ISMS 또는 ISMS-P 인증을 준비하실 때 가장 먼저 마주하게 되는 질문은 바로 “우리 회사는 인증범위를 어디까지로 설정해야 할까?”라는 부분입니다.
실제 컨설팅 현장에서도 담당자분들이 가장 어려워하고 부담스러워하는 지점이 바로 이 인증범위 설정입니다.
범위가 잘못 설정되면 심사 과정에서 결함이 발생하거나, 구축한 관리체계를 다시 손봐야 하는 상황이 생길 수 있기 때문입니다.
이 글에서는 인증범위 설정 시 꼭 알아두셔야 할 기준들을 이해하기 쉽게 정리해드립니다.
실제 컨설팅 경험과 KISA의 공식 가이드를 바탕으로, 어떤 관점에서 범위를 정의해야 하고, 어디까지 포함해야 하는지를 자연스럽게 이해하실 수 있도록 구성했습니다.
1. 인증범위 설정의 기본 원칙
먼저, 인증범위 설정의 기본적인 방향을 이해하시면 전체 판단이 훨씬 수월해집니다.
인증범위는 단순히 “이 시스템 넣을까 말까”의 선택이 아니라,
조직의 핵심 서비스와 개인정보 보호를 얼마나 충실하게 관리할 수 있는지를 보여주는 출발점입니다.
| 기준 | 설명 |
핵심 자산
포함 원칙
| 조직의 주요 서비스 운영에 필요한 자산, 개인정보 처리에 영향이 있는 자산은 모두 포함해야 합니다. 핵심 자산이 누락되면 심사 과정에서 결함으로 이어질 가능성이 매우 높습니다. |
의무 대상자
범위 | 의무 대상자로 지정된 경우에는, 기업이 제공하는 정보통신서비스 전체를 기준으로 평가가 이루어지며 외부에 공개된 모든 정보통신서비스가 인증범위에 포함되는 것이 원칙입니다. 이는 특정 서비스만을 별도로 떼어내어 판단하는 방식이 아니라, 기업이 운영하는 전체 서비스 부문을 하나의 관리체계로 보고 적용하는 취지입니다. |
예외 사항
관리 | 특정 자산을 제외하려면 명확한 이유가 있어야 하며, 그 근거를 문서로 남겨 관리해야 합니다. |
기본 원칙을 이해하시면 “왜 이 자산이 범위에 포함되어야 하지?”라는 의문이 자연스럽게 풀립니다. 인증체계는 결국 관리체계의 완성도를 확인하는 것이므로, 핵심 자산을 중심으로 범위가 설정됩니다.
2. 인증 대상 서비스 판단 기준
ISMS/ISMS-P 의무 대상자의 경우에는 인증 범위 판단 기준이 더욱 명확합니다.
의무 대상자로 선정되면, 조직에서 제공하는 모든 외부 공개 정보통신서비스는 예외 없이 인증범위에 포함되어야 합니다.
이는 단일 서비스만 평가하는 것이 아니라, 회사가 제공하는 전체 정보통신서비스 부문에 대한 관리체계를 확인한다는 취지이기 때문입니다.
즉, A·B·C 서비스 중 하나만 매출액 또는 이용자 수 기준을 넘긴다고 해서 그 한 서비스만 인증받는 방식이 아니라,
세 서비스 모두가 인증범위에 들어가는 방식으로 운영됩니다.
또한 법령과 인증제도 안내서에서는 정보통신서비스 매출액과 일일평균 이용자 수를 서비스별이 아닌 전체 서비스 기준으로 합산하도록 규정하고 있습니다.
이로 인해 의무 대상자로 판정되면, 외부망을 통해 접근 가능한 모든 서비스가 인증범위 내에 포함됩니다.
아래 기준을 참고하시면 서비스 포함 여부를 더욱 명확하게 판단하실 수 있습니다.
기업에서 가장 많이 물어보시는 질문 중 하나가 “이 서비스도 인증범위에 들어가야 하나요?”입니다.
결론부터 말씀드리면 서비스의 공개 여부, 접근 방식, 법적 요구 여부에 따라 판단하시면 됩니다.
아래 기준을 참고하시면 훨씬 명확하게 정리하실 수 있습니다.
| 구분 | 판단 기준 |
| 외부 접근 가능 서비스 | 인터넷 등 외부망을 통해 접근이 가능한 서비스라면 반드시 인증범위에 포함해야 합니다. |
| IP 기반 접근제어 | IP 제한이 있다고 하더라도 외부망과 직접 연결되어 있다면 인증범위에 포함됩니다. |
| 모바일 서비스 | 웹뿐 아니라 모바일 앱도 동일한 기준이 적용됩니다. |
| 의무 대상자의 다수 서비스 | 의무 대상자로 판정된 경우, 기업이 운영하는 모든 외부 공개 정보통신서비스는 개별 서비스의 특성과 관계없이 모두 인증범위에 포함됩니다. |
| 비영리 서비스 | 영리 여부와 상관없이 정보통신망을 통해 제공되는 서비스라면 인증범위에 들어갑니다. |
실제로 많은 담당자분들이 “IP 막아놨으니 괜찮겠지?”라고 생각하시지만, 이는 대표적인 오해입니다. 심사에서는 서비스가 외부망과 연결되어 있는지가 핵심 기준으로 적용됩니다.
3. 정보시스템 및 자산 유형별 판단 기준
서비스를 운영하다 보면 서버, 네트워크 장비부터 보안장비까지 다양한 자산이 얽혀 있습니다. 인증범위를 정의할 때는 이러한 시스템을 유형별로 나누어 판단하는 것이 훨씬 효율적입니다.
| 자산 유형 | 포함 기준 | 제외 대상 |
| 서버 시스템 | 운영, 개발, 시험, 형상관리, 백업, 로그 등 서비스 운영에 직접.간접적으로 필요한 서버 모두 포함 | - |
네트워크 장비
| 라우터, 스위치, 무선AP, NMS 등 서비스 제공을 위해 필요한 네트워크 구성 요소 | 단순 통과 기능만 수행하는
더미 스위치 |
| 정보보호 시스템 | 방화벽, IPS/IDS, WAF, 접근제어, DRM, DLP 등 보안을 위해 필요한 모든 시스템 | - |
| 이중화 및 로드밸런싱 자산 | 동일 환경, 동일 구성일 경우 1대 기준으로 산정 가능
※ 인증 심사료 산정 시 비용을 줄일 수 있음 | - |
| 서비스 운영 관리 시스템 | 백오피스, 모니터링 시스템, 회원관리 등 서비스 운영 지원 시스템 | - |
| 내부 업무 시스템 | ERP, 그룹웨어 등 서비스와 직접 관련 없는 내부 시스템 | ERP, 그룹웨어 |
| 분석.마케팅 시스템 | 복제 DB 기반 분석/마케팅 시스템은 제외 가능하나, ISMS-P의 경우 개인정보를 활용한다면 포함될 수 있음 | - |
| API 서버 | 외부망과 연계되어 서비스 기능을 제공하는 핵심 시스템으로, 서비스 제공·연계·처리에 필수적인 모든 API 서버는 인증범위에 포함. 또한, 개인정보 조회·입력·변경·삭제 기능을 수행하는 경우 개인정보처리시스템으로 간주되어 ISMS-P 인증범위에 필수 포함
| - |
특히 ISMS-P 인증에서는 개인정보 처리 여부가 포함 판단의 핵심 기준이 되기 때문에, DW나 CRM 시스템도 개인정보를 다룬다면 인증범위에 들어갈 수 있습니다.
4. 조직, 인력 물리적 범위 설정 기준
ISMS와 ISMS-P 인증은 단순히 시스템만 평가하는 인증이 아닙니다. 실제로 서비스를 운영하고 개인정보를 처리하는 사람과 공간까지 포함하는 종합적인 관리체계라는 점을 이해하시면 훨씬 자연스럽게 범위를 판단하실 수 있습니다.
| 영역 | 포함 기준 |
| 조직 및 인력 | 서비스 운영, 관리, 개발 인력과 개인정보 처리자가 포함됩니다. |
| 업무 환경 | 위 조직이 사용하는 PC, 노트북, 스마트기기 등이 모두 범위에 포함됩니다. |
| 물리적 위치 | 전산실, IDC, 고객센터, 수탁사 등 서비스 운영 및 개인정보 처리 장소 |
| 수탁사 | 개인정보 처리 업무를 위탁받은 수탁사와 관련 장비 및 시스템 |
현장에서 가장 많이 놀라시는 부분이 바로 “사람과 공간까지 인증범위에 포함되나요?”라는 점입니다. 그러나 실제 심사에서는 인력의 단말 보안, 출입통제, 수탁사 관리까지 모두 확인하기 때문에 반드시 고려해야 하는 요소입니다.
5. 자주 묻는 인증범위 Q&A
Q1. IP로 차단된 서비스도 인증범위에 포함되나요?
외부 정보통신망과 직접 연결되어 있다면, IP 제한 여부와 관계없이 인증범위에 포함됩니다. 접근제어(IP 차단)는 보안 설정일 뿐, 서비스의 외부 공개 여부를 결정짓는 기준은 아닙니다.
Q2. 내부망 전용 서비스도 의무 대상에 포함되나요?
의무 대상자의 인증범위는 기업이 제공하는 외부 공개 정보통신서비스를 기준으로 하며, 완전히 내부망에서만 운영되고 외부 접속이 불가능한 경우에는 일반적으로 인증범위에 포함되지 않습니다.
Q3. 개발·테스트 서버도 인증범위에 포함되나요?
포함됩니다. 개발/테스트 환경은 실제 운영 서비스의 변경관리, 품질관리, 배포 프로세스와 연결되기 때문에 심사 범위에서 필수적으로 확인됩니다.
Q4. AWS, Azure 같은 클라우드 환경도 동일 기준인가요?
동일합니다. 물리 위치가 IDC인지 클라우드인지에 따라 기준이 달라지지 않으며, 서비스 운영에 사용되는 모든 자원(서버, 네트워크, 스토리지, 보안 서비스 등)은 인증범위 판단 대상입니다.
Q5. 백업 시스템, 로그 서버, DR센터도 포함되나요?
운영 서비스의 안정성과 가용성을 보장하기 위한 필수 구성요소이므로 인증범위에 포함됩니다. 단, 동일 구성의 이중화 장비는 1대로 산정할 수 있습니다.
6. 자주 묻는 인증범위 Q&A
개인정보 처리와 관련된 항목들은 모두 인증범위에 포함되는지 여부와 직접적으로 연결됩니다.
ISMS-P는 개인정보보호 관리체계이기 때문에, 개인정보를 취급하는 사람·시스템·프로세스는 예외 없이 모두 심사 대상에 해당합니다.
Q6. 개인정보를 잠깐만 조회해도 개인정보취급자인가요?
그렇습니다. 단 1회라도 개인정보에 접근할 수 있다면 개인정보취급자로 분류되며, 해당 인력의 업무 단말과 업무 환경도 인증범위에 포함됩니다. 개인정보 취급 여부는 ‘빈도’가 아니라 ‘접근 가능성’이 기준입니다.
Q7. 개인정보 흐름분석은 어디까지 해야 하나요?
ISMS-P 심사에서는 개인정보 흐름이 명확히 식별되어야 하므로, 수집 → 저장 → 이용 → 제공 → 파기까지 모든 단계를 분석해야 합니다. 또한 내부 시스템뿐 아니라 사용자 단말, 내부/외부 연계 시스템, 수탁사 처리 흐름까지 포함되며, 이는 곧 인증범위 정의의 근거가 됩니다.
Q8. 개인정보를 단 한 건만 저장해도 ISMS-P를 받아야 하나요?
ISMS-P 의무 대상 여부는 개인정보 ‘건수’가 아니라 법적 기준 충족 여부로 결정됩니다. 다만 개인정보를 1건이라도 처리한다면, 해당 데이터가 저장되는 시스템·DB·업무 단말은 모두 인증범위 판단 대상이 되므로 관리체계를 적용해야 합니다.
7. 수탁사.외부업체 관련 Q&A
Q9. 콜센터나 외주 개발사가 인증범위에 포함되나요?
포함됩니다. 개인정보 처리 업무를 위탁하거나 서비스 운영에 기여하는 외부 조직은 인증범위에 포함되며, 해당 인력·시스템·업무 환경도 함께 평가 대상입니다.
Q10. 위탁계약은 어떻게 관리해야 하나요?
모든 개인정보 처리 위탁에 대해 위탁계약서를 체결해야 하며, 관리·감독 절차(점검, 교육, 접근권한 관리 등)를 명확히 운영해야 합니다. 이는 ISMS-P 심사에서 매우 중요하게 확인되는 항목입니다.
마무리하며
인증범위 설정은 ISMS/ISMS-P 인증 준비 과정의 첫 단추이자 가장 중요한 단계입니다.
범위를 정확하게 잡아야 이후의 문서 구축, 보안 대책 수립, 운영 증적 준비 등이 흔들리지 않습니다.
각 조직의 서비스 구조와 운영 방식은 모두 다르기 때문에 정답은 하나가 아닙니다.
하지만 위 기준을 참고하시면 귀사에 맞는 최적의 인증범위를 훨씬 더 명확하게 설계하실 수 있습니다.
인증범위 설정이 어렵거나, 우리 조직 기준으로 어떻게 적용해야 할지 고민되신다면 언제든 편하게 첼라에 문의해주시기 바랍니다.
인증 준비 과정 전체를 함께 검토해드리겠습니다.
 김민수 책임 | kms@cela.kr |
ISMS 또는 ISMS-P 인증을 준비하실 때 가장 먼저 마주하게 되는 질문은 바로 “우리 회사는 인증범위를 어디까지로 설정해야 할까?”라는 부분입니다.
실제 컨설팅 현장에서도 담당자분들이 가장 어려워하고 부담스러워하는 지점이 바로 이 인증범위 설정입니다.
범위가 잘못 설정되면 심사 과정에서 결함이 발생하거나, 구축한 관리체계를 다시 손봐야 하는 상황이 생길 수 있기 때문입니다.
이 글에서는 인증범위 설정 시 꼭 알아두셔야 할 기준들을 이해하기 쉽게 정리해드립니다.
실제 컨설팅 경험과 KISA의 공식 가이드를 바탕으로, 어떤 관점에서 범위를 정의해야 하고, 어디까지 포함해야 하는지를 자연스럽게 이해하실 수 있도록 구성했습니다.
1. 인증범위 설정의 기본 원칙
먼저, 인증범위 설정의 기본적인 방향을 이해하시면 전체 판단이 훨씬 수월해집니다.
인증범위는 단순히 “이 시스템 넣을까 말까”의 선택이 아니라,
조직의 핵심 서비스와 개인정보 보호를 얼마나 충실하게 관리할 수 있는지를 보여주는 출발점입니다.
포함 원칙
범위
관리
기본 원칙을 이해하시면 “왜 이 자산이 범위에 포함되어야 하지?”라는 의문이 자연스럽게 풀립니다. 인증체계는 결국 관리체계의 완성도를 확인하는 것이므로, 핵심 자산을 중심으로 범위가 설정됩니다.
2. 인증 대상 서비스 판단 기준
ISMS/ISMS-P 의무 대상자의 경우에는 인증 범위 판단 기준이 더욱 명확합니다.
의무 대상자로 선정되면, 조직에서 제공하는 모든 외부 공개 정보통신서비스는 예외 없이 인증범위에 포함되어야 합니다.
이는 단일 서비스만 평가하는 것이 아니라, 회사가 제공하는 전체 정보통신서비스 부문에 대한 관리체계를 확인한다는 취지이기 때문입니다.
즉, A·B·C 서비스 중 하나만 매출액 또는 이용자 수 기준을 넘긴다고 해서 그 한 서비스만 인증받는 방식이 아니라,
세 서비스 모두가 인증범위에 들어가는 방식으로 운영됩니다.
또한 법령과 인증제도 안내서에서는 정보통신서비스 매출액과 일일평균 이용자 수를 서비스별이 아닌 전체 서비스 기준으로 합산하도록 규정하고 있습니다.
이로 인해 의무 대상자로 판정되면, 외부망을 통해 접근 가능한 모든 서비스가 인증범위 내에 포함됩니다.
아래 기준을 참고하시면 서비스 포함 여부를 더욱 명확하게 판단하실 수 있습니다.
기업에서 가장 많이 물어보시는 질문 중 하나가 “이 서비스도 인증범위에 들어가야 하나요?”입니다.
결론부터 말씀드리면 서비스의 공개 여부, 접근 방식, 법적 요구 여부에 따라 판단하시면 됩니다.
아래 기준을 참고하시면 훨씬 명확하게 정리하실 수 있습니다.
실제로 많은 담당자분들이 “IP 막아놨으니 괜찮겠지?”라고 생각하시지만, 이는 대표적인 오해입니다. 심사에서는 서비스가 외부망과 연결되어 있는지가 핵심 기준으로 적용됩니다.
3. 정보시스템 및 자산 유형별 판단 기준
서비스를 운영하다 보면 서버, 네트워크 장비부터 보안장비까지 다양한 자산이 얽혀 있습니다. 인증범위를 정의할 때는 이러한 시스템을 유형별로 나누어 판단하는 것이 훨씬 효율적입니다.
더미 스위치
※ 인증 심사료 산정 시 비용을 줄일 수 있음
특히 ISMS-P 인증에서는 개인정보 처리 여부가 포함 판단의 핵심 기준이 되기 때문에, DW나 CRM 시스템도 개인정보를 다룬다면 인증범위에 들어갈 수 있습니다.
4. 조직, 인력 물리적 범위 설정 기준
ISMS와 ISMS-P 인증은 단순히 시스템만 평가하는 인증이 아닙니다. 실제로 서비스를 운영하고 개인정보를 처리하는 사람과 공간까지 포함하는 종합적인 관리체계라는 점을 이해하시면 훨씬 자연스럽게 범위를 판단하실 수 있습니다.
현장에서 가장 많이 놀라시는 부분이 바로 “사람과 공간까지 인증범위에 포함되나요?”라는 점입니다. 그러나 실제 심사에서는 인력의 단말 보안, 출입통제, 수탁사 관리까지 모두 확인하기 때문에 반드시 고려해야 하는 요소입니다.
5. 자주 묻는 인증범위 Q&A
Q1. IP로 차단된 서비스도 인증범위에 포함되나요?
외부 정보통신망과 직접 연결되어 있다면, IP 제한 여부와 관계없이 인증범위에 포함됩니다. 접근제어(IP 차단)는 보안 설정일 뿐, 서비스의 외부 공개 여부를 결정짓는 기준은 아닙니다.
Q2. 내부망 전용 서비스도 의무 대상에 포함되나요?
의무 대상자의 인증범위는 기업이 제공하는 외부 공개 정보통신서비스를 기준으로 하며, 완전히 내부망에서만 운영되고 외부 접속이 불가능한 경우에는 일반적으로 인증범위에 포함되지 않습니다.
Q3. 개발·테스트 서버도 인증범위에 포함되나요?
포함됩니다. 개발/테스트 환경은 실제 운영 서비스의 변경관리, 품질관리, 배포 프로세스와 연결되기 때문에 심사 범위에서 필수적으로 확인됩니다.
Q4. AWS, Azure 같은 클라우드 환경도 동일 기준인가요?
동일합니다. 물리 위치가 IDC인지 클라우드인지에 따라 기준이 달라지지 않으며, 서비스 운영에 사용되는 모든 자원(서버, 네트워크, 스토리지, 보안 서비스 등)은 인증범위 판단 대상입니다.
Q5. 백업 시스템, 로그 서버, DR센터도 포함되나요?
운영 서비스의 안정성과 가용성을 보장하기 위한 필수 구성요소이므로 인증범위에 포함됩니다. 단, 동일 구성의 이중화 장비는 1대로 산정할 수 있습니다.
6. 자주 묻는 인증범위 Q&A
개인정보 처리와 관련된 항목들은 모두 인증범위에 포함되는지 여부와 직접적으로 연결됩니다.
ISMS-P는 개인정보보호 관리체계이기 때문에, 개인정보를 취급하는 사람·시스템·프로세스는 예외 없이 모두 심사 대상에 해당합니다.
Q6. 개인정보를 잠깐만 조회해도 개인정보취급자인가요?
그렇습니다. 단 1회라도 개인정보에 접근할 수 있다면 개인정보취급자로 분류되며, 해당 인력의 업무 단말과 업무 환경도 인증범위에 포함됩니다. 개인정보 취급 여부는 ‘빈도’가 아니라 ‘접근 가능성’이 기준입니다.
Q7. 개인정보 흐름분석은 어디까지 해야 하나요?
ISMS-P 심사에서는 개인정보 흐름이 명확히 식별되어야 하므로, 수집 → 저장 → 이용 → 제공 → 파기까지 모든 단계를 분석해야 합니다. 또한 내부 시스템뿐 아니라 사용자 단말, 내부/외부 연계 시스템, 수탁사 처리 흐름까지 포함되며, 이는 곧 인증범위 정의의 근거가 됩니다.
Q8. 개인정보를 단 한 건만 저장해도 ISMS-P를 받아야 하나요?
ISMS-P 의무 대상 여부는 개인정보 ‘건수’가 아니라 법적 기준 충족 여부로 결정됩니다. 다만 개인정보를 1건이라도 처리한다면, 해당 데이터가 저장되는 시스템·DB·업무 단말은 모두 인증범위 판단 대상이 되므로 관리체계를 적용해야 합니다.
7. 수탁사.외부업체 관련 Q&A
Q9. 콜센터나 외주 개발사가 인증범위에 포함되나요?
포함됩니다. 개인정보 처리 업무를 위탁하거나 서비스 운영에 기여하는 외부 조직은 인증범위에 포함되며, 해당 인력·시스템·업무 환경도 함께 평가 대상입니다.
Q10. 위탁계약은 어떻게 관리해야 하나요?
모든 개인정보 처리 위탁에 대해 위탁계약서를 체결해야 하며, 관리·감독 절차(점검, 교육, 접근권한 관리 등)를 명확히 운영해야 합니다. 이는 ISMS-P 심사에서 매우 중요하게 확인되는 항목입니다.
마무리하며
인증범위 설정은 ISMS/ISMS-P 인증 준비 과정의 첫 단추이자 가장 중요한 단계입니다.
범위를 정확하게 잡아야 이후의 문서 구축, 보안 대책 수립, 운영 증적 준비 등이 흔들리지 않습니다.
각 조직의 서비스 구조와 운영 방식은 모두 다르기 때문에 정답은 하나가 아닙니다.
하지만 위 기준을 참고하시면 귀사에 맞는 최적의 인증범위를 훨씬 더 명확하게 설계하실 수 있습니다.
인증범위 설정이 어렵거나, 우리 조직 기준으로 어떻게 적용해야 할지 고민되신다면 언제든 편하게 첼라에 문의해주시기 바랍니다.
인증 준비 과정 전체를 함께 검토해드리겠습니다.
김민수 책임 | kms@cela.kr