CBPR 인증 국내 첫 취득 기업 나오나...KISA “IT기업 등 2~3곳 연내 인증 예상”

아시아태평양경제협력체(APEC) 국경간 프라이버시 규칙(Cross Border Privacy Rules, CBPR) 인증을 취득한 기업이 올해 안에 국내에서 나올 전망이다.

CBPR은 APEC 회원국이 최소한의 개인정보보호 원칙을 기반으로 회원국 간 신뢰할 수 있는 개인정보 이전 체계를 마련해 APEC 권역 내 디지털 경제 활성화를 도모하기 위해 개발한 개인정보보호 인증체계다. APEC 프라이버시 9원칙을 근거로 50가지 기준을 개발해 운영하고 있다. CBPR은 APEC 체제를 넘어 글로벌 인증으로 확대 전환하기 위한 준비가 최근 진행되고 있다.

CBPR 가입국은 9곳으로, 지난 2012년 미국을 시작으로 2013년 멕시코, 2014년 일본, 2015년 캐나다, 2017년 대한민국, 2018년 호주와 싱가포르, 대만, 2020년에 필리핀이 가입했다.

현재까지 미국, 일본, 싱가포르에서만 인증기업이 나온 상태로, 전체 CBPR 인증기업 수는 51개다. 미국에서 애플, IBM, 시스코시스템즈 등 기업 41개사가, 일본에서 야후 재팬 등 4개사가, 상가포르에서 알리바바 클라우드 등 6개사가 받았다.

한국은 지난 2017년 가입국이 된 후 지난 2019년 인증기관으로 승인됐다. 이후 만 3년이나 지났지만 아직까지 인증 받은 기업이 없다.

그 이유로 한국인터넷진흥원(KISA) 개인정보정책단 오용석 단장은 “인증 심사를 적절히 수행할 수 있는지 파일럿 테스트는 진행했으나, 실질적으로 인증심사 접수를 올해부터 시작했다”라면서 “현재 인증 심사를 받고 있는 기업이 있다”고 말했다.

오 단장은 “올해 안에 한 개 이상, 2~3개 기업이 연내 인증을 받을 수 있을 것으로 예상하고 있다”면서 인증 심사를 받는 기업의 관련 업종은 “IT 기업”이라고 밝혔다.

CBPR 인증을 신청하려는 기업들을 묻는 질문에 그는 “게임사, 유통·물류 등 IT 기업들이 주로 CBPR에 관심을 표하고 있다”고 전했다. 서비스를 제공하기 위해서는 수많은 이용자들의 개인정보 수집·처리가 필요하면서도 APEC 등 해외에서 사업을 펼치고 있는 곳들로 보인다.

CBPR 인증은 완전한 자율 인증이다. 글로벌 수준의 개인정보보호관리체계를 보유해 이에 대한 검증된 신뢰성을 확보하기 위한 목적이나, 해외 CBPR 참여국가에서 사업을 위한 기업의 개인정보 국외 이전이 필요한 경우, 또는 해외 진출에서 필요한 개인정보보호 관련 법규 준수를 위해 필요한 기업은 사업 기반을 둔 지역 소재 CBPR 인증기관에 심사를 신청하면 된다.

일단 CBPR 체계 구축 후 최소 1개월 동안 운영하며 증적자료 등을 확보한 후 인증을 신청해야 한다. 인증심사 신청은 국내에서는 KISA 개인정보협력팀에서 접수한다. 인증 심사는 서면 심사와 담당자 인터뷰, 필요시 현장심사까지 진행하는데, 인증심사부터 인증서 발급까지 기간은 최소 3개월에서 최대 7개월까지 소요될 수 있다.

현재 인증 수수료는 면제(한시적)여서 무료이며, 인증서 유효기간은 1년이다.

오 단장은 “현재 CBPR을 국내 개인정보보호관리체계(ISMS-P)와 비교해보면, 난이도는 ISMS-P가 높다”며 “국내법과 상이한 부분도 있다. 예를 들어, 개인정보를 제공받는 제3자에 개인정보보호를 위한 안전 조치 요청 후 확인 절차가 우리나라 법에는 없지만, CBPR 인증에는 제3자의 개인정보보호 대책 확인 조치 강구 요건이 있어 제3자 개인정보보호 수준을 확인하는 내부정책, 조치방안을 수립해야 한다”고 설명했다.