콘텐츠로 이동

ISO 27001 vs ISMS-P — 인증 선택 가이드

Status: Draft v0.1
Owner: TBD
Last reviewed: 2026-05

emocog가 정보보호·개인정보 인증을 받는다면 어느 쪽이 더 적합한지 판단하기 위한 비교 자료.

한 줄 결론

국내 의료기관·보험사·공공 사업이 주력이면 ISMS-P, 해외(미국·EU) 진출 비중이 크면 ISO 27001 (+27701) 우선 검토.

비교표

항목 ISO 27001 ISMS-P
발급 기관 국제 인증기관 (BSI, DNV, SGS 등) 한국인터넷진흥원(KISA)
표준 출처 ISO/IEC KISA + 개인정보위 공동
통제 항목 수 Annex A 93개 102개 (관리체계 16 + 보호대책 64 + 개인정보 22)
개인정보 통제 약함 (별도 ISO 27701 추가 필요) 내장 (P 영역)
의료/건강 데이터 권장 수준 사실상 표준
국내 입찰·병원 납품 보조 자료 유리 (의무화된 분야 존재)
해외 진출 유리 (글로벌 인지도) 약함
심사 주기 사후심사 1년, 갱신 3년 사후심사 1년, 갱신 3년
인증 의무 대상 자율 일정 규모 이상은 의무
비용 (스타트업 기준) 3,000~6,000만원 4,000~8,000만원
컨설팅 기간 4~6개월 5~8개월

비용은 외부 컨설팅 + 심사 수수료 + 내부 인건비 제외 추정치. 실제는 회사 규모·범위에 따라 변동.

ISMS-P 인증 의무 대상 (2024 기준)

다음 중 하나에 해당하면 ISMS 또는 ISMS-P 인증이 법적 의무:

  • 정보통신서비스 부문 전년도 매출액 100억 이상
  • 전년 말 직전 3개월 일평균 이용자 100만명 이상
  • 연간 매출액·세입 1,500억 이상 (병원·학교 일부 포함)
  • 「정보통신망법」 제47조에 따른 의무 대상

emocog는 현재 의무 대상 아님 (성장 시점에 재평가 필요)

의사결정 매트릭스

                      국내 비중 ↑                   해외 비중 ↑
                   ─────────────────             ─────────────────
의료/건강 데이터    ISMS-P (강력 추천)             ISO 27001 + 27701
일반 SaaS          ISMS                           ISO 27001
B2B 엔터프라이즈    ISMS-P                         ISO 27001
공공 입찰 참여      ISMS-P (필수에 가까움)         ISO 27001 보완

emocog 상황 분석

요소 현황 영향
주력 시장 국내 의료기관·임상시험 ISMS-P 가산점
데이터 유형 건강정보 (민감정보) ISMS-P 표준
매출 단계 100억 미만 (가정) 인증 의무 아님 (자율)
해외 계획 검토 단계 ISO 27001 후순위
식약처 의료기기 SW 일부 적용 사이버보안 가이드 + ISMS-P 호환 좋음
정부·공공 사업 잠재적 ISMS-P 거의 필수

권장: ISMS-P 우선, 해외 진출 본격화 시 ISO 27001 추가.

단계적 접근 (실용 권장)

Phase A (지금)           본 repo의 Phase 0~2 진행 — 인증 무관
Phase B (6~12개월 후)   ISMS-P 사전 GAP 분석 (외부 컨설팅 단발성)
Phase C (12~18개월 후)  ISMS-P 인증 신청 → 심사 → 인증
Phase D (24~36개월 후)  필요 시 ISO 27001 추가 (해외용)

이중 인증 시 통제항목의 80% 이상이 중복되므로 추가 부담은 통상 6~8주 분량.

인증 외 옵션

인증 받지 않더라도 다음으로 신뢰도 확보 가능:

  • 준ISMS 자체 선언 — 본 repo의 산출물로 self-attestation
  • SOC 2 Type II — 미국 B2B SaaS 사실상 표준 (감사 비용은 ISO와 유사)
  • HIPAA 준수 선언 — 미국 헬스케어 진출 시
  • GDPR 준수 선언 — EU 진출 시

의사결정 시점

다음 트리거 중 하나 발생 시 즉시 인증 진행 여부 재검토:

  • 매출 100억 도달
  • 일평균 이용자 100만 도달
  • 종합병원·대학병원 본격 납품 시작
  • 보험사·공공기관 입찰 참여 결정
  • 시리즈 B 이상 투자 유치 시 실사 요구
  • 해외 파트너십 LOI 체결

참고

  • KISA ISMS-P 안내: https://isms.kisa.or.kr
  • ISO 27001 한국 인증기관: BSI Korea, DNV Korea, 한국품질재단(KFQ) 등
  • 로드맵: docs/overview/00-roadmap.md