[12월 기획] ‘로마에 가면 로마법을 따르라’ EU GDPR, 활용보다 지키는데 집중해야
상태바
[12월 기획] ‘로마에 가면 로마법을 따르라’ EU GDPR, 활용보다 지키는데 집중해야
  • 최진영 기자
  • 승인 2017.12.08 11:07
  • 댓글 0
이 기사를 공유합니다

클라우드는 GDPR 타개법 될 수 있을까?

[CCTV뉴스=최진영 기자] "로마에 가면 로마법을 따르라." GDPR의 이런 ‘꼰대’스러운 발상이 EU을 넘어 넓은 공감을 받는 이유는 무엇일까?

이는 실질적이고 강제적인 GDPR이 개인정보를 지키는 데 있어서 실효적인 기능을 할 것이라는 기대가 있어서다. 기업들이 머리를 동여매고 GDPR 대응을 위해 노력하는 모습만 봐도 그 변화를 예감할 수 있다.

■ 컴플라이언스를 넘어

올해 7월 SK인포섹과 법무법인 율촌이 내놓은 GDPR 선제적 대응 전략은 어설픈 개인정보 활용은 독이 될 수 있다고 경고한다. 가트너에 의하면, 2018년 말 기준 절반 이상의 기업이 GDPR의 영향을 받을 것이라 조사됐다. 또 그 중 절반 이상이 대처하지 못하는 신세가 돼 비즈니스 생존이 위태로울 것으로 나타났다.

재화나 서비스를 제공할 지점이 국가든 소비자든 상관없이 도달점이 EU라면 GDPR부터 떠올려야 한다. 개인정보를 활용하지 않거나 수집하지 않는 방법은 없기 때문이다.

법무법인 율촌의 경우 GDPR을 소개하면서 국내법과 두드러진 차이를 비교했다. 우선 영토적 관할이 광범위 하다는 점이다. GDPR의 경우 정보처리자가 EU에서의 활동에 수반되는 개인정보 처리에 적용된다. 정보처리자가 EU 역내에 설립되지 아니한 경우에도 일정한 요건 하에서 EU 회원국 내 정보주체의 개인정보를 처리함에는 GDPR을 적용할 수 있다.

이런 넓은 법적용에서 알 수 있듯이 정보주체 권리는 강화된다. 국내 개인정보보호법에서는 규정되지 않은 정보주체의 권리를 모두 포함한다. 자료 이동 요구권(자기정보 이전에 관한 권리), 프로파일링에 대한 거부 등 국내 기업들은 생소한 소비자 권리가 산적해 있다.

또한 개인정보가 EU라는 울타리를 넘기도 어렵다. 국외 이전에 대한 구체적이고 세부적인 규정을 두고 있어 EU 개인정보 보호수준에 미치지 못하는 제3자 또는 국제기구로 개인정보 이전을 금지한다.

감독기관의 영향력이 막강하다는 표현도 담았다. EU의 경우 감독당국은 독립성이 보장된 기관으로 EU 개인정보보호 적합성을 심사도 담당한다. 국내에서 개인정보를 담당하는 곳은 행정안전부로 정부가 담당한다.

율촌은 이를 개인정보보호위원회(개보위)와 비교한 것으로 보이며, 개보위는 권한이 없어 유명무실한 경우가 적지 않다. 국내기업에게는 ‘자율적 보안 조치’가 가장 어려운 부분일 수 있다. EU의 경우 개인정보 보호에 대한 세세한 가이드라인이 존재하는 국내와 개념부터 다르다.

개인정보처리자가 자체적으로 GDPR 규정을 적용해 이를 준수할 수 있는 행동강령을 마련한다. 개인정보 영향평가를 바탕으로 위험성도 자체 평가한다. 컴플라이언스에 따라 구색만 갖춰놓는 보안과 이별하고 실질적인 개인정보보호에 초점을 맞춰야 한다는 측면이 크게 반영된 부분이다.

■ GDPR, 책임을 피하는 방법?

▲ SK인포섹과 법무법인 율촌은 7월 7일 ‘유럽 일반 개인정보보호 규정 시행에 따른 선제적 대응 전략’을 주제로 세미나를 가졌다.

“책임부담의 일반원칙에 의거해 컨트롤러(통제자)나 프로세서가 손해를 야기한 사건에 대해 책임이 없음을 증명하면 해당 책임으로부터 면제된다.” GDPR 제82조에는 개인정보 유출 시에도 기업의 책임이 면제될 가능성이 서술돼 있다.

우선 통제자는 개인 정보의 처리 목적 및 수단을 결정하는 자연인 또는 법인, 공공 기관, 대리인 또는 타인과 단독으로 또는 공동으로 타 기관을 의미한다. 즉, 개인정보를 활용하는 주체를 말한다.

이 규정에 따라 침해로 인해 피해를 입은 사람은 보상금을 받을 권리가 생긴다. 물질적 피해는 물론 비물질적 피해까지 그 대상이 된다.

또한 프로세서는 컨트롤러를 대신해 개인정보를 처리하는 자연인 또는 법인, 공공 기관, 대행사 또는 기타 기관을 의미한다. 개인정보 가공에 관여 한 모든 프로세서는 침해가 발생할 경우 손해를 지게 될 가능성이 있다.

이는 기업들의 서버가 온프레미스에서 클라우드로 변화하는 디지털 트랜스포메이션을 반영했다고 할 수 있다. 온프레미스 환경은 인프라와 솔루션을 산다는 개념인 반면 클라우드는 빌린다는 개념이다. 많은 이들이 클라우드 환경에서는 책임을 공유하게 될 것이라 예측하고 있다.

클라우드 보안은 서비스로서의 보안(Security as a Service, SECaaS)으로 저장장치, 운영시스템, 애플리케이션 등을 결정하고 관리하는 것을 프로세서가 책임진다.

클라우드 접근 보안 브로커(Cloud Access Security Broker, CASB) 플랫폼까지 도입할 여력이 되는 기업에서는 내부직원의 보안교육과 사용자 인터페이스만 관리한다면 책임에서 더 멀어질 수 있다.

사실 사용한 만큼만(온 디멘드, On Demand) 비용을 지불한다는 클라우드의 장점으로, ‘여력’이라고 표현한 진입장벽이 높은 것은 아니다. 때문에 GDPR을 직면하는 기업이라면 ‘정보보호를 위해 온프레미스를 사용한다’는 명제를 의심해 봐야 하는 시점이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.