대량문자 발송 사업(문자재판매·중계)을 준비하는 대표님들이 시장 진입 단계에서 공통적으로 마주하는 질문이 있습니다.
"전송자격인증과 특수한 유형의 부가통신사업자 등록, 둘 다 받아야 하나요?"
"받는다면 뭐부터 해야 하나요?"
답은 분명합니다.
둘 다 받아야 하고, 순서는 전송자격인증이 먼저입니다.
특히 2026년 4월 28일 전기통신사업법 시행령 개정이 시행되면서, 그동안 자율인증으로 운영되던 전송자격인증(전기통신사업법 제22조의11)이 법정 의무 인증으로 확립되었습니다.
대량문자 발송 사업의 진입 장벽이 한 단계가 아니라 사실상 두 단계 높아진 셈입니다.
전송자격인증이 먼저, 특수부가통신사업자 등록이 나중
가장 먼저 알아두실 것은 이 둘이 별개의 트랙이 아니라는 점입니다.
이번 개정으로 전송자격인증이 특수한 유형의 부가통신사업자 등록의 필수 전제 요건이 되었습니다.
즉, 전송자격인증서 없이는 등록 신청 자체가 접수되지 않습니다.
- 전송자격인증 심사·취득 — 방송미디어통신위원회·KISA. 서류 심사와 현장 심사를 거칩니다.
(첫 단추인 이 단계에서 막히면 등록은 시작조차 할 수 없습니다) - 특수한 유형의 부가통신사업자 등록 — 과학기술정보통신부(중앙전파관리소). 인증서를 갖춰 등록을 신청합니다.
따라서 두 절차를 순차로 보지 않고 처음부터 함께 설계하는 것이 시간과 비용을 줄이는 방법입니다.
기존에 자율인증을 취득해 사업을 운영 중인 사업자도 신규 법정 의무 인증을 다시 취득해야 사업 유지가 가능합니다.
우리 회사도 전송자격인증을 받아야 하나요?
상담에서 가장 먼저 받는 질문입니다.
많은 분들이 발송 건수로 대상이 정해진다고 오해하시지만, 전송자격인증은 건수가 아니라 사업 구조로 대상이 갈립니다.
핵심 판단 기준은 하나입니다.
"타인이 내 시스템을 통해 문자를 발송할 수 있는가?" 답이 '예'라면 인증 대상, '아니오'라면 대상이 아닐 가능성이 높습니다.
인증 대상에 해당하는 경우
- 문자 발송 플랫폼 제공 — 웹·앱 기반으로 고객이 직접 메시지를 작성·발송할 수 있는 기능을 제공하는 경우
- 문자 발송 API 제공 — 외부 기업·개발자에게 API를 여는 경우
- 문자 재판매·중계 — 리셀링 또는 중계 역할을 하는 경우
- 발송 기능의 서비스화(B2B) — 기업 고객에게 모듈·솔루션 형태로 발송 기능을 제공하는 경우. 웹페이지 화면이 없더라도 인증 대상에 해당합니다
대상에서 제외되는 경우(일반적으로)
- 내부 직원 공지용 — 외부 이용자가 없는 사내 문자 시스템
- 자사 마케팅 전용 — 우리 회사 문자만 우리가 직접 발송하는 경우
- 내부 전용 시스템 — 외부 고객이 접근할 수 없는 구조
요약하면, 남에게 발송 기능을 열어주면 대상이고 우리 문자만 우리가 보내면 대상이 아닙니다.
실무적인 잣대는 "문자 발송 시스템을 실제 이용하는 발송자가 외부인인가, 내부 직원인가"입니다.
다만 경계에 있는 사업 모델은 운영 구조에 따라 판단이 달라집니다.
솔루션 임대형은 단순히 소프트웨어만 빌려주는 것인지, 자사의 서버와 계정을 통해 문자가 나가는 구조인지에 따라 대상 여부가 갈립니다.
위탁 발송형은 발송 주체가 누구인지, 발신번호와 계정의 관리 권한이 어디에 있는지를 따져보아야 합니다.
KISA FAQ도 사업자의 운영 환경이 특수한 경우 해당 방식이 인증 기준의 목적을 충족하는지 소명할 것을 요구하고 있으므로, 경계 모델은 개별 검토가 필요합니다.
2026년 개정으로 대폭 강화된 등록 요건 (경영적 자격)
특수한 유형의 부가통신사업자 등록 심사에서는 대량문자 발송 서비스를 안정적으로 운영할 인적·물적 토대를 확인합니다.
이번 시행령 개정으로 요건이 크게 강화되었습니다.
| 항목 | 기존 | 2026.4.28. 개정 |
|---|---|---|
| 납입자본금 | 5천만 원 이상 | 1억 원 이상 |
| 통신이력 보관 | 6개월 이상 | 1년 이상 |
| 전담직원 | 1명 이상 | 대표자 제외 1명 이상 |
| 정보보호 최고책임자(CISO) | 해당 없음 | 임원급·부서장급 이상 지정 및 공표 |
| 식별코드 | 해당 없음 | 문자 발송 시 삽입 + 위·변조 방지 조치 |
| 정보보호 조치 | 해당 없음 | 방화벽 설치, 연 1회 취약점 점검, 접근통제, 로그관리 |
| 악성문자 식별·차단 | 해당 없음 | 사전차단체계 도입 필수 |
| 정기점검 | 해당 없음 | 연 1회 (매년 12월 15일까지) |
법인 설립 단계부터 자본금과 임원 구성을 이 요건에 맞춰 설계하지 않으면, 나중에 정관 변경·증자로 되돌아가야 하는 경우가 생깁니다.
시작 시점의 설계가 중요합니다.
전송자격인증 심사, 5개 적정성 기준 (기술·보안 검증)
전송자격인증은 불법 스팸 유통 차단을 위한 실제 시스템 가동 능력을 검증합니다.
서류 심사에 더해 현장 심사가 이루어지며, 다음 5개 적정성 기준을 모두 충족해야 합니다.
- ① 서류의 적정성 — 이용약관·계약서에 불법스팸 전송 금지와 위반 시 제재(서비스 정지·해지, 법적 책임) 조항이 포함되어야 하고, 서류상 주소와 실제 사업장이 일치해야 합니다.
웹 발송 서비스가 없는 기업 간 계약 방식이라도 계약서·서비스 신청서·운영정책에 같은 내용이 필요합니다.
불법스팸 발송 방지계획서는 단순 선언문이 아니라 전담조직, 신고내역 확인 주기, 제재 기준, 모니터링, 임직원 교육계획 등 실제 운영 프로세스를 설명하는 문서여야 합니다. - ② 이용자 관리의 적정성 — 발송계정·발신번호·발송 이력·인증 이력·과금 이력을 이용자 기준으로 식별·연계 관리해야 합니다.
회원가입 시 검증된 본인확인기관 서비스를 통한 본인확인이 원칙이고, CI·DI를 계정과 연계해 중복가입을 차단해야 합니다.
공용 계정 사용, 발송자 식별이 어려운 계정 운영은 불가합니다. - ③ 보안체계의 적정성 — 네트워크 경계에서의 접근통제(방화벽), 국외 IP·VPN 등 우회 접속 차단, 로그인 단계의 다중인증(MFA) 운영.
단순 아이디·비밀번호만으로 접근하는 방식은 인정되지 않으며, 로그인 실패 횟수 제한과 계정 잠금도 함께 갖춰야 합니다. - ④ 기록 관리의 적정성 — 접속·인증·문자 발송·과금 등 이용자 활동 로그와 관리자 접속 이력, 시스템 오류 기록, 개인정보 처리 이력을 관련 법령상 최소 보관기간 이상(별도 기간이 없는 경우 1년 이상) 보관하고, 월 1회 이상 누락·훼손 여부를 점검해 점검 기록까지 남겨야 합니다.
저장만으로는 충분하지 않습니다. - ⑤ 조치의 적정성 — 불법스팸 확인 시 경고·발송정지·이용정지·계약해지 등 조치를 지체 없이 수행하고 조치 결과와 이용자 통보 이력을 보관해야 합니다.
금칙어뿐 아니라 악성 URL·차단 전화번호까지 탐지해 자동 차단·보류·관리자 승인 등 조치를 수행하고, 차단 결과를 1년 이상 로그로 남겨야 합니다.
주의할 점은, 핵심 통제(중복가입 차단, 회선 수 제한, 발신번호 등록·변경·삭제 이력 관리 등)가 '수동 관리'에 머물면 인정되지 않는다는 것입니다.
담당자의 수기 확인은 보완 절차로만 활용할 수 있고, 제한 기준 자체는 시스템에 실제 구현되어 있어야 합니다. 클라우드·호스팅 서비스를 이용하는 경우 해당 업체로부터 방화벽 정보를 받아 제출해야 하는 등, 증빙 준비에도 기술적 이해가 필요합니다.
실무에서는 이 다섯 영역 중 사업 유형별로 유독 자주 막히는 항목이 정해져 있습니다.
어떤 항목에서 가장 많이 걸리는지, 그리고 각 사례를 어떻게 풀어야 하는지는 글로 일반화하기 어려워 상담에서 개별 사례로 짚어드리고 있습니다.
여기까지 읽고 "우리 시스템이 이 기준에 맞나?" 싶으시다면, 16개 항목 무료 자가진단으로 5분 안에 현재 준비 상태와 우선 보완 항목을 확인하실 수 있습니다.
전송자격인증 자가진단 하기심사에서 사업자들이 자주 오해하는 4가지
KISA가 공개한 전송자격인증제 사업자 FAQ(2026. 6. 기준)를 보면, 실제 심사에서 사업자들이 반복적으로 오해하는 지점이 드러납니다.
첫째, "1인 1계정"은 기업당 1계정이 아닙니다. 문자발송 시스템을 실제 이용하는 발송자 1인당 1계정이 원칙입니다.
부서·지점별로 발송자가 여러 명이면 발송자별로 계정을 발급해 관리하면 되고, 오히려 여러 직원이 하나의 공용 계정을 공유하는 방식이 불가합니다.
개인사업자 대표 명의 계정을 직원들이 함께 쓰는 방식도 인정되지 않습니다.
둘째, 방화벽이 반드시 물리 장비일 필요는 없습니다. 클라우드 보안그룹, 가상 방화벽, 범용 서버 기반 네트워크 방화벽도 네트워크 경계에서 접근통제 정책을 적용하고 로그·모니터링 체계를 갖췄다면 검토될 수 있습니다.
다만 단말 OS 방화벽만으로는 대체할 수 없습니다.
셋째, 다중인증과 추가인증은 다른 개념입니다. 다중인증은 로그인 단계에서 계정 탈취를 막기 위한 절차이고, 추가인증은 문자 발송 단계에서 해당 발신번호를 쓸 권한이 있는 계정인지 확인하는 절차입니다.
웹페이지 발송은 추가인증 체계가 필요하지만 문자 1건마다 매번 인증해야 하는 것은 아니며, API·솔루션·모듈 발송은 기업관리자 사후승인 방식(영업일 기준 24시간 이내 발송 내역 확인)으로 운영할 수 있습니다.
넷째, 국외 IP는 원칙적으로 차단하되 예외가 가능합니다. 해외거주자·해외법인·국외 출장자 등 정당한 사유가 있으면 필요서류를 받고 관리자 확인 후 예외 허용할 수 있습니다.
다만 허용 대상·IP·기간·승인자·접속 이력을 모두 보관해야 합니다.
허용 IP 제한만으로 다중인증을 대체할 수는 없습니다.
두 제도 한눈에 비교하기
| 구분 | 특수한 유형의 부가통신사업자 등록 | 전송자격인증 |
|---|---|---|
| 법적 근거 | 전기통신사업법 제22조 제2항 | 전기통신사업법 제22조의11 |
| 주관 기관 | 과학기술정보통신부 | 방송미디어통신위원회 |
| 제도 성격 | 사업 운영을 위한 법적 자격 획득 | 시스템·운영 체계의 기술·품질 검증 |
| 심사 방식 | 서류 심사 중심 | 서류 심사 + 현장 심사 |
| 핵심 요건 | 인력·물적 시설, 재무건전성, 자본금 | 5개 적정성 기준 충족 |
표만 봐도 두 기관이 요구하는 증빙의 성격이 완전히 다릅니다.
과기정통부는 경영적 자격을, 방미통위는 기술·보안의 실체를 봅니다.
신청 방식과 처리 기간
신청은 주관 기관인 방송미디어통신위원회에 접수하며, 서류·현장 심사를 거쳐 30일 이내 처리가 원칙입니다.
다만 2026년 6월 현재 전산 접수 시스템이 갖춰지지 않아 홈페이지가 아닌 이메일로 접수를 받고 있으므로, 신청 전 최신 접수 방법을 반드시 확인해야 합니다.
인증 취득 후에도 끝이 아닙니다.
과기정통부는 등록 요건(인력·물적 시설 등)의 유지 여부를, 방미통위는 보안 기준·스팸 차단 체계의 상시 가동 여부를 연 1회 정기 점검하며, 필요시 두 기관이 합동 현장 점검도 할 수 있습니다.
기준 미달이나 운영 위반이 확인되면 인증 취소로 이어질 수 있어, 취득만큼 유지 관리가 중요합니다.
직접 준비할 때 가장 많이 막히는 지점
대량문자 발송 사업권 확보는 서류 몇 장의 문제가 아닙니다.
과학기술정보통신부(부가통신 등록)와 방송미디어통신위원회(전송자격인증)라는 서로 다른 두 기관을 동시에 상대해야 하는 컴플라이언스 과정입니다.
기관마다 요구하는 기술 설명서·서약서·시스템 화면 캡처·계약서 등 방대한 증빙을 정교하게 매칭하지 못하면 수개월의 시간 낭비와 반려를 반복하게 됩니다.
실무에서 반려되는 사례의 대부분은 기술 요건 자체보다 증빙 서류의 형식 요건에서 발생합니다.
본 칼럼은 2026년 6월 기준 법령과 공표된 자료를 바탕으로 작성된 일반적인 안내이며, 개별 사안에 대한 판단은 사업 구조에 따라 달라질 수 있습니다.
정확한 심사 결과는 방송미디어통신위원회의 공식 심사 절차를 따릅니다.