[ISMS] ISMS 의무대상 기준 - 정보통신서비스 매출액 100억 원 이상이면 무조건 심사를 받아야한다?

정보통신서비스 부분 전년도 매출액이 100억 원이 넘으면 무조건 인증심사를 받아야 하는 것인가?

ISMS 인증심사 관련 공문을 처음 받은 기업이거나 공문과 같이 온 자료를 잘 안 읽어보는 사람(나 같은 사람)은 잘 모를 수도 있는 부분이라 간략하게 정리를 해봤다. 

 

KISA 안내 메일

 

어느 날 갑자기 이런 제목의 메일이 온다면 인증 의무 대상자로 선정되었다는 말이다. 받았다면 회사가 어떤 기준을 만족했기에 의무가 되었는지 확인할 필요가 있다. 심사를 받자니 어렵고 무섭고 두렵고 힘들고 비싸다는 생각이 들면 안 받기 위해 합법적인 방법을 찾으면 된다. (합법이란 단어가 어울리는진 모르겠군...)

 

나의 경우 여태까지 매출액 100억 원 이상에 해당하는 의무 대상자만 돼봤기에 다른 기준에 대해선 아는 것이 없다... 흐흑

KISA 안내자료: ISMS-P 인증제도 안내서(2021.7)

ISMS 인증 의무 대상자 조건을 한 번 살펴보면 위 그림과 같다. 이 중에서 '정보통신서비스 부분 전년도 매출액이 100억 원 이상인 자' 조건에 대해 알아보자.

 

정보통신서비스를 통해 매출이 100억 원이 넘는 기업에게 연초에 안내문을 발송하게 되는데, 여기서 매출액 부분 중 제외되는 항목들이 있어서 실제로 매출액 100억 원 미만이 되어 의무 대상자가 아니게 되는 경우도 발생한다.

 

예를 들어, 온라인 쇼핑몰 서비스를 제공 중인 (주)도박사에서 2020년 정보통신서비스 부분 매출액이 150억 원이었는데 매출 제외 항목을 빼보니 99억이 되었다. 이런 경우에는 의무 대상자가 아니게 된다. 그렇다면 매출로 인정되는 부분과 아닌 건 어떻게 결정할까? 가장 확실한 건 KISA 인증심사담당 부서에 문의하는 것이지만, 알려진 자료를 통해서도 확인할 수 있었다.

 

-ISMS-P 담당부서 메일: isms-p@kisa.or.kr 또는 한국인터넷진흥원 조직도에서 확인 가능

https://www.kisa.or.kr/intro/organization_View.jsp

https://www.kisa.or.kr/intro/organization_View.jsp

 

매출액 기준(예시)

쇼핑몰 매출액 제외(예시)

 

ISMS-P 인증제도 안내서(2021.7)에 따르면 위 그림처럼 쇼핑몰의 운영 형태에 따라 매출액과 매출액에서 제외되는 부분을 확인할 수 있다.

• 자체 쇼핑몰 운영: 카페 24, 메이크샵, 가비아 등 호스팅 서비스를 이용하거나 회사 자체적으로 서버를 구축해서 만든 쇼핑몰 운영하는 사업자
• 중개 쇼핑몰 이용: 오픈마켓 (스마트스토어, 11번가, 위메프, 쿠팡 등)을 이용하는 사업자
• 중개 쇼핑몰 운영: 오픈마켓 (스마트스토어, 11번가, 위메프, 쿠팡 등)을 운영하는 사업자

일반적인 온라인 쇼핑몰은 '자체 쇼핑몰 운영 + 중개 쇼핑몰 이용' 또는 '자체 쇼핑몰 운영' 둘 중 하나에 해당할 거라 생각된다. 뭐, 어느 것이던지 자체 쇼핑몰을 통한 판매액만 정보통신서비스 부분 매출액으로 인정된다.

 

그렇다면 전년도 매출액이 100억 원이 넘어서 안내 메일은 받았지만 위와 같이 계산을 했을 때 자체 쇼핑몰 매출액이 100억 원이 되지 않는다면 어떻게 해야 할까?

 

'정보보호 관리체계 인증 의무 대상자 제외 의견서'와 관련 증빙 자료를 '특정 기간'까지 제출하면 된다. (메일 또는 등기로 제출 가능, 필자의 회사에서는 증빙자료 및 의견서 스캔하여 메일로 제출함)

※'특정 기간'은 안내 메일에 명시되어있음

 

정보보호관리체계 인증 의무대상자 제외 의견서 양식 일부

'정보보호관리체계 인증 의무 대상자 제외 의견서'는 위 그림처럼 생긴 양식을 안내 메일에 첨부하여 보내준다. 작성방법은 사업자 정보 작성하고 해당되는 항목에 체크, 각종 매출액을 입력하면 된다. 양식 자체에 예시로 이러쿵저러쿵 적혀있기에 크게 어려운 건 없다. 

 

그리고 제외 의견서를 작성하면서 오픈마켓의 매출액을 확인하게 될 텐데 그 화면들을 캡처하여 출력하고 회사 직인을 찍으면 증빙자료로 사용 가능하다. (2021년 6월에 받은 KISA 답변)

※ 캡처 시 주의사항: 조회 기간과 총매출액이 나오도록 캡처를 해야 함

 

EX) 2022년에 인증심사 의무 대상자 안내 메일을 수신했다면 2021년 매출액을 기준으로 하기 때문에 2021년 1월 ~ 12월까지 매출액을 조회해야 한다. 

 

그렇게 자체 쇼핑몰 매출액이 100억 원이 되지 않도록 증빙자료를 영끌하여 제출하면 KISA 담당부서에서 검토 후 알려준다는 메일을 받을 수 있다.

 

하지만 여기엔 큰 문제가 있다.(단, 최초 및 갱신심사받는 입장에선 문제 안될 듯)

 

ISMS 인증서를 가지고 있던 회사가 의무 대상자 제외 의견서를 제출하여 인정되면 ISMS 인증 취소가 된다.(그렇게 전달받았는데 아직까지 인증서 발급현황에는 유지라고 나오는 건 뭐지.. 전산에 반영되지 않은 건가...)

 

예를 들어, (주)도박사 쇼핑몰은 2020년 최초 심사받아서 통과하고 인증서를 받았는데 2020년 매출액이 120억이지만 자체 쇼핑몰 매출액이 80억 원이라 의무 대상자에서 제외될 수 있는 조건이 되어 제외 의견서를 제출했다. 그리고 의견서가 인정되면 2020년에 받은 인증서는 취소되고, 다음에 자체 쇼핑몰 매출액이 100억 원을 넘게 될 경우 최초 심사를 다시 받아야 한다. 

 

 

요약.

온라인 쇼핑몰 서비스에 대한 ISMS 인증심사를 받을 때

정보통신서비스 총매출액이 470억이든 1,031억이든 자체쇼핑몰 매출액이 100억 원이 넘지 않으면 의무 대상자가 아니다! 

---

본 내용은 2021년 필자가 직접 경험하면서 얻은 지식입니다. 다소 부정확할 수 있습니다.