소노스테이션 "정부 공인 최고 보안인증 ISMS-P 획득…상조 톱5 유일"

최호경기자

입력2026.01.27 08:59

시계아이콘01분 19초 소요

상조업계서 ISMS-P 자율 취득한 사실상 유일 사례
상위 인증 ISMS-P 취득 시 ISMS 요건 충족으로 간주
최성훈 대표 CISO·CPO 겸직…보안 전담 'IS팀' 운영

"정부가 공인한 최고 수준의 보안인증 ISMS-P를 계속 보유 중입니다."

교원그룹 해킹사고 여파로 최근 상조업계 전반에 정보보안 부실 문제가 제기된 가운데 국내 상조 브랜드 '소노아임레디'를 운영하는 소노스테이션은 27일 이같이 밝혔다.

소노스테이션은 2025년 3월 기준 웅진프리드라이프, 보람그룹, 교원라이프, 더케이예다함과 함께 업계 전체 선수금 10조원의 70% 이상을 차지하며 '톱5' 구도를 형성하고 있다. 최근 '상위 5개사 모두 정부의 ISMS(정보보호 관리체계) 인증을 받지 않았다'는 지적이 나오자, 소노스테이션 측은 ISMS와 ISMS-P(정보보호 및 개인정보보호 관리체계)의 관계를 혼동해 발생한 오해라고 반박했다.

소노스테이션 "정부 공인 최고 보안인증 ISMS-P 획득…상조 톱5 유일"

한국인터넷진흥원 'ISMS-P 연도별 인증서 발급현황에서 소노스테이션의 인증번호, 인증범위, 유효기간 등을 확인할 수 있다. 한국인터넷진흥원

소노스테이션은 2022년 ISMS-P 인증을 처음 취득한 뒤 지난해 8월 재인증을 통해 인증 유효기간을 2028년 8월까지 갱신했다. 인증 범위에는 소노아임레디를 비롯해 하이브리드 서비스, 버킷마켓, 의전서비스, 영업지원 서비스, 콜센터 등 고객 업무 전반이 포함됐다.

ISMS와 ISMS-P 인증은 대표적인 국내 정보보호 법정 인증 제도다. 정보통신망법 제47조 등에 따라 과학기술정보통신부와 개인정보보호위원회가 정책 수립을, 한국인터넷진흥원(KISA) 등이 인증기관으로서 운영·관리를 맡고 있다. 한국정보통신진흥협회(KAIT) 등 4개 지정 기관은 인증 심사를 수행하고 있다.

ISMS 인증은 의무 대상자와 자율 신청자로 나뉜다. 정보통신망서비스 제공자(ISP), 집적정보통신시설 사업자(IDC), 정보통신서비스 매출액이나 이용자 수 등 일정 요건을 충족하는 기업은 ISMS 인증을 의무적으로 받아야 한다. 취득 시 인증 유효기간은 3년이다.

ISMS-P 인증과 ISMS 인증의 개요. 한국인터넷진흥원

ISMS-P는 ISMS보다 상위 인증이다. ISMS가 물리적·관리적 보안 체계를 중심으로 정보보호 관리체계를 평가한다면, ISMS-P는 여기에 개인정보 수집·이용·제공·파기 등 개인정보 처리단계별 과정의 안전성까지 통합해 평가한다. 인증 기준 항목 수도 차이가 난다. ISMS는 80개지만, ISMS-P는 101개다. 인증 심사 수수료 역시 ISMS는 800만~1400만원 수준이나 ISMS-P는 1000만~1800만원으로 더 높다. 다만, 의무 대상자라도 ISMS-P까지 취득할지는 자율에 맡긴다. ISMS-P 취득 시, ISMS 인증을 받은 것으로 간주한다.

국내 상조업계에서는 현행법상 ISMS 인증 의무 대상에 해당하는 기업 사례가 사실상 없는 것으로 알려졌다. 소노스테이션의 ISMS-P 취득은 그래서 이례적이란 평가다. 소노스테이션 측은 "고객의 개인정보 보호를 최우선 가치로 두고 자발적으로 ISMS-P 인증을 업계 최초로 취득했다"고 했다.

ISMS-P 인증 기준 항목 개수. 한국인터넷진흥원

소노스테이션은 현재 정보보호 담당부서 'IS팀'을 운영 중이다. 최성훈 대표가 CISO(최고정보보호책임자)와 CPO(개인정보보호책임자)를 겸직하고 있다. 랜섬웨어나 개인정보 침해 사고에 대비해 상시 모니터링 체계를 구축하고, 탐지·차단·복구가 가능한 대응 체계를 갖췄다는 설명이다. 사고 유형별 대응 매뉴얼을 마련하는 한편, 정기적인 자체 점검과 모의 훈련을 통해 실제 사고 상황에 대비하고 있다고 했다.