토스인컴, 세무 플랫폼 첫 ISMS-P 인증 획득

[더파워 이경호 기자] 토스인컴이 정보보호와 개인정보보호 관리체계에 대한 국가 인증을 확보했다. 토스인컴은 정보보호 및 개인정보보호 관리체계 인증인 ‘ISMS-P’를 획득했다고 1일 밝혔다.

ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 고시한 기준에 따라 한국인터넷진흥원이 운영하는 정보보호·개인정보보호 관리체계 인증제도다. 인증을 받기 위해서는 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리 단계별 요구사항 등 총 101개 통제 항목을 충족해야 한다.

토스인컴은 이번 인증이 국내 세무 플랫폼 업계 첫 ISMS-P 인증 사례라고 설명했다. 토스인컴은 종합소득세 환급 조회 및 신고 도움 서비스, 연말정산 미리보기 등 세금·소득 관련 개인정보를 처리하는 플랫폼을 운영하고 있다.

회사에 따르면 2025년 말 기준 회원 수는 1300만명이다. 세금과 소득 정보 등 민감한 개인정보를 다루는 만큼, 토스인컴은 국가 인증 수준의 보안 관리체계를 갖추는 데 초점을 맞춰 왔다.

이번 인증은 정부가 ISMS-P 인증제 실효성 강화를 추진하는 시점에 이뤄졌다. 과학기술정보통신부와 개인정보보호위원회는 지난 4월 정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안을 발표하고, 2027년 시행을 목표로 대규모 개인정보처리자에 대한 ISMS-P 인증 의무화와 인증 기준 차등화, 심사·사후관리 강화를 추진하고 있다.

토스인컴은 지난해 7월부터 약 10개월간 인증 획득을 준비했다. GAP 분석을 시작으로 정보보호 정책과 지침 제정, 보안 인프라 설계·구축, 운영 증적 확보, 예비심사와 본심사, 이행점검, 인증위원회 상정 절차를 거쳤다.

보안 인프라 개선도 병행했다. 토스인컴은 제로 트러스트 보안 아키텍처 기반 인프라를 구축하고, SIEM 기반 통합 보안관제 체계와 AI·사이버 위협 인텔리전스 연계를 통해 24시간 365일 위협 탐지·대응 체계를 마련했다고 설명했다.

황지상 토스인컴 정보보호최고책임자는 “이번 ISMS-P 인증은 토스인컴이 다루는 민감 정보에 대한 책임을 외부 기준으로 엄격히 검증받은 결과”라며 “1300만 이용자는 물론 정책 당국과 유관 기관도 신뢰할 수 있는 보안 환경을 유지하는 데 최선을 다하겠다”고 말했다.

이경호 더파워 기자 lkh@thepowernews.co.kr