[데이터 무역] ② CBPR 인증 난이도는?…"ISMS-P 대비 낮을 전망" [데이터링]

김혜경 2022. 11. 3. 17:12
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

"EU GDPR-CBPR 상호인증 가능성 ↓"

[아이뉴스24 김혜경 기자] 지난 4월 '글로벌 CBPR(국경 간 프라이버시 규칙) 포럼'이 출범하면서 미국 정부는 아시아‧태평양 지역에서 글로벌 표준으로의 확대를 적극 모색하고 있다. 현재 인증 통합 등 운영 체계 마련을 위한 논의가 이어지고 있는 가운데 개인정보 보호 관련 국내 인증을 취득한 기업은 CBPR 인증도 상대적으로 쉽게 획득할 것으로 전망된다.

지난 4월 '글로벌 CBPR(국경 간 프라이버시 규칙) 포럼'이 출범하면서 미국 정부는 아시아‧태평양 지역에서 글로벌 표준으로의 확대를 적극 모색하고 있다. [사진=픽사베이]

◆ CBPR과 ISMS 유사하지만…'인증 난이도' 차이

CBPR은 회원국간 데이터 활용을 장려하기 위해 개발된 개인정보 보호 관리체계에 대한 평가인증이다. '아시아태평양경제협력체(APEC) 프라이버시 프레임워크(APF)'를 근거로 만들어졌으며, 개인정보 보호 주요원칙과 안전성 확보 등 50가지 요건으로 구성됐다.

APF 9원칙은 ▲고지 ▲수집 제한 ▲목적 내 이용 ▲선택권 ▲무결성 ▲보안조치 ▲열람‧정정 ▲책임성 ▲책임 구제다. 고지 원칙은 사전 혹은 동시 고지 제공을 규정하고 있지만 경우에 따라 '사후 고지'가 가능하다는 점이 골자다.

한국은 2017년 CBPR에 가입한 후 지난 5월부터 인증 신청을 받고 있다. 일본, 싱가포르 등 CBPR 참여국을 대상으로 사업을 영위하고 있는 기업의 경우 해당 인증을 받으면 대외 신뢰도를 높일 수 있다. 상대 기업에 대한 개인정보 보호 수준을 확인하는데 소요되는 시간과 비용도 줄일 수 있다는 것이 장점이다.

CBPR은 현재 국내에서 시행 중인 '정보보호‧개인정보보호 관리체계 인증(ISMS-P)'과 유사하다. ISMS-P는 조직이 자체적으로 운영하고 있는 정보보호 시스템이 적합한지 인증하는 제도다. 기존 ISMS에서 개인정보 보호 항목이 강화된 인증이다. 2019년 5월부터 ISMS와 PIMS가 통합‧운영되고 있다. 개인정보 처리단계별 요구사항 분야를 포함해 3개 영역·총 102개 인증 영역을 모두 충족해야 한다

CBPR과 ISMS의 차이점은 국외와 국내 인증이라는 점 외에도 의무 인증 여부와 난이도다. CBPR은 자율인증이지만 ISMS는 일부 사업자에 대해선 의무로 시행되고 있다.

정보통신망법 제47조와 개인정보보호법 제32조의2에 따라 ▲정보통신망 서비스 사업자(ISP) ▲정보통신시설 사업자(IDC) ▲상급종합병원 ▲재학생 수 1만명 이상인 학교 ▲정보통신 서비스 매출액 100억원 이상인 사업자 ▲정보통신 서비스 일평균 이용자 수가 100만명 이상인 사업자는 ISMS를 의무적으로 받야야 한다.

CBPR 및 ISMS-P 비교표. [사진=KISA]

인증 난이도는 CBPR이 국내 인증 대비 상대적으로 낮은 것으로 분석된다. 대외경제정책연구원은 지난해 발간한 보고서를 통해 CBPR의 필수인증 기준이 낮으므로 ISMS-P 인증을 받은 국내 기업은 CBPR 인증을 받기 쉬울 것으로 전망했다.

한국인터넷진흥원(KISA)에 따르면 국제정보보호경영시스템인 ‘ISO27001’ 대비해서도 CBPR의 물리‧기술적 보안 요구사항은 낮다. CBPR과 ISMS-P 인증 간 상호 연계 방안은 지속적으로 검토되고 있다.

개인정보보호위원회도 CBPR 기준 대부분이 개인정보보호법에 반영된 내용인 만큼 국내 법령을 준수하고 있는 기업이라면 인증 심사 통과에 큰 어려움은 없을 것으로 전망했다.

◆ "GDPR 인증 표준과는 일치하지 않아"

유럽연합(EU)은 일반개인정보보호법(GDPR)을 기준으로 다른 국가의 개인정보보호법 수준을 평가‧인증하는 '적정성 평가'를 시행하고 있다. GDPR은 원칙적으로 적정 수준의 개인정보 보호 체계를 갖춘 국가·기업으로의 이전만 허용하고 있다.

대외경제정책연구원은 보고서를 통해 "GDPR 적정성 평가와 CBPR의 상호운용성 논의가 지속되고는 있지만 CBPR 개인정보 보호 체계의 수준과 범위가 EU보다 낮다는 평가"라면서 "상호인증 가능성 여부를 살펴봤을 때 CBPR과 GDPR이 묶일 가능성은 낮을 것"이라고 전했다.

연구원에 따르면 EU가 2019년 2월 발표한 인증 메커니즘 관련 연구보고서는 CBPR이 개인정보 보호 수준을 파악하는 인증‧감독 메커니즘으로서 좋은 사례라고 평가하면서도 GDPR 인증 표준과는 일치하지 않는다는 결론을 내린 바 있다.

/김혜경 기자(hkmind9000@inews24.com)

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]

Copyright © 아이뉴스24. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?