개인의 모든 데이터를 해당 개인에게 모두 제공할 수 있는 솔루션 반드시 구축해야
[CCTV뉴스=신동훈 기자] 개인정보보호의 패러다임을 바꿀 유럽 일반 개인정보 보호법(GDPR, General Data Protection Regulation) 시행이 이제 반년 앞으로 다가왔다.
유럽연합(EU)이 디지털 단일 시장에서 EU 회원국간 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 개인정보 보호 권리를 강화하기 위해 제정한 GDPR이 2018년 5월 25일 시행될 예정이다.
새롭게 제정된 GDPR은 개인정보 관리에 대한 매우 강도 높은 규제 수준을 포함하고 있으며, 기존 개인정보보호 지침과 달리 그 자체로 EU의 모든 회원국들에게 직접적인 법적 구속력을 가진다.
글로벌 데이터관리 전문기업 베리타스(Veritas)가 전 세계 기업 비즈니스 의사결정권자들을 대상으로 유럽 일반 개인정보 보호법(General Data Protection Regulation, GDPR)이 미칠 영향을 조사했다. 국내 기업의 93% 의사결정권자가 GDPR을 준수하지 않을 경우 비즈니스에 심각한 악영향을 미칠 수 있다고 응답했으며, 13%는 비즈니스 중단에 이를 수 있다고 답했다. 기업의 GDPR 대비 상황에 대한 우려를 나타낸 것.
하지만 아직도 여전히 많은 기업들은 GDPR 준수의 중요한 첫 단계인 어떤 데이터를 보유하고 있는지, 해당 데이터가 어디에 있는지, 비즈니스와 어떤 관련이 있는지 파악하는데 심각한 어려움을 겪는 것으로 나타났다. 거기에 더해 GDPR에 대해서 아예 무지한 기업도 있다. 가트너(Gartner)는 “2018년말까지 GDPR의 영향을 받는 기업임에도 불구하고 50% 이상이 요구사항을 완전히 준수하지 않을 것”이라고도 전한 바 있다.
■ 영상감시 산업에서의 GDPR의 의미
영상감시 산업에서 GDPR이 가지는 의미는 무엇일까? 제네텍(Genetec)이 11월 발표한 <영상감시 산업에서의 GDPR의 의미(What the GDPR means for Video Surveillance)>에서는 다음과 같이 주의사항을 당부했다.
“공공 영상감시 시스템 등 EU에서 영상감시 애플리케이션을 실행하는 데이터 컨트롤러(관리자)는 신원 파악, 관리 그리고 위험 완화와 관련해 GDPR 규정에 특히 주의를 기울여야 한다. GDPR이 영상감시 애플리케이션을 구체적으로 언급하지는 않지만 GDPR의 <일반적인 데이터 보호 원칙>이 적용된다.
유럽 데이터 보호 기관(Data Protection Agencies, DPA)은 대규모 감시가 필요한 공공장소 모니터링과 같은 영상감시 부분을 <위험도가 높은 산업군>으로 분류한다. 결론적으로, EU에서 영상감시를 수행하는 데이터 컨트롤러는 위험 평가 수행, 개인 프라이버시 보장 되는 시스템 설계, GDPR에 준하는 신호 체계 개발 등 매우 구체적인 작업을 수행해야 한다.”
“해당 시스템에 대한 컴플라이언스 전략을 결정할 때 데이터 컨트롤러는 GDPR 대비용 자체 솔루션을 구축하거나 데이터 처리를 아웃소싱하는 두 가지 옵션이 있다. 두 가지 경우 모두 데이터 관리자는 요청에 따라 개인에게 수집된 모든 데이터를 해당 개인에게 제공하는 GDPR 의무를 이행할 수 있는 솔루션을 구축해야 한다.
영상감시 애플리케이션과 개인정보보호 그리고 데이터 보호 등을 모두 이해하는 신뢰할 수 있는 파트너를 통한다면, 영상감시 애플리케이션의 전체 GDPR 준수를 달성하는데 중요한 포인트가 될 수 있다.
온-프레미스 환경에서 GDPR을 준수할 수 있는 영상감시 애플리케이션을 구축하려는 데이터 컨트롤러는 시스템을 강화함과 동시에 암호화, 인증, 익명화와 같은 방법을 통해 준수 여부를 확인하는 방법을 고려해야 한다. GDPR 준수를 위해 아웃소싱을 준비중인 기업은 GDPR 요구사항을 완벽하게 준수할 수 있는 솔루션을 제공하는 기업과 반드시 파트너 관계를 맺어야 한다.”
제네텍이 언급한 것처럼, 대규모 감시를 하는 영상감시 부분은 <위험도가 높은 산업군(high-risk processing operation)>으로 분류돼 있다. GDPR을 통해 유럽연합은 데이터 보호법 범위를 상당히 넓게 확대했고 유럽연합 회원들에게 새로운 권리를 부여했다.
또한, 개인정보보호와 데이터 유출 등 주요 문제에서는 데이터 관리자에게 더 많은 책임을 요구하며 경우에 따라서는 데이터 보호 책임자를 임명해야 한다. GDPR은 클라우드 서비스 제공업체를 비롯한 데이터 프로세서들에게 특정한 의무를 부과하고 법에 명시된 개인정보보호에 대한 개념을 고수하도록 강제한다. 이를 위반시 심각한 페널티를 받을 수 있다.
이처럼, 영상감시 산업에서 GDPR은 심각하게 고려해야 될 상황이다. 하지만, 영상감시 기업들 중 GDPR을 준비중인 곳은 거의 없다. 심지어 GDPR이 무엇을 뜻하는지도 모르는 기업이 있어 GDPR에 대한 준비가 절실히 요구되는 상황이다.
■ 선도적으로 GDPR 준비 마친 제네텍
