2025년과 2026년의 근본적인 제도 변화#
2026년 4월 28일부터는 기존의 자율 인증 체계가 폐지되고 정보통신망법에 근거한 법정 인증 제도로 전환됩니다. 이는 단순한 서식 변경이 아니라 사업자의 자본금, 인력, 보안체계, 운영기록 전반에 걸쳐 국가 차원의 법정 기준을 적용받는 전면 개편입니다. 기존 등록증이 있어도 경과기간(6개월) 내에 새로운 기준에 맞춰 재인증을 받지 않으면 사업 운영 자체가 중단될 수 있습니다.
| 구분 | 2025년까지 체계 | 2026년 4월 28일 이후 |
|---|---|---|
| 인증 성격 | 사업자 자율인증 | 법률 근거 법정 인증 |
| 납입자본금 | 5천만원 이상 | 1억원 이상 |
| 전담인력 | 전담직원 1명 이상 | 대표자 제외 전담직원 1명 이상 |
| 정보보호책임자 | 별도 요건 없음 | 임원급 이상 CISO 지정·공표 |
| 통신이력 보관 | 6개월 이상 | 1년 이상 |
| 심사 방식 | 자율인증 운영절차 | 서류심사 + 현장심사 법령 명시 |
| 정기점검 | 명확하지 않음 | 연 1회 등록요건·인증기준 유지 여부 점검 |
단순 갱신이 아닌 법정 제도 전환, 왜 기존 등록증으로는 안 될까요?#
많은 사업자분들이 혼동하는 부분이 바로 이것입니다. 2025년까지의 자율인증은 기업이 스스로 정한 기준에 따라 운영하고, 제3의 인증기관이 그 내용을 검증하는 방식이었습니다. 하지만 2026년부터는 정보통신망법 제22조의4와 방송통신위원회 고시에서 정한 '5개 분야 16개 항목'의 법정 기준이 모든 사업자에게 동일하게 적용됩니다.
기존 등록증을 보유한 사업자라도 다음의 경과조치를 반드시 이행해야 합니다.
- 인증 재취득: 시행 후 6개월 이내(2026년 4월 28일 ~ 2026년 10월 28일)에 방송미디어통신위원회로부터 새로운 법정 전송자격인증서 획득
- 등록 변경: 인증서를 새로운 등록서류로 제출하여 부가통신사업자 등록 변경
- 현장심사 대비: 단순 서류 제출이 아닌 실제 운영 환경에 대한 현장 검증 대비
이 기간을 놓치면 사업 운영 명령 취소, 과태료 처분, 형사 처벌까지 이어질 수 있으므로 이번 전환을 기업의 생존이 걸린 프로젝트로 봐야 합니다.
자본금 1억원과 정보보호책임자 지정, 왜 이렇게 강화되었나요?#
2026년 기준에서 가장 눈에 띄는 변화는 재무적·인적 요건의 획기적 상향입니다. 단순히 수치만 상승한 것이 아니라 기업의 책임 경영 체계를 재구성하도록 강제하는 정책입니다.
자본금 요건의 상향 의미:
- 기존: 납입자본금 5천만원 또는 자본금과 피해보상보험 합계 5천만원 이상
- 2026년: 납입자본금 1억원 이상(보험 병행 불가)
이는 악의적인 대량 스팸 발송으로 인한 피해 보상 능력을 강화하고, 진입장벽을 높여 사업의 진정성을 검증하겠다는 의도입니다. 법인등기부등본상 자본금, 은행 잔고증명서, 자본금 납입증명서, 최근 재무제표 등 서류상 빈틈이 없어야 합니다.
인력 구성의 재편성:
- 대표자를 제외한 전담직원 1명 이상 필수 배치(기존과 동일하나 강화)
- 새로 신설: 임원급 또는 부서장급 이상의 정보보호 최고책임자(CISO) 지정 및 공표
CISO 지정은 형식적 보직 배치가 아니라 실질적 권한과 책임을 갖춘 인력 배치를 의미합니다. 조직도, 업무분장표, CISO 지정서 등이 일관성 있게 준비되어야 현장심사에서 인정받을 수 있습니다.
5개 분야 16개 항목 인증기준, 실무에서 어떻게 대응할까요?#
새롭게 신설된 「전송자격인증기준 등에 관한 고시」는 심사 항목을 다음과 같이 명시합니다.
1. 서류 적정성 심사
- 등록서류 완비 여부
- 운영계획서의 구체성
- 정책 문서(불법스팸 방지정책, 접근통제정책, 정보보호정책 등)의 실행 가능성
2. 이용자 관리 기준
- 이용자 1명당 계정 수 제한(중복 가입 방지)
- 발신번호 등록 시 명의자와 이용자의 일치 여부 검증
- 통신서비스이용증명원 확인 방식
- 해외 IP 접속 원칙적 차단, 예외 사유 있을 시 관리대장·승인기록 유지
3. 보안체계 강화 항목
- 방화벽, 침입탐지/방지 시스템(IDS/IPS)
- 정기적 취약점 점검(연 1회 이상)
- 접근통제(계정별 권한 제한, 다중인증)
- 보안설정 및 로그관리
- 개인정보 암호화 저장
4. 기록관리 기준
- 문자 발송·재전송 통신이력 1년 이상 보관
- 월 1회 이상 정기 점검 및 결과 기록
- 접속 로그, 변경 로그 동시 유지
- 현장심사 시 특정 날짜의 점검 결과표 즉시 제시 가능
5. 조치 적정성 평가
- 악성문자 사전차단 체계 구축
- 식별코드 삽입 및 위·변조 방지
- 처분 내역 관리 및 불복청구 대응 절차
특히 중요한 것은 이 항목들이 종이 문서에만 남지 않고 실제 시스템에서 작동해야 한다는 점입니다.
악성문자 차단체계와 통신이력 보관, 현장심사에서 가장 자주 지적되는 부분#
악성문자 차단은 이번 개편의 핵심 중 하나입니다. 불법 도박, 대출 권유, 피싱 등 사회적 해악이 큰 문자를 사전에 차단하는 기술적·운영적 조치를 갖춰야 합니다.
차단체계 구축 방법:
- 금칙어 필터링: 도박, 대출, 성인용품 등 불법 키워드 탐지
- 악성 URL 차단: 단축 URL, 우회 URL, 알려진 피싱 사이트 차단
- 속이는 문자 식별: 발신자 스푸핑(Spoofing), 공인인증서 위조 등 탐지
- 차단정책 문서화: 정책 기준, 차단 기준, 예외 승인 절차 명시
- 차단결과 기록: 월별·일별 차단 통계, 차단 사건 로그 관리
많은 사업자분들이 **"문자중계사가 알아서 해주는 거 아닌가?"**라고 묻습니다. 행정 절차상으로는 우리 사업자가 주체성 있게 "어떤 정책을 가지고 어떻게 제어하고 있는지"를 구체적인 서비스 구조도와 운영 기록으로 증명해야 합니다. 심사 시 문자중계사의 역할과 당사의 역할이 명확히 구분되어야 하며, 당사가 할 수 없는 부분을 문자중계사에 위탁했다면 위탁 계약서와 책임 분담 사항이 명확해야 합니다.
통신이력 보관의 실무적 중요성:
기존 6개월에서 1년으로 확대된 통신이력 보관 기간은 단순 저장을 의미하지 않습니다.
- DB 저장: 발송 일시, 발신자, 수신자, 발송 내용, IP 주소, 단말 정보 등 전체 기록
- 월 1회 이상 정기 점검: 보관 현황 확인, 손실 여부 검증
- 점검 결과 기록: 점검 일자, 점검자, 확인 항목, 조치사항 문서화
- 현장심사 시연: 심사위원이 "2026년 7월 15일 오후 3시의 발송 기록"을 요청했을 때 즉시 시스템 화면으로 제시 가능
서류심사와 현장심사, 어떻게 준비해야 하나요?#
2026년 제도의 가장 큰 변화는 현장심사 의무화입니다. 기존에는 문서 제출로 끝나는 경우가 많았지만, 새로운 기준에서는 심사위원이 실제 운영 환경을 방문하여 직접 시연을 요청합니다.
현장심사에서 확인하는 항목:
- 다중인증(ID/PW + OTP, 지문 인증 등)이 실제로 작동하는지 시연
- 퇴직자의 계정이 즉각 말소되는지 확인
- 금칙어가 포함된 테스트 문자가 실제로 차단되는지 확인
- 발신번호 검증 프로세스 시연
- 로그 점검 결과표의 실제 데이터 확인
- 서버실·보안설비 시설 현황
- 조직도와 실제 인력 배치의 일치성
- CISO의 정보보호 책임 범위와 의사결정 권한 확인
현장심사 준비 전략:
- 개발팀과의 사전 협업: 요청할 수 있는 모든 기능과 화면을 미리 테스트
- 운영계획서와 시스템의 정합성 점검: 문서에 쓴 내용이 실제로 구현되어 있는가?
- 예상 질문 대비: 심사위원이 할 수 있는 100가지 질문을 미리 리스트업하고 답변 준비
- 시연 시나리오 작성: "3분 내에 다중인증 프로세스를 시연하되, 실패 시나리오도 보여주세요" 같은 상황 설정
- 문자중계사와의 사전 조율: 심사 당일 필요한 기술 지원(테스트 번호 발송, 로그 조회 등)을 미리 협의
이 과정에서 개발 부서나 보안 업체와의 긴밀한 협업이 필수적입니다. 보완 명령이 내려지면 전체 일정이 2~3개월 지연될 수 있으므로, 사전 점검과 예행연습을 충분히 해야 합니다.
B2B 문자사업자의 상담 포인트, 왜 전담 컨설팅이 필요한가?#
전송자격인증제와 부가통신사업자 등록은 대표자 한 사람의 업무가 아닙니다. 다음 직무 담당자들이 동시에 움직여야 합니다.
- 사업 담당자: 경영 전략, 기존 고객사 영향 분석, 사업 중단 시나리오 대비
- 개발자: 다중인증, 접근통제, 로그 저장·점검 기능 구현
- 보안 담당자: 방화벽 설정, 취약점 점검, 침입탐지 시스템 운영
- 법무/준법 담당자: 이용약관, 개인정보처리방침, 불법스팸 방지정책 정비
- 정보보호 책임자(CISO): 전사적 정보보호 정책 수립 및 감독
- 외부: 문자중계사, 보안솔루션 업체, 행정사
윤진행정사는 특히 다음과 같은 B2B 기업들의 상담을 선호합니다:
- 문자재판매사업자
- 대량문자 발송 플랫폼(SMS 마케팅 도구)
- CRM·마케팅 자동화 기업
- SaaS·클라우드 서비스 기업(알림 기능 포함)
- 알림톡·문자 연계 솔루션 기업
- IT 컨설팅 및 시스템통합(SI) 기업
- 콜센터·상담 플랫폼 운영기업
- 기존 문자사업을 인수하는 법인
- 문자중계사 계약을 변경하는 기업
- 신규 문자발송 서비스를 출시하는 스타트업
상담 준비 물품:
상담 전에 다음 자료를 보내주면 현장 방문 없이도 구체적인 진단과 견적이 가능합니다.
- 현재 특수한 유형의 부가통신사업자 등록증
- 기존 전송자격인증서
- 법인등기사항증명서
- 사업자등록증
- 최근 재무제표 또는 자본금 확인자료
- 문자중계사 계약서
- 문자 발송서비스 구조도(시스템 아키텍처)
- 서버와 주요 보안설비 현황
- 발신번호 등록·검증 방식 설명서
- 통신서비스이용증명원 확인 방식
- 악성 URL 및 금칙어 차단 솔루션 자료
- 이용약관
- 개인정보처리방침
- 불법스팸 방지정책
- 최근 행정처분 및 스팸 신고내역
- 현재 전담인력과 정보보호 담당자 현황
자료를 먼저 검토하면 단순 전화상담보다 훨씬 정확한 진단이 가능하며, 기업별 맞춤형 견적과 업무범위를 설계할 수 있습니다.
지금 바로 점검해야 할 체크리스트#
다음 항목에 해당한다면 지금 당장 상담해야 합니다.
자본금 관련:
- 납입자본금이 1억원 미만인 경우
- 기존에 피해보상보험으로 자본금 요건을 충족한 경우(2026년부터 불가)
- 최근 재무상태가 악화되어 순자산이 감소한 경우
인력 관련:
- 대표자가 겸임하여 전담직원이 실질적으로 없는 경우
- 전담직원이 있지만 고용 형태(계약직, 프리랜서)가 모호한 경우
- 정보보호 담당자가 정하지 않은 경우
- 정보보호 담당자가 임원급이 아닌 경우
기술·보안 관련:
- 발송 로그 보관 기간이 6개월 미만인 경우
- 월 1회 로그 점검 절차가 없는 경우
- 악성문자 차단 기능이 없거나 솔루션을 아직 도입하지 않은 경우
- 다중인증이 구현되어 있지 않은 경우
- 해외 IP 접속이 원칙적으로 차단되지 않은 경우
계약·문서 관련:
- 문자중계사와의 책임 분담이 명확하지 않은 경우
- 이용약관, 개인정보처리방침, 불법스팸 방지정책을 최근에 업데이트하지 않은 경우
- 최근 행정처분이나 스팸 신고가 있었던 경우
일정 관련:
- 2026년 4월 28일까지 6개월 남지 않은 경우(작성 시점 기준)
이 중 하나라도 해당한다면, 경과기간(10월 28일)을 놓치기 전에 지금 당장 진단과 준비를 시작해야 합니다.



