토스인컴, 세무 플랫폼 업계 최초 ISMS-P 인증 획득

<사진=토스뱅크>

비바리퍼블리카(토스)의 세금신고 및 환급 도움 서비스를 운영하는 자회사 토스인컴(대표 최성희)이 정보보호 및 개인정보보호 관리체계 인증인 ISMS-P를 획득했다고 1일 밝혔다. 이는 국내 세무 플랫폼 업계 최초의 ISMS-P 인증 사례다.

ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 고시한 기준에 따라 한국인터넷진흥원(KISA)이 운영하는 국내 최고 권위의 정보보호·개인정보보호 관리체계 인증제도다. 인증 획득을 위해서는 ▲관리체계 수립 및 운영 ▲보호대책 요구사항 ▲개인정보 처리 단계별 요구사항 등 총 101개 통제 항목을 통과해야 한다.

토스인컴은 종합소득세 환급 조회 및 신고 도움 서비스를 비롯해 연말정산 미리보기 등 민감정보로 분류되는 세금·소득 등의 개인정보를 다루는 플랫폼이다. 2025년 말 기준 회원 수가 1,300만 명에 달하는 만큼, 민감 데이터를 안전하게 관리할 수 있는 국가 인증 수준의 보안 체계 구축이 강하게 요구된다.

특히 이번 인증 획득은 정부가 ISMS-P 인증제의 실효성 강화를 추진하는 시점에 이뤄졌다는 점에서 의미가 크다. 과학기술정보통신부와 개인정보보호위원회는 지난 4월 「정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안」을 발표했다. 이에 따라 매출액과 개인정보 처리 규모 등을 고려해 2027년 시행을 목표로 대규모 개인정보처리자에 대한 ISMS-P 인증 의무화, 인증 기준 차등화, 심사 및 사후관리 강화를 추진 중이다. 토스인컴은 이러한 의무화 시점에 앞서 자율적으로 인증을 획득함으로써, 세금·소득 등 고위험 개인정보를 다루는 사업자로서의 책임을 선제적으로 이행했다.

토스인컴은 2025년 7월부터 약 10개월에 걸쳐 인증 획득을 준비했다. GAP 분석을 시작으로 ▲정보보호 정책·지침 제정 ▲보안 인프라 설계·구축 ▲운영 증적 확보 ▲예비심사 및 본심사 ▲이행점검 ▲인증위원회 상정 등 전 과정을 거쳐 인증을 받았다.

이 과정에서 토스인컴은 정보보호 및 개인정보 관리체계를 전사적으로 내재화하는 한편, 회사 전반의 보안 인프라를 새롭게 설계·구축했다. 특히 ▲제로 트러스트(Zero Trust) 보안 아키텍처 기반의 인프라 구축 ▲SIEM 기반 통합 보안관제 체계 구축 및 AI·사이버 위협 인텔리전스(CTI) 연계를 통한 24시간 365일 위협 탐지·대응 체계 마련 등 핵심 영역의 보안 수준을 한층 강화했다.

토스인컴 황지상 정보보호최고책임자(CISO)는 “이번 ISMS-P 인증은 토스인컴이 다루는 민감 정보에 대한 책임을 외부 기준으로 엄격히 검증받은 결과”라며 “1,300만 이용자는 물론 정책 당국과 유관 기관도 신뢰할 수 있는 업계 최고 수준의 보안 환경을 유지하는 데 최선을 다하겠다”고 덧붙였다.