UX 기획 관점에서의 개인정보보호와 ISMS-P 인증

최근 흥미로운 기사를 접했습니다.

 

인천 영종도의 인스파이어 리조트가 자랑하는 실내 수영장 '스플래시 베이'의 워터슬라이드가 개장 후 9개월간 운영되지 못했다는 소식이었습니다.

 

화려한 시설을 갖추고도 정작 핵심적인 즐길 거리를 제공하지 못한 이유는 무엇일까요?

 

메가경제 - 인스파이어리조트, 수영장 '스플래시베이'오픈 9개월 만에 '개점휴업'

인스파이어리조트, 수영장 ′스플래시베이′오픈 9개월 만에 ′개점휴업′

 

 

 

문제는 '허가'에 있었습니다.

 

해당 시설은 '운동시설'로 허가를 받았지만, 워터슬라이드를 운영하기 위해서는 '유원시설' 허가가 필요했습니다.

 

이미 지어진 건물의 용도를 변경하는 것은 절차가 복잡하고 많은 시간이 소요되는 일이기 때문에

 

첫 단추를 잘못 꿴 대가는 생각보다 컸습니다.

 

 

 

이 기사는 건축과 그에 따른 규제 및 허가에 대한 내용이지만,

 

우리가 앱 서비스를 만드는 과정을 종종 건축에 비유하는 것을 생각해보면

 

UX 기획 관점에서도 분명 배울 것이 있을 것입니다.

 

 

 

그럼

 

 

 

UX 기획 관점에서는 어떤 규제가 존재할까요?

 

바로 '개인정보보호 규제'와 'ISMS-P 인증'을 들 수 있습니다.

 

이번 글에서는 앱 서비스의 '허가'와도 같은 ISMS-P 인증이 왜 UX 기획 단계부터 고려되어야 하는지,

 

그리고 기획 실무 관점에서는 무엇을 준비해야 하는지에 대해 구체적으로 살펴보겠습니다.

 

 

 

그렇다면 먼저

 

ISMS-P 인증이란 무엇일까요?

 

ISMS-P(Information Security Management System-Personal Information) 인증이란,

 

회사가 운영하는 시스템 또는 서비스가 정보보호 및 개인정보보호를 위해 국가가 정한 기준에 맞는 체계를 수립, 관리, 운영하는지를 종합적으로 심사하여 인증하는 제도입니다.

 

KISA의 ISMS-P 인증제도 안내서(2024.07)

 

 

 

워터슬라이드에 '유원시설' 허가가 필요했다면,

 

일정 규모 이상 또는 특정 조건의 서비스에는 'ISMS-P 인증'이라는 허가서가 필요합니다.

 

 

 

ISMS-P 인증을 위한 심사 항목은 크게 3개 분야, 101개 항목으로 구성됩니다.

• 관리체계 수립 및 운영 (16개): 정보보호 정책, 조직, 자산관리, 위험관리, 교육 등
• 보호대책 요구사항 (64개): 물리/기술적 보안(접근통제, 암호화, 백업 및 복구 등), 운영 보안, 침해사고 예방 및 대응 등
• 개인정보 처리 단계별 요구사항 (21개): 개인정보 수집·이용·제공·파기, 정보주체 권리보장, 개인정보 유출 통지 및 신고 등

ISMS-P 인증 시 필수 증적 자료
- 정보보호 및 개인정보보호 관리체계 명세서
- 정보보호 및 개인정보보호 관리체계 운영현황
- 정보보호 및 개인정보보호 관련 각종 정책, 지침, 매뉴얼
- 위험 식별 평가 보고서, 위험 조치 계획서
- 관리체계 점검 수행 결과 등
- 자산목록대장
- 네트워크 구성도
- 점검 및 관리대장
- 관리체계 분야별 이행 증적

 

사실 ISMS-P 인증은 대부분의 경우 보안팀이나 개발팀에서 처리하지만, 

 

다음 두 가지 이유로 인해 UX 기획에서도 고려가 꼭 필요합니다.

 

 

 

첫째, 규제를 알아야 명확한 UX 설계가 가능하다.

 

회원가입, 마이페이지, 회원 탈퇴 등 서비스의 가장 기본적인 플로우는 모두 개인정보보호 규제의 영향을 직접적으로 받습니다.

 

이를 모르고 화면을 설계하면, 나중에 법무 검토나 인증 심사 단계에서 기획 전체를 뒤엎어야 하는 불상사가 발생할 수 있습니다.

 

 

 

둘째, '화면 설계서'가 인증의 증적 자료가 됩니다.

 

ISMS-P 인증 시에는 정책과 지침을 실제로 이행하고 있다는 증거, 즉 '증적 자료' 제출이 필수입니다.

 

UX 기획자가 작성하는 개인정보처리방침, 개인정보 흐름도, 동의를 받는 화면 설계 등 모든 산출물이 바로 이 증적 자료가 됩니다.

 

예를 들어, BO(Back-Office) 시스템 기획 시 '특정 IP만 접근 허용', 'OTP 등 2차 인증 필수' 같은 요구사항을 명시하는 것 자체가 중요한 증적 자료가 되는 것입니다.

 

 

 

따라서 이를 고려하지 못한 잘못된 기획은 단순 재작업을 넘어,

 

서비스 오픈 지연 및 인증 실패로 인한 막대한 손실을 초래할 수 있습니다.

 

 

 

그렇다면, UX 기획 관점에서 ISMS-P의 어느 항목을 이해하고 있어야 할까요?

 

바로 '개인정보 처리 단계별 요구사항(21개)' 입니다.

 

해당 항목이 서비스의 흐름과 화면을 설계하는 UX 기획 실무에 결정적인 영향을 미치기는 부분이기 때문입니다.

 

 

 

이를 실무 관점에서 구체적인 체크리스트로 정리해보면 다음과 같습니다. 

 

 

 

# 개인정보보호 관련 UX 기획 체크리스트 

• ✅ 만 14세 이상 확인:
  • 만 14세 미만 아동의 경우, 법정대리인(보호자)의 동의를 받는 별도 프로세스를 기획해야 합니다.
• ✅ 약관 및 방침 고지:
  • 서비스이용약관과 개인정보처리방침을 사용자가 명확히 인지할 수 있도록 화면에 고지해야 합니다.
  • (Tip: 개인정보처리방침은 다른 텍스트보다 굵게 하거나 색상을 달리하여 구분하는 것이 좋습니다.)
• ✅ 명확한 동의 절차:
  • 개인정보 수집·이용, 제3자 제공, 처리 위탁 등 동의 항목은 각각의 목적을 명확히 설명하고 '별도 동의'를 받아야 합니다.
  • 개인정보처리방침과 그에 따른 각 개인정보 수집, 이용, 제공 등에 대한 필수/선택 동의 항목은 별도임을 이해해야 합니다.
  • 특히 마케팅 정보 수신과 같은 '선택' 항목은 사용자가 직접 체크해야만 동의되도록 설계해야 합니다. (전체 동의에 포함 금지)
• ✅ 주민등록번호 수집 금지:
  • 법령에 근거가 없는 한, 주민등록번호는 절대 수집해서는 안 됩니다. 해당 화면과 프로세스는 즉시 폐기해야 합니다.
• ✅ 민감·고유식별정보 수집 주의:
  • 여권번호, 운전면허번호, 건강 정보 등 민감하거나 고유한 정보를 수집해야 한다면, 반드시 법령 근거를 확인하고 법무 검토를 거쳐야 합니다.
• ✅ 데이터 최소화 원칙:
  • "혹시 모르니 일단 수집하자"는 생각은 금물입니다. 서비스 운영에 꼭 필요한 최소한의 정보만 수집하고, 활용되지 않는 정보는 과감히 삭제해야 합니다.
• ✅ 최종 산출물:
  • 개인정보 흐름도 작성: 기획이 완료되면, 어떤 정보가(What) 어디서(Where) 수집되어 어떻게(How) 이용/저장/파기/제공되는지를 한눈에 볼 수 있는 '개인정보 흐름도'를 작성하여 개발팀 및 관련 부서와 공유합니다.

 

 

추가로 개인정보보호와 관련하여 다음을 참고하면 도움이 됩니다.

• 개인정보 필수동의 관행 개선 (2024-09)
• 개인정보 처리 동의 안내 가이드 (2022-03)

 

 

 

UX 기획 시 우리가 설계하는 화면 하나하나, 플로우 하나하나가 중요한 자료라는 사실을 기억해야 합니다.

 

기획의 첫 단계부터 '신뢰'라는 가치를 설계에 녹여낼 때,

 

우리는 비로소 재작업의 위험 없이 사용자가 마음 놓고 즐길 수 있는

 

진짜 '잘 만든' 서비스를 선보일 수 있을 것입니다.