커짐
서류 제출 위주의 스냅샷 심사로는 실제 보안 수준을 담보할 수 없다는 판단 하에 제도 전반 개편
1. 인증 의무 확대 및 기준 차등화('27년~)
ISMS-P를 자율에서 의무로 전환하고, 인증을 강화·표준·간편 3단계로 나눈다.
매출 1조 이상 ISP·IDC, 매출액 3조이상 정보통신서비스 제공자 등 고위험 사업자에는 강화 인증기준(20개 추가)을 별도 적용한다.
2. 현장실증 심사로 전환('27년~)
서면 확인에서 벗어나 심사원이 현장에서 직접 시연·검증하는 방식으로 바뀐다.
취약점 점검 전문인력을 심사팀에 투입하고, 점검 자산도 기존 10대에서 최대 500대로 확대한다.
3. 사후관리 강화 및 인증취소 도입('26년 하반기~)
중대 침해사고 발생 시 인증 심사를 잠정 중단한다.
EoS 장비 운영·보안패치 미적용 등 중대결함 미조치 시 인증취소가 가능해진다.
제도 시행 이래 취소 사례가 없었던 관행을 바꾸는 것이 핵심이다.
4. 심사기관·심사원 관리 강화('27년~)
심사 후 기관 신뢰도를 평가해 배분량에 반영하고, 기준 미달 시 업무정지·지정취소가 가능해진다.
심사원 처우도 SW기술자 평균임금에 연동해 현실화한다.
출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11976#LINK