이 시각 주요 뉴스

여백

4차산업 시대 새로운 개인정보 규제 패러다임 제시할 ‘GDPR’

대기업 외에 준비된 기업은 미비… 개인정보보호 컴플라이언스 높일 기회로 삼아야 신동훈 기자l승인2018.06.04 09:33:07l수정2018.06.07 12:59

크게

작게

메일

인쇄

신고

[CCTV뉴스=신동훈 기자] 개인정보보호의 패러다임을 바꿀 GDPR이 지난 5월 25일 시행됐다. EU 회원국간 디지털경제 활성화와 함께 EU 시민들의 개인정보보호 권리를 강화하고 개인정보의 자유로운 이동을 보장하기 위한 제도이지만, GDPR과 무관해 보이는 보안 담당자와 IT 부서들도 촉각을 곤두세우고 있다.

기존 지침(Directive)에서 규정(Regulation)으로 제정되면서, 교역국가에게 GDPR을 따르도록 강요했고 개인정보 침해사고가 발생할 경우 엄청난 규모의 과징금을 부과하는 등 제재를 강화했기 때문이다. GDPR이 시행된 현재, GDPR 시사점과 GDPR이 개인정보 패러다임을 어떻게 바꿀지 그리고 GDPR 전문가 인터뷰를 통해 GDPR 현재와 미래를 진단한다.

GDPR이 지난 5월 25일 시행됐다. 개인정보보호 컴플라이언스를 높여 기업 경쟁력을 강화시키고 기업 신뢰도를 향상시키는 기회로 삼아야 한다.

■ GDPR…왜 알아야 하는가?

GDPR은 EU 일반 개인정보보호규정(General Data Protection Regulation)으로써, EU 회원국 간 개인정보보호입법의 불통일성으로 인한 전자상거래의 곤란을 없애고, EU 디지털경제의 활성화라는 과제 달성을 위한 강력하고 통일된 EU 개인정보보호제도이다.

즉, 유럽의 디지털 싱글마켓 전략의 일환으로, 미국과 중국 등 막강한 디지털 시장 장악력을 발휘하는 국가에 단일의 힘으로 대응하기 위함이다. 특히 EU는 강력한 통제권을 가지기 위해 GDPR을 위반할 시 최대 2천만 유로 또는 기업 연간 매출액의 최대 4% 중 많은 금액을 과징금으로 부과하도록 하는 강제조항을 삽입했다.

GDPR은 전문(Recital) 173개, 본문 11장(Chapter), 99개 조항(Article)이라는 방대한 개인정보 관련한 항목들이 포함돼 있다. EU의 개인정보를 취급하는 사업자는 데이터 흐름을 파악해 GDPR 맞춤형 IT 시스템을 갖춰야 된다는 것이 핵심이다.

단순히, 사업자만 대상이 되는 것은 아니다. ▲지역(EU 역내 사무소를 운영하거나 직원을 둘 경우) ▲광고(EU 역내 시민에게 광고, 상품 또는 서비스를 판매할 경우) ▲데이터(EU 시민과 관련된 내용이 담긴 데이터를 취급할 경우) ▲파트너(EU에 소재한 기업과 파트너십을 맺고 있는 경우) 등 적용대상도 다양하다.

EU는 GDPR을 통해 개인정보 처리 장소가 어디가 됐든 EU 개인정보를 처리할 경우 GDPR 저촉을 받게 했고, EU 내 국외 이전은 자유롭게 허용하돼 국외이전은 까다롭게 규제했다. 개인정보 이동권, 삭제권, 프로파일링 등 새로운 조항들을 추가했고, DPO 등 개인정보처리자가 GDPR 규정을 준수할 수 있는 행동강령을 마련하게 조치했다.

즉, GDPR은 종래의 지침에서 규정으로 바뀌면서 EU 내 모든 회원국들에게 법적 구속력을 가지게 했고 EU에 재화와 서비스를 제공하는 기업들에게 모두 적용하게 했다. 특히 위반 시 막중한 과징금과 제재가 부과되므로 EU와 연관된 기업들은 발등에 불이 떨어진 상태이다.

■GDPR? ‘모르쇠’가 대부분

GDPR에 대한 준비 상황은 대부분 완전하지 못한 것으로 조사됐다. 지난 4월 27일 글로벌 분석기업 SAS는 GDPR 담당자 183명을 대상으로 조사한 자료를 발표한 결과, GDPR 대응을 완료한 기업은 7%에 불과했다. 또한, GDPR 시행일까지 대비를 마칠 것으로 예상한 기업은 46%였고, 조사에 참여한 EU 기업의 53%, 미국 기업의 30% 만이 GDPR 시행일까지 준비를 끝낼 것으로 예상했다. 특히 GDPR 대응을 위해, 개인 데이터를 저장하는 모든 소스를 파악하는 것이 가장 큰 당면과제라 언급했다.

국내 역시 대기업을 제외하고 제대로 준비하고 있는 기업은 미비하다. 지난해 국내 기업의 GDPR 현황을 준비한 벤슨 본은 약 61% 기업이 GDPR 시행에 맞춰 준비를 못할 것이 라 답했으며, 40%는 실시간으로 DB 모니터링 툴이 없어 관리가 불가하다, 29%는 관련 데이터를 정확하게 식별하기가 어렵다고 답했다.

개인 데이터의 접근부터, 식별, 거버넌스, 보호, 감사 보고까지 전체 라이프사이클의
흐름을 파악할 수 있는 데이터 매핑(Data Mapping)을 하는 것이 중요하나, 로펌 컨설팅, IT 시스템 구축 등 ‘비용’이 들어가서 주저하고 있거나 아예 EU 서비스 사업을 접는 경우도 있다.

본지에서도 GDPR 시행을 앞두고 조사한 결과에서도 GDPR을 준비하고 있는 기업은 많지 않았으며, 정확한 파악이 어려워 답장이 어렵다는 입장이 대부분이었다.

법무법인 율촌 김선희 변호사는 “대기업은 거의 준비됐다고 보나, 중소기업 중에는 아직 시작을 하지 못 하고 있는 기업도 많다. 기업별로 준비 수준도 다 다른데, 시행되는 시점에는 50%도 제대로 준비를 못 했을 걸로 생각된다”고 말한 바 있고, KISA 권현준 개인정보정책단장은 “중소기업들이 법에 대해 잘 몰라 GDPR 적용 여부를 묻는 질문이 가장 많아 적법한 컨설팅 등 도움을 줄 수 있는 방안을 고민중”이라며 “KISA에서 유럽 내 사업을 영위하거나 준비를 하고 있는 기업을 위해 홍보활동을 하고 있으나 이에 대해 알지 못하거나 알아도 큰 관심을 보이지 않는 기업이 많았다”고 전했다.

■ GDPR 기업 대응은 어떻게?

출처 : 한국인터넷진흥원(gdpr.kisa.or.kr)

당장 발등에 불이 떨어진 기업들의 GDPR 준비는 어떻게 해야 할까? 많은 기업들이 어려움을 토로한다. 업계 관계자는 “처음 시행되는 법인만큼 GDPR 규정을 충족하는 모법답안이 없다. 특히 컨트롤러와 프로세서에게 GDPR과 정보보호 법규 준수 의무를 알리고 자문하는 역할을 수행하는 개인정보호책임자(DPO) 확보 역시 어려운 문제가 될 것”이라 전했다.

KISA에서는 GDPR 적용 여부, 개선, 소요시간 등을 고려해 3단계로 나눠 준비하라고 조언한다. ▲ 1단계에는 개인정보 처리 현황을 점검해 GDPR 적용 대상인지 확인 ▲2단계에는 GDPR 적용 대상인 경우 기 배포된 안내서, 가이드라인 등을 참고해 개인정보보호책임자(DPO) 지정 등 즉시 개선 가능한 사항 이행 ▲3단계에는 GDPR기준에 적합한 개인정보 처리 방법, 동의, 획득 절차 등 내부지침을 개선하고 영향평가 등에 소요되는 예산, 조직 등 보완 등을 말한다.

권현준 KISA 개인정보정책단장은 “GDPR에서는 250명 이상 기업에 한해 개인정보 처리활동에 대한 기록을 의무적으로 문서화하도록 규정하고 있으나, 소규모 기업이라 할지라도 개인정보, 민감정보, 범죄 경력 및 범죄행위에 관련한 개인정보 처리시 반드시 처리활동 기록이 필요하므로 주의를 요한다”고 지난 4월11일 ‘우리 기업의 GDPR 대응 지원 방안’에서 전했다.

법무법인 화우 이근우 변호사는 “우선 GDPR이 적용되는지 확인하고, 적용된다면 프로세서, 컨트롤러, 처리원칙 등 핵심 내용을 먼저 파악해야 한다”며 “특히 국내 기업은 한국법 상 주체에 대한 권리보장이 취약할 수 밖에 없는데 이 부분을 가장 신경써야 할 것”이라 제언했다.

■개인정보보호 컴플라이언스 수준 높이는 기회로 삼아야

GDPR 관련한 많은 전문가들은 개인정보 담당자라면 GDPR에 대한 정의와 의미 정도는 알아야 된다고 조언한다. 4차 산업시대, 개인정보 활용이 중요한 시점이지만, 온라인을 통해 많은 개인정보가 유출되고 있는 상황이다. 국내는 물론 많은 국가에서 개인정보 보호체제를 개선하는 가운데 GDPR이 개인정보 보호법제의 벤치마크가 될 전망이기 때문이다.

EU와 법제가 상이한 미국은 Privacy Shield 협정을 통해 자국 기업이 EU가 요구하는 수준의 개인정보보호를 이행토록 했고, 한국과 일본은 EU의 적정성 평가(Adequacy Decision)을 진행 중으로, EU의 요구수준에 부합하는 개인정보 보호법제를 마련 중이다.

법무법인 율촌 손도일 변호사는 “4차 산업혁명위원회 주최 해커톤 회의 참여 당시, 빅데이터 비식별화 익명 정보, 익명 가공 정보의 개념을 GDPR을 참조하기로 했다”고 언급했고 법무법인 화우 이근우 변호사는 “GDPR이 국내법에도 영향을 미칠 것이다. 금융당국이 빅데이터의 개인정보보호와 활용 측면에서 GDPR을 참조하기로 했다. 향후 국내변호사들에게도 GDPR이 업무영역이 될 것”이라고 내다봤다.

국내 개인정보보호법은 규제가 강하지만, 대부분 동의 기반이라 보호 수준은 높지 않다. GDPR은 취약한 동의 기반에서 벗어나 원칙을 기반으로 하고, 정보주체의 권리를 강화할 수 있는 잊혀질 권리, 개인정보 이동권, 프로파일링 등의 조항을 추가했다. 또한, 개인의 모든 정보를 가져가는 게 아닌 아이디/패스워드, 이메일 주소 등 필요한 정보만 가져가게 되어 있다. 한국법과 함께 GDPR까지 준수할 수 있다면, 개인정보 컴플라이언스 수준을 높일 수 있는 좋은 기회다.

법무법인 율촌 김선희 변호사는 “GDPR 컨설팅을 하다보면 한국법에 미흡한 부분이 있어 그 쪽을 먼저 점검할 때도 있다”며 “이번 GDPR 이슈로 개인정보보호에 대한 관심과 준수 의지가 높아지고 있어 개인정보보호 컴플라이언스를 한층 높일 수 있는 좋은 기회로 본다”고 전했다.

개인정보 보호역량 강화를 통해 기업 경쟁력을 강화시키고 기업 신뢰도를 향상시킬 수 있다. 또한, GDPR의 개인정보보호 영향평가와 데이터보호담당관(DPO)와 같은 선진적인 개인정보 보호체제를 도입함으로써, 전체적인 데이터 흐름을 파악하고 이 속에서 새로운 비즈니스 인사이트도 얻을 수도 있다.

#GDPR#개인정보보호#EU

신동훈 기자  sharksin@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

신동훈 기자의 다른기사 보기
여백
여백
여백
여백
여백
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2018 CCTV뉴스. All rights reserved .