[이코노미스트 김정훈 기자] 비바리퍼블리카(토스)의 세금신고·환급 지원 서비스를 운영하는 자회사 토스인컴(대표 최성희)이 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득했다고 1일 밝혔다. 국내 세무 플랫폼 업계에서 ISMS-P 인증을 받은 것은 토스인컴이 처음이다.

ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 고시한 기준에 따라 한국인터넷진흥원(KISA)이 운영하는 국내 최고 수준의 정보보호·개인정보보호 관리체계 인증제도다. 인증을 받기 위해서는 ▲관리체계 수립 및 운영 ▲보호대책 요구사항 ▲개인정보 처리 단계별 요구사항 등 총 101개 통제 항목을 충족해야 한다.

토스인컴은 종합소득세 환급 조회 및 신고 도움 서비스와 연말정산 미리보기 등을 제공하고 있으며, 세금·소득 정보 등 민감한 개인정보를 처리하는 플랫폼이다. 2025년 말 기준 회원 수가 1300만명에 달하는 만큼 개인정보 보호와 보안 체계 구축의 중요성이 꾸준히 제기돼 왔다.

이번 인증은 정부가 ISMS-P 인증제 실효성 강화에 나선 시점에 이뤄졌다는 점에서도 의미가 있다는 평가다. 과학기술정보통신부와 개인정보보호위원회는 지난 4월 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표하고, 대규모 개인정보처리자에 대한 ISMS-P 인증 의무화와 심사·사후관리 강화 방안을 추진하고 있다.

토스인컴은 의무화 시행 이전에 자율적으로 인증을 획득하며 세금·소득 정보와 같은 고위험 개인정보를 다루는 사업자로서 보안 책임을 선제적으로 이행했다는 설명이다.

토스인컴은 2025년 7월부터 약 10개월 동안 인증 취득 작업을 진행했다. GAP 분석을 시작으로 정보보호 정책 수립, 보안 인프라 구축, 운영 증적 확보, 예비심사 및 본심사, 이행점검 등을 거쳐 최종 인증을 획득했다.

이 과정에서 회사 전반의 정보보호 및 개인정보 관리체계를 재정비하고 보안 인프라도 고도화했다. 특히 제로 트러스트(Zero Trust) 보안 아키텍처 기반 인프라 구축과 함께 SIEM 기반 통합 보안관제 체계를 마련했으며, AI 및 사이버 위협 인텔리전스(CTI)를 연계한 24시간 365일 위협 탐지·대응 체계도 구축했다.

황지상 토스인컴 정보보호최고책임자(CISO)는 "이번 ISMS-P 인증은 토스인컴이 관리하는 민감정보에 대한 보안 역량을 객관적으로 검증받은 결과"라며 "1300만 이용자는 물론 정책 당국과 유관 기관이 신뢰할 수 있는 수준의 보안 환경을 지속적으로 유지해 나가겠다"고 말했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지