[12월 기획] 엄습해오는 GDPR 공포…우리는 준비됐는가?

[CCTV뉴스=신동훈 기자] 개인정보보호의 패러다임을 바꿀 유럽 일반 개인정보 보호법(GDPR, General Data Protection Regulation) 시행이 이제 반년 앞으로 다가왔다.

유럽연합(EU)이 디지털 단일 시장에서 EU 회원국간 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 개인정보 보호 권리를 강화하기 위해 제정한 GDPR이 2018년 5월 25일 시행될 예정이다.

새롭게 제정된 GDPR은 개인정보 관리에 대한 매우 강도 높은 규제 수준을 포함하고 있으며, 기존 개인정보보호 지침과 달리 그 자체로 EU의 모든 회원국들에게 직접적인 법적 구속력을 가진다. 

글로벌 데이터관리 전문기업 베리타스(Veritas)가 전 세계 기업 비즈니스 의사결정권자들을 대상으로 유럽 일반 개인정보 보호법(General Data Protection Regulation, GDPR)이 미칠 영향을 조사했다. 국내 기업의 93% 의사결정권자가 GDPR을 준수하지 않을 경우 비즈니스에 심각한 악영향을 미칠 수 있다고 응답했으며, 13%는 비즈니스 중단에 이를 수 있다고 답했다. 기업의 GDPR 대비 상황에 대한 우려를 나타낸 것.

하지만 아직도 여전히 많은 기업들은 GDPR 준수의 중요한 첫 단계인 어떤 데이터를 보유하고 있는지, 해당 데이터가 어디에 있는지, 비즈니스와 어떤 관련이 있는지 파악하는데 심각한 어려움을 겪는 것으로 나타났다. 거기에 더해 GDPR에 대해서 아예 무지한 기업도 있다. 가트너(Gartner)는 “2018년말까지 GDPR의 영향을 받는 기업임에도 불구하고 50% 이상이 요구사항을 완전히 준수하지 않을 것”이라고도 전한 바 있다.

■ 영상감시 산업에서의 GDPR의 의미

영상감시 산업에서 GDPR이 가지는 의미는 무엇일까? 제네텍(Genetec)이 11월 발표한 <영상감시 산업에서의 GDPR의 의미(What the GDPR means for Video Surveillance)>에서는 다음과 같이 주의사항을 당부했다.

“공공 영상감시 시스템 등 EU에서 영상감시 애플리케이션을 실행하는 데이터 컨트롤러(관리자)는 신원 파악, 관리 그리고 위험 완화와 관련해 GDPR 규정에 특히 주의를 기울여야 한다. GDPR이 영상감시 애플리케이션을 구체적으로 언급하지는 않지만 GDPR의 <일반적인 데이터 보호 원칙>이 적용된다.

유럽 데이터 보호 기관(Data Protection Agencies, DPA)은 대규모 감시가 필요한 공공장소 모니터링과 같은 영상감시 부분을 <위험도가 높은 산업군>으로 분류한다. 결론적으로, EU에서 영상감시를 수행하는 데이터 컨트롤러는 위험 평가 수행, 개인 프라이버시 보장 되는 시스템 설계, GDPR에 준하는 신호 체계 개발 등 매우 구체적인 작업을 수행해야 한다.”

“해당 시스템에 대한 컴플라이언스 전략을 결정할 때 데이터 컨트롤러는 GDPR 대비용 자체 솔루션을 구축하거나 데이터 처리를 아웃소싱하는 두 가지 옵션이 있다. 두 가지 경우 모두 데이터 관리자는 요청에 따라 개인에게 수집된 모든 데이터를 해당 개인에게 제공하는 GDPR 의무를 이행할 수 있는 솔루션을 구축해야 한다.

영상감시 애플리케이션과 개인정보보호 그리고 데이터 보호 등을 모두 이해하는 신뢰할 수 있는 파트너를 통한다면, 영상감시 애플리케이션의 전체 GDPR 준수를 달성하는데 중요한 포인트가 될 수 있다.

온-프레미스 환경에서 GDPR을 준수할 수 있는 영상감시 애플리케이션을 구축하려는 데이터 컨트롤러는 시스템을 강화함과 동시에 암호화, 인증, 익명화와 같은 방법을 통해 준수 여부를 확인하는 방법을 고려해야 한다. GDPR 준수를 위해 아웃소싱을 준비중인 기업은 GDPR 요구사항을 완벽하게 준수할 수 있는 솔루션을 제공하는 기업과 반드시 파트너 관계를 맺어야 한다.”

제네텍이 언급한 것처럼, 대규모 감시를 하는 영상감시 부분은 <위험도가 높은 산업군(high-risk processing operation)>으로 분류돼 있다. GDPR을 통해 유럽연합은 데이터 보호법 범위를 상당히 넓게 확대했고 유럽연합 회원들에게 새로운 권리를 부여했다.

또한, 개인정보보호와 데이터 유출 등 주요 문제에서는 데이터 관리자에게 더 많은 책임을 요구하며 경우에 따라서는 데이터 보호 책임자를 임명해야 한다. GDPR은 클라우드 서비스 제공업체를 비롯한 데이터 프로세서들에게 특정한 의무를 부과하고 법에 명시된 개인정보보호에 대한 개념을 고수하도록 강제한다. 이를 위반시 심각한 페널티를 받을 수 있다.

이처럼, 영상감시 산업에서 GDPR은 심각하게 고려해야 될 상황이다. 하지만, 영상감시 기업들 중 GDPR을 준비중인 곳은 거의 없다. 심지어 GDPR이 무엇을 뜻하는지도 모르는 기업이 있어 GDPR에 대한 준비가 절실히 요구되는 상황이다.

■ 선도적으로 GDPR 준비 마친 제네텍

영상감시 산업에서는 GDPR을 선도적으로 준비하며 ‘GDPR-READY’를 마친 곳은 제네텍이다. 제네텍은 키위 시큐리티(Kiwi Security) 제품을 통해 GDPR에 대한 준비를 마쳤다. 개방형 통합보안 플랫폼인 제네텍 시큐리티 센터(Security center) 내 플러그인으로 들어가 있는 키위 시큐리티의 키위비전 프라이버시 프로텍터(KiwiVision Privacy Protector)가 유로프라이스(EuroPrise)의 유로피언 프라이버시 씰(Privacy Seal) 재인증을 획득했기 때문.

키위 시큐리티는 오스트리아 시큐리티 업체로, 지능형 영상분석 기술과 실시간 영상 마스킹 기술 등을 보유했다. 제네텍이 약 2년 전부터 키위 제품을 팔기 시작했고 올해 키위비전 프라이버시 프로텍터를 시큐리티 센터 플러그인으로 완전히 녹여냈다.

유로프라이스(EuroPrise)는 유럽위원회의 지원을 받는 9개 프라이버시 단체의 컨소시엄으로, 개인정보보호와 정보보안에 관한 유럽연합법과 규제를 준수하는 인증을 수여하는 단체다. 유럽 프라이버시 씰은 개인정보보호에 탁월한 IT 기반 제품에 수여되는데 GDPR과 호환되는 것이 특징이다.

키위비전 프라이버시 프로텍터는 실시간으로 감시 영상의 모든 사람을 자동으로 마스킹하는 제품이다. 원본 영상은 암호화돼 백그라운드에 저장되며, PIN코드와 결합된 칩 코드 혹은 트랜잭션 코드를 두 명의 신뢰자(Two confidant)가 동시에 암호를 해독해야 만이 원본을 볼 수 있다.

▲ 키위비전 프라이버시 프로텍터 시연 영상.

키위비전 프라이버시 프로텍터는 영상감시 산업에서 유럽 프라이버시 씰 인증을 받은 유일한 제품이다. 유럽 프라이버시 씰 인증과정에서는 심층적인 조사가 기술과 법률 분야 모두 진행된다. 유럽 프라이버시 씰 인증을 받았다는 것은 GDPR에 대한 적합성이 확인됐음(Verified)을 의미한다. 키위 제품이 유일한 유럽 프라이버시 씰 인증을 받았다는 얘기는 제네텍 외에는 영상감시 산업에서 GDPR을 제대로 대비하는 곳은 없다는 것으로 해석된다.

성시완 제너솔루션 대표는 “유럽에서는 VMS 사용시 키위비전 프라이버시 프로텍터 같은 실시간 영상 마스킹 기능이 반드시 적용돼야 한다”며 “모니터링 요원은 실시간 라이브에서 얼굴이 마스킹 된 화면만을 봐야 하고 총괄 책임자만이 원본 영상을 볼 수 있다”고 설명했다.

이어 “CCTV 영상 데이터는 100% GDPR이 적용된다고 본다. 데이터 보호가 필요한 공공 CCTV, 비디오 클라우드 서비스는 고위험군에 속해 위반 시에 많은 벌금을 내야 할 것”이라고 덧붙였다.

■ 유럽에 진출하지 않아도 GDPR이 가진 의미는 파악하고 있어야

GDPR은 유럽에 진출하지 않아도 유럽에 제품을 파는 모든 기업에 일괄 적용된다. GDPR은 EU 내 사업장이 있는 기업뿐 아니라 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등 정보주체의 행동을 모니터링하는 기업에까지 전 세계적으로 확대 적용된다.

박철한 베리타스 글로벌 정보 거버넌스 프랙티스 리드는 “전 세계적으로 GDPR 대비의 시급함을 간과하고 있는 기업들이 있다. 기업이 EU에 사업장이 있는지 여부와 관계없이 EU 국가를 대상으로 비즈니스를 하는 경우에는 모두 GDPR이 적용된다”며, “기업들은 컨설팅을 통해 GDPR 준수를 위한 준비 상태를 점검하고 전략을 수립해야 한다. 지금 대비하지 않으면 기업의 일자리, 브랜드 평판 및 비즈니스 생존이 위태로울 수 있다”고 밝혔다.

GDPR은 2018년 5월 25일부터 적용된다. 불과, 반 년 밖에 남지 않았다. 공공 장소 등에 영상감시 시스템을 구축했거나 관련한 모든 기업은 GDPR 규정에서 정한 의무에 따라 시스템이 개인 정보를 준수하는지 필수적으로 확인해야 한다.

특히, 수집된 데이터의 무결성을 모니터링하고 유지해야 하며 개인정보 침해 등 GDPR 위반을 인지한다면, 72시간 이내 유럽 데이터 보호 기관(Data Protection Agencies, DPA)과 정보주체에게 위반 사실을 알려야 한다. 심각한 위반상황이 발생했을 경우 전 세계 연간 매출액의 4% 또는 2천만 유로 중 더 높은 금액이 과징금으로 부과된다. GDPR은 준수하느냐? 안 하느냐?의 문제가 아니다. 박철한 프랙티스 리드가 언급한 것처럼, 기업의 평판은 물론 비즈니스 생존이 위태로울 수 있다.

<GDPR이란?>

유럽 의회에서 유럽 시민들의 개인정보 보호를 강화하기 위해 만든 통합 규정이다. 2016년 유럽 의회에서 공표됐으며(Regulation(EU) 2016/679), 약 2년 간의 유예 기간을 거친 후 2018년 5월 25일부터 EU 각 회원국에서 시행된다. 유럽 연합(EU)의 시민의 데이터를 활용하는 경우 GDPR을 준수해야 한다.

GDPR의 주요 항목은 사용자가 본인의 데이터 처리 관련 사항을 제공 받을 권리(the right to be informed), 열람 요청 권리(the right of access), 정정 요청 권리(the right to rectification), 삭제 요청 권리(the right to erasure), 처리 제한 요청 권리(the right to restrict processing), 데이터 이동 권리(the right to data portability), 처리 거부 요청 권리(the right to object), 개인정보의 자동 프로파일링 및 활용에 대한 결정 권리(rights in relation to automated decision making and profiling) 등이다.

이 중, 삭제 요청 권리(the right to erasure)는 기존 GDPR 초안의 잊힐 권리(the right to forgotten)에서 명칭이 바뀌었다. 개인정보의 자동 프로파일링과 활용에 대한 결정 권리(rights in relation to automated decision making and profiling)는 마케팅의 일환으로 개인의 직업, 취미, 위치 등이 자동 수집·처리돼 활용되는 경우에 대해, 데이터 주체자인 사용자에게 고지, 활용 여부 결정, 거부할 수 있는 권리 등에 대한 것이다.

GDPR은 종래 지침(Directive)에서 규율(Regulation)이라는 법 형식으로 규율돼 법적 구속력(Binding)을 가지며, 모든 EU 회원국들에게 직접적으로 적용된다는 것이 특징이다. 기존 지침에서는 회원국들 간 개인정보 보호 법제가 서로 달라 기업들이 활동함에 있어 여러가지 문제점이 발생했다면, GDPR 제정을 통해 보다 강력하고 통일적인 개인정보 보호 규제가 가능하게 됐다.

GDPR은 2016년 5월 제정돼 2018년 5월 25일부터 시행될 예정이다. 따라서, EU에 진출했거나 진출을 희망하는 우리 기업은 GDPR이 시행되는 2018년 5월 25일까지 기간 동안 GDPR 규정하고 있는 보호조치를 마련하고 의무 규정들을 준수하기 위한 대책을 적용해야 한다.

GDPR의 개인정보 정의란, 식별됐거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를 의미한다. ‘식별가능한 자연인’은 직접적 또는 간접적으로 식별될 수 있는 사람을 의미하며, 특히 이름, 식별번호, 위치정보, 온라인 식별자(online identifier) 등의 식별자를 참조하거나, 하나 또는 그 이상의 신체적〮생리적〮유전적〮정신적〮경제적〮문화적 또는 사회적 정체성에 대한 사항들을 참조해 식별할 수 있는 사람을 뜻한다. IP 주소, MAC　Address, 온라인 쿠키(cookie)를 통해 개인 식별이 가능한 경우 온라인 식별자에 해당해 GDPR이 정하는 개인정보로 볼 수 있다.

<GDPR 주요 내용>

· 적용 대상: EU 거주시민의 개인정보를 처리하는 모든 개인정보 처리자에 대해 적용되며, IP주소 등 온라인 식별자나 위치정보도 개인정보에 포함된다.

· 적용 범위: EU에 사업장을 운영하며 개인정보 처리를 수반하는 경우를 포함해 EU에 사업장을 가지고 있지 않더라도 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 EU 내 정보주체의 행동을 모니터링을 하는 경우도 GDPR을 준수해야 한다.

· 개인정보 주요 처리원칙: △적법성•공정성•투명성의 원칙 △목적·보유기간 제한원칙 △최소 처리원칙 △정확성의 원칙 △무결성·기밀성의 원칙 △책임성의 원칙에 따라 개인정보를 처리해야 한다.

· 강화된 정보주체의 권리: 정보주체의 권리가 확대돼 △정보를 제공받을 권리 △정보주체의 열람권 △정정권 △삭제권(‘잊혀질 권리’) △처리에 대한 제한권 △개인정보 이동권 △반대할 권리 △자동화된 결정 및 프로파일링 관련 권리를 포함한다.

· 기업의 책임성 강화: 기업은 GDPR 정책을 채택해 시행하여야 하고, 개인정보 처리활동을 기록해야 한다. 리스크가 있는 처리 활동 전에 영향평가를 실시해야 하고, DPO(Data Protection Officer, 데이터 보호 책임자)를 지정할 의무가 있다.

· 개인정보 침해발생 시 조치사항: 기업은 개인정보 침해 인지 후 72시간 이내에 감독기구에 알려야 하며, 정보주체에게도 지체 없이 알려야 한다.

· 국외 이전: EU 시민의 개인정보는 GDPR의 규정에 부합할 경우(적정성 결정, 구속적 기업규칙(BCR), 표준계약 조항, 인증, 행동규약 등 적절한 보호조치가 있는 경우 등)만 EU 밖으로 이전할 수 있다.

· 과징금: 개인정보 처리 원칙, 동의요건, 국외이전 등 심각한 위반의 경우, 전 세계 연간 매출액의 4% 또는 2000만 유로 중 더 높은 금액이 과징금으로 부과된다. 그 외의 일반적 위반의 경우 전세계 연간 매출액의 2% 또는 1000만 유로 중 더 높은 금액이 과징금으로 부과된다.

* GDPR 시행에 따라 EU에 진출했거나, 진출을 희망하는 기업은 GDPR이 시행되는 2018년 5월 25일까지의 기간 동안 GDPR이 규정하고 있는 보호조치를 마련하고, 의무 규정들을 준수하기 위한 대책을 적용해야 한다.