RESOURCE | 컴플라이언스|  ISMS-P 인증 대응 가이드

CBPR 인증 대응 가이드

  • CBPR이란

    • CBPR(Cross-Border Privacy Rules)이란

    APEC CBPR(Cross Border Privacy Rules, 국경 간 개인정보보호 규칙) 인증제도는 아시아·태평양 지역을 중심으로 국외로 개인정보를 이전하는 기업의 개인정보 보호 수준을 평가해 인증해주는 글로벌 제도입니다. 우리나라는 개인정보보호위원회와 KISA(한국인터넷진흥원)의 주도로 2022년 5월부터 CBPR 인증제를 공식 도입하여, 이제 국내 기업도 해외 기관을 거치지 않고 국내에서 직접 CBPR 인증을 취득할 수 있게 되었습니다. 지금부터 CBPR 인증이 필요한 기업, 인증 신청 절차 및 신청 전 준비 사항 등에 대해 살펴보겠습니다.

     

  • CBPR 인증 대상 기업

    • 어떤 기업이 CBPR 인증을 받으면 좋을까? 


    CBPR 인증은 국내 개인정보보호법의 적용 대상인 모든 기업이 신청할 수 있으며 특히 다음과 같은 기업이라면 적극 고려해볼 만합니다.

    해외로 진출하거나 국경 간 데이터 이전이 발생하는 기업

    • 아시아·태평양 지역을 비롯한 국외에 개인정보를 이전하거나 국외로부터 개인정보를 이전 받아 처리하는 기업(또는 그런 가능성이 있는 기업). 예를 들어 해외 이용자에게 서비스를 제공하거나 해외 클라우드/데이터센터를 활용하는 디지털 서비스 기업 등이 해당됩니다. 이러한 기업은 CBPR 인증을 통해 국가 간 안전한 개인정보 이전에 대해 신뢰를 확보할 수 있습니다.

    다국적 계열사를 보유한 기업

    • 아시아·태평양 지역을 포함한 여러 국가에 계열사 또는 자회사를 두고 있어 전사적으로 통일된 개인정보 보호 체계를 마련해야 하는 기업. CBPR 인증을 받으면 글로벌 공통의 개인정보 보호 원칙에 따라 그룹 전체의 정책을 정비할 수 있어 효율적입니다.

    글로벌 수준의 개인정보 보호체계를 인정받고자 하는 기업

    • 개인정보보호를 위한 내부 관리체계를 이미 구축하고 있으며 이를 국제적으로 공인 받아 대외 신뢰도를 높이고자 하는 기업. 예를 들어 국내에서 ISMS-P 인증 등을 통해 개인정보 보호체계를 운영 중인 기업이라면 CBPR 인증을 통해 국제 표준에 부합하는 개인정보보호 역량을 공식적으로 갖출 수 있습니다.
    • 일본과 싱가포르는 CBPR을 자국 법과 동등한 보호수준으로 간주하고 있어, CBPR 인증 기업이라면 해당 국가로 개인정보 이전 시 추가적인 동의 절차 없이 업무를 처리할 수 있는 등 해외 사업에서의 신뢰도 향상 효과를 기대할 수 있습니다.

    CBPR 인증은 해외 이용자 개인정보를 다루거나 국외 사업을 계획 중인 디지털 서비스 기업, 다국적 기업, 글로벌 표준의 개인정보 보호를 추구하는 기업에게 특히 유용합니다. 본 인증을 통해 해외 파트너 및 고객의 신뢰를 확보하고 국제 경쟁력을 강화할 수 있습니다.

     

    CBPR 인증 도입 효과

    • 개인정보 이전의 자유화: APEC 회원국 내에서 자유롭게 개인정보 이전 가능
    • 규제 대응 간소화: 일부 국가에서는 CBPR 인증을 받은 기업에 대해 현지 법령 요건을 완화하거나 면제하는 경우 존재 (예: 일본, 싱가포르)
    • 준법 비용 절감: 사전 인증을 통해 반복적인 법률 검토 및 평가 부담 경감
    • 글로벌 신뢰 확보: 국제적 수준의 개인정보 보호 역량을 보유하여 기업의 대외 신뢰도 제고

     

    국내에서 CBPR 인증이 중요한 이유

    • KISA 공식 인증기관 운영으로 2021년부터 국내 인증 본격화
    • 해외 거래처의 CBPR 인증 요구 사례 증가
    • 국내 기업의 글로벌 진출 확대에 따라 암호화 솔루션 등 기술적 보호조치 수요 동반 증가

  • CBPR 인증 시기 및 절차

    • CBPR 인증 신청 시기와 절차는?

    현재 CBPR 인증제도는 국내에서 상시 운영 중이므로 요건을 갖춘 기업은 언제든 신청 가능합니다. 우리나라는 2022년 5월 인증제 운영을 개시한 이후 1년 만에 네이버, 엔씨소프트 등 5개 기업이 인증을 취득했고, 2025년 6월부터는 회원국 범위를 확대한 ‘Global CBPR’ 체제로 발전하는 등 국제적으로도 참여가 늘어나고 있습니다.

    CBPR 인증 절차는 크게 ① 준비단계 → ② 심사단계 → ③ 인증단계 → ④ 유지관리단계의 흐름으로 진행됩니다. 아래 그림은 신청기업과 인증기관(※ 국내에서는 KISA가 인증기관 역할 수행)이 각 단계에서 수행하는 역할을 나타낸 것입니다. 이를 순서대로 살펴보면 다음과 같습니다.

     

    1. 준비 단계
    기업은 우선 자체 개인정보보호 관리체계를 CBPR 인증기준에 맞게 수립하여 최소 1개월 이상 운영해야 합니다. 내부 준비가 되었다면 KISA에 인증 신청서, 개인정보보호체계에 대한 명세서, 자체 점검표 등의 필요 서류를 작성해 이메일로 제출합니다. KISA는 제출된 신청서를 접수한 후, 기업이 제시한 인증 범위와 준비 상태를 예비 점검하여 공식 심사 진행 여부를 결정합니다.

    2. 심사 단계
    예비점검을 통과하면 KISA가 심사팀을 구성하고 일정 조율 후 본격적인 인증심사를 수행합니다. 심사는 약 3일간 문서 검토와 담당자 인터뷰 방식으로 진행되며, 기업의 개인정보 보호정책, 절차 및 기술 대책이 50개 세부 인증기준을 충족하는지 꼼꼼히 평가합니다. 심사 후 결함 보고서(발견된 미비점 목록)가 작성되며, 신청 기업은 보고서 내용을 확인한 뒤 부족한 부분을 보완 조치하고 그 내역을 정리해 KISA에 제출해야 합니다.

    3. 인증 단계
    KISA 심사팀이 기업의 보완조치 결과를 검토하여 모든 기준 충족을 확인하면, 최종 심사결과 보고서를 준비합니다. 이어 KISA 내부의 인증위원회를 개최하여 해당 기업의 CBPR 인증 취득을 최종 심의·의결한 후 인증서 발급을 결정합니다. 이러한 절차를 거쳐 신청 기업은 CBPR 인증서를 받게 됩니다. 인증 획득 시 기업 명칭과 인증 범위가 APEC CBPR 국제 웹사이트의 국가별 인증 기업 목록에 공식 등재되어 대외적으로 인증 사실이 공개됩니다.

    4. 유지 관리
    CBPR 인증 유효기간은 1년이며, 인증을 지속하고자 한다면 만료 3개월 전에 KISA에 갱신심사를 신청해야 합니다. 인증을 취득한 기업은 인증 범위 내에서 개인정보보호 관리체계를 계속 운영하면서 관리 수준을 유지해야 하고, 인증 범위와 관련한 이용자 민원이나 개인정보 침해사고 발생 시 적극 협력하여 문제를 해결해야 하는 의무가 있습니다. KISA 및 개인정보보호 당국과의 협조 하에 정기적인 사후관리(연 1회 이상 점검 등)가 이루어질 수 있으므로, 인증 이후에도 지속적인 관리 개선 노력이 필요합니다.

    Tip
    KISA에서는 CBPR 인증제 초기 활성화를 위해 한시적으로 인증심사 수수료를 면제하거나 낮추는 지원 정책을 시행하기도 했습니다. 또한 CBPR 인증심사는 ISMS-P 등 국내 인증에 비해 상대적으로 난이도가 낮은 편으로 평가됩니다. 준비단계에서 내부 관리체계를 충실히 갖추고 국내 법령을 준수하고 있다면, 심사과정도 원활하게 통과할 가능성이 높습니다.

  • CBPR 인증 대응 솔루션

    • CBPR 신청 전에 기업이 갖춰야 할 주요 요구사항은?

    CBPR 인증을 받으려면, 기업은 APEC 개인정보보호 원칙에 기반한 내부 개인정보보호 체계를 미리 갖추고 있어야 합니다. CBPR 인증 기준은 6개 분야 50개 항목으로 구성되어 있습니다. 다음은 기업이 CBPR 신청 전에 준비해야 할 핵심 요소입니다.

     

     

    CBPR 인증 기준에는 6개 분야(개인정보 관리 체계 수립, 개인정보 수집, 개인정보 이용/제공/위탁, 정보주체 권리, 무결성, 보호 대책)가 있으며, 이 중 ‘보호 대책(Security safeguards)’은 나머지 5개 분야와 아래와 같은 차이가 있습니다. APEC CBPR 인증을 통해 ‘안전한 개인정보 보관소’를 구축한다고 했을 때, 다른 5가지 기준들은 이 보관소를 어떻게 계획하고, 어떤 규칙으로 운영하며, 누가 어떤 권한을 가지며, 정보의 품질을 어떻게 유지할 것인가에 대한 내부의 ‘설계도’와 ‘운영 매뉴얼’에 해당합니다. 반면, ‘보호 대책‘은 이 보관소에 실제로 튼튼한 금고를 설치하고, 감시 카메라를 달고, 잠금장치를 관리하며, 경비원을 훈련시켜 침입자를 막고 화재 등 비상상황에 대비하는 것과 같습니다. 즉, 물리적이고 실제적인 방어 메커니즘과 그 운영에 관한 기준이라고 할 수 있습니다.

    보호 대책
    보호 대책은 개인정보가 외부 위협이나 내부 오용으로부터 실제로 안전하게 보호되도록 하는 물리적, 기술적, 관리적 방어 조치에 특화되어 있습니다. 특히, 보호 대책을 수립하기 위해 ‘인증 및 접근 제어(Authentication and access control)’, ‘암호화(Encryption)’, ‘경계 보호(Boundary protection, Firewalls)’, 감사 로깅(Audit logging), 모니터링(Monitoring)에 대한 안전장치가 구축되어 있어야 합니다. CBPR 인증을 신청하는 기업은 위에 명시된 솔루션 도입/구축하여 CBPR 심사 기준을 충족해야 합니다.

    펜타시큐리티는 CBPR에 필요한 모든 보호 대책을 솔루션으로 제공합니다.
    지금 CBPR 인증을 계획하고 있다면 펜타시큐리티와 함께 꼼꼼히 준비해 보시길 바랍니다.

     

     

    출처

    • Asia-Pacific Economic Cooperation. (n.d.). CBPR Program Requirements [PDF]. APEC. https://www.apec.org/docs/default‑source/Groups/ECSG/CBPR/CBPR‑ProgramRequirements.pdf
    • Asia-Pacific Economic Cooperation. (n.d.). CBPR Policies, Rules & Guidelines [PDF]. APEC. https://www.apec.org/docs/default‑source/Groups/ECSG/CBPR/CBPR‑PoliciesRulesGuidelines.pdf
    • Organisation for Economic Co‑operation and Development (OECD). (n.d.). Privacy Recognition for Processors (PRP) System Program Requirements Mapping [PDF]. CBPRS.org. https://cbprs.org/wp‑content/uploads/2021/05/PRIVACY‑RECOGNTION‑FOR‑PROCESSORS‑SYSTEM‑PROGRAM‑REQUIREMENTS‑1.pdf
    • Asia-Pacific Economic Cooperation. (n.d.). APEC CROSS‑BORDER PRIVACY RULES SYSTEM [PDF]. APEC. https://www.apec.org/docs/default‑source/Groups/ECSG/CBPR/CBPR‑PoliciesRulesGuidelines.pdf
    • 한국인터넷진흥원. (n.d.). CBPR 프로그램 요구사항 [CBPR 신청양식 및 참고자료]. KISA CBPR 자료실. https://cbpr.kisa.or.kr/gdpr/bbs/selectArticleList.do?bbsId=BBSMSTR_000000000161