우리 기업의 GDPR 준비는? 보안 기업 GDPR 인지 조사 Q&A

[CCTV뉴스=신동훈 기자] GDPR이 지난 5월 25일 시행된 뒤, 국내 기업들이 발등에 불이 떨어졌다. EU 내 사업을 진행하고 있거나 진출을 계획하고 있는 기업들의 경우 GDPR 규정을 숙지하고 대응 방안을 마련해야 하지만, 국내 개보법과 달라 대응방안 마련에 많은 고심을 하고 있다. 글로벌 기업 및 대기업, 중견기업 등에서는 비교적 잘 준비하고 있으나, GDPR 시행으로 어려움을 겪고 있는 건 마찬가지이다. 본지에서는 GPDR에 대해 어떻게 알고 있는지 그리고 어려운 점은 무엇인지 등 보안기업들의 얘기를 들어보았다.(기업명 가나다순)

Q. 개인정보보호법 VS GDPR⋯더 강한 규제는?

다후아 : 한국 개인정보보호법의 주요목적은 국민의 개인정보 보호이다. 이름, 주민등록번호, 신원으로 사용할 수 있는 모든 정보, 또한 해당 정보가 즉시 신원을 확인 할 수 없지만 다른 정보와 취합하여 사용 가능 한 정보도 포함했다. 8가지 정보 보호 원칙이 포함되어 있어, 크고 작은 모든 공공기관 및 민간기업의 개인 정보 처리자는 모두 이상 원칙을 준수해야 한다.

GDPR은 개인정보보호 및 감시 관리 규제에 있어 전례 없는 높은 수준을 요구하며, 역사상 가장 엄격한 데이터 보호 규정이 될 것이라고 얘기한다. 주요 목적으로는 EU 여러 규범을 하나로 단일화하여 개인 데이터 보호 강화함과 동시에 기업 규정 준수에 들어가는 비용을 줄이는 것이다.

두 법률의 입법 목적은 모두 개인 정보와 관련 데이터를 보호하는 것이지만 개인정보보호법은 한국을 대상으로, GDPR은 EU 대상이며 두 법규의 주제, 대상 및 규범이 다르므로, 객관적으로 어느 쪽이 강한 규제라고 비교할 수 없다.

마크애니 : GDPR이 개인정보보호법보다 실질적인 조치에서 더 강한 규제를 한다고 본다. 기업에서 해킹 등 정보 유출 사고 발생 시 개인정보보호법은 법률에 명시된 기술적, 관리적 조치를 했느냐를 기준으로 그 기업에 대한 처벌에 대한 수위를 정하게 된다. 그러나 GDPR의 경우 유출 사고 발생 시 매출액의 상당 부분을 과징금으로 부과하게끔 명시해 놓았다. 즉, 국내법과 달리 GDPR은 유출 사고 발생 시 처벌의 수위가 기업에게 상당히 큰 타격을 주게끔 설계됐다.

베리타스 : 한국은 지난 2011년 개인정보의 수집과 이용을 제한하는 개인정보보호법을 제정해 시행하고 있다. 하지만, GDPR은 개인정보를 폭넓게 정의하고 있고, 이른 바 ‘잊혀질 권리’로 불리는 삭제권이나 최소 처리원칙과 같이 한국의 개인정보보호법보다 세부적으로 규정하는 조항들이 있기 때문에 기업들은 이러한 차이를 정확히 알아야 GDPR에 제대로 대비할 수 있다.

또한 아동의 동의를 받는 방식도 다르며 국외이전에 대한 부분도 기업들이 준비해야 한다. 한편, 용어의 의미는 유사하나 내용에 있어 많은 차이가 있는 영역도 있는데, 개인정보보호 영향평가(DPIA)의 경우, 평가의 주체·평가방식·평가시점 등에서 차이를 보이고 있어 면밀한 준비가 필요하다.

소만사 : 개인정보보호법이라 생각한다. 개인정보보호법은 개인정보의 보호를 위해 제정되었지만, GDPR의 제정목적은 경제 및 사회적발전, 시장경제강화 및 통합, 개인복지증진 등 개인정보의 활용과 보호의 균형을 이루기 위해 제정되었다. 즉, GDPR은 개인정보의 활용과 자유로운 이동, 과학기술발전 및 활용에 개방적이다. 개인정보보호법의 비식별화처리에 비해 단순한 방식의 가명화를 거치기만 하면 동의 받은 목적 외로 개인정보를 활용할 수 있다.

물론 GDPR에는 보호규정 위반시 전세계 매출의 4%를 과징금으로 부과해야 한다는 중징계 규정이 있다. 3%를 부과하는 개인정보보호법 규정보다 더 강하다.  하지만 개인정보보호법과 달리 형사처벌 규정은 존재하지 않는다. 상대적으로 개인정보보호법의 규제가 더 강한 것으로 보인다.

애니셀 : 이미 국내의 개인정보보호법 자체도 강화된 기준으로 바뀌어 가고 있으므로 이번에 시행되는 EU의 GDPR과 비교시 어느쪽이 강력하다고 평하기는 애매하지만(현지 특성 고려) GDPR은 우리에게 없는 잊힐권리, 정보이전권, 자동화된 개별의사결정 거절권 등 강화된 규정과 법령이 존재하므로 우리보다는 좀 더 구체화되고 실질적인 효력이 강한 규제법령이라고 평가하고 있다.

지란지교소프트 : GDPR이 좀 더 규제가 강하다 생각된다. 개인정보보호법의 경우 좀 더 구체적인 기술적 보호조치에 대해 언급되어 있으며, 이런 보호조치의 규정 준수 여부에 따라 법적 책임이 적용된다. GDPR의 경우 기술적 보호조치가 자율적으로 보일 수 있으나 개인정보의 범위가 매우 넓으며 4차 산업 등의 기본이 되는 자율 처리 절차에 대한 보호, 명시적 동의 절차 및 정보주체의 이동권 보장 등 관리적 조치에 대한 의무와 책임이 매우 엄격하며 이에 대한 처벌 규정도 엄격하다.

한화테크윈 : GDPR이 더 강한 규제라고 생각한다. 개인정보를 보호한다는 큰 틀에서는 차이가 없으나, 첫째, 국내 개인정보보호법에서 규정하는 의미를 포함해 보다 포괄적인 범위를 아우르고 있고, 둘째, GDPR 위반 시 해당 기업의 전체 연간 매출 4% 또는 2000만 유로(한화 약 260억 원)의 높은 과징금이 부과되기 때문이다.

Q. 착수시기 및 준비상황 등 GDPR 준비는?

다후아 : 사내 운영과 다후아에서 제공하는 제품 및 서비스를 적합한 기술과 조직으로 구성하여 해당 부서와 인원에게 구체적인 교육으로 해당 규범을 관철시켜 운영하고 있다. GDPR 전담팀은 운영 및 제품서비스를 담당하며, 각 업체별 내부 운영과 GDPR 서비스 규정준수를 검토를 진행한다. GDPR 요구 사항을 충족시키기 위해 회사의 기존 시스템을 최적화하고 개선하고 있으며 지속적으로 이행 할 수 있도록 지원 조직 관리 문서를 통합했다.

마크애니 : 마크애니는 유럽 지역에 지사를 두고 있는 금융 및 제조업 분야의 고객사가 특히 많은 관계로 기존 고객들이 GDPR 시행에 선도적으로 대응하고 안정적으로 사업을 이어 갈 수 있도록 만반의 준비를 마쳤다.

슈프리마 : 개인정보보호 정책(Privacy Plolicy)과 고객 정보 수집 항목(Webform)을 리뉴얼했으며GDPR 관련 안내를 고객들에게 공지했다.

애니셀 : 아직 EU지역에 진출 계획이 없어 구체적인 준비는 하고 있지 않지만, 우리 솔루션을 도입하고자 하는 해외 업체, 기관들과 수출의사를 타진하고 있는 국내 업체, 글로벌기업들의 문의가 잦으므로 예의 주시하고 있다.

지란지교소프트 : 즉시 가능한 준비사항으로 개인정보 검출 키워드 중 EU에서 사용하는 각국의 정형화된 개인정보(사회보장번호, 여권번호, 운전면허번호 등) 패턴을 추가하고 있다. 이외 개인정보 이전 등을 대비한 서버 및 데이터베이스 내 개인정보의 검출 지원을 준비하고 있으며, 향후 민감정보 검출을 위해 머신 러닝 기법을 통한 검출 방법을 검토 중에 있다.

한화테크윈 : 2017년 상반기 사내 공론화가 시작됐고, 당해 하반기부터 본격적으로 GDPR 협의체를 운영했다. GDPR 준비 1단계로, 국내 및 글로벌 임직원과 고객들의 GDPR 이해를 돕기 위해 GDPR 백서 발간했고, 당사 자체 위법 사례는 없는지 파악, 사례를 분석하고 임직원 정보보호 조치 진행했다. 2단계로, 사용자 입장에서 GDPR 준수에 도움이 되는 시스템 개발을 논의 중에 있다.

Q. GDPR을 준비하면서 가장 어려웠던 점은?

다후아 : 전 세계에 서비스를 제공하는 다후아는 경영 범위가 너무 광범위하다. 특히 데이터 흐름 맵(Data Flow Map)을 정리하는 것이 어렵다. 법안 자체의 안전 기술 및 인증기관의 명확한 기준, 정의가 없다. 또한, 이전에 적절한 제품검사 시스템이 없었고 서비스도 규정도 준수를 하고 있는지 확신이 가지 않았다. 그렇기 때문에 TÜV Rheinland와 제휴를 맺고 자문을 구하게 됐고 다후아 제품의 개인데이터보호능력을 검증할 수 있게 됐다.

베리타스 : GDPR은 아직 실제로 적용된 사례가 없으며, 기업에서 대응하기 위한 구체적인 지침도 부족한 것이 사실이다. 따라서 이를 적용하기 위한 기업들의 준비도 어려운 면이 있지만, 글로벌 비즈니스를 하는 회사의 입장으로 GDPR 뿐만 아니라 타 국가의 개인정보 보호 규정을 준수하기 위한 통합된 컴플라이언스 체계를 갖추고, 해당 규정들에 대해서 유연하게 대응할 수 있는 체계를 수립하는데 노력하고 있다.

마크애니 : 국내법 대응과 함께 이중 대응을 해야 한다는 점이 가장 어려웠다.

슈프리마 : 규제에 대한 정확한 가이드라인 부족과 내부 전문가 부재 이 두 가지가 가장 어려운 점으로 꼽힌다.

애니셀 : 개인정보보호법 뿐만 아니라 EU의 GDPR도 대형 그룹사나 기관이 아닌 중소기업에서 자체적으로 대응, 준비하기에는 정보면에서나 여러가지면에서 어려움이 있는 것이 사실이다. 관련해 전문 기관에서 소규모 사업자들의 체계적인 대응과 준비를 위해 지속적인 컨설팅과 홍보, 도움이 필요할 것으로 보인다.

지란지교소프트 : GDPR 기준의 자연인에 대한 개인정보의 범위 선정이 어렵다. 또한, GDPR 적용 이외 유럽 각국의 자체 규제에 대한 상황도 파악을 해야 하는 상황으로 적용 범위에 대한 대상 선정이 쉽지 않은 상황이다.

한화테크윈 : 개인정보보호 관련 법령 준수를 위한 기존의 수동적 마인드(면책을 위한 필요 최소한의 대응)에서 적극적 마인드(선제적 대응을 통한 컴플라이언스 및 제품 경쟁력 향상)로의 전환이 가장 어려운 점이다.

Q. 한국인터넷진흥원(KISA)에서는 GDPR 대응을 위해 지속적인 기업지원 및 홍보활동을 진행했다. 알고 있었는가?

마크애니 : KISA에서 제공하는 가이드라인 및 언론을 통한 GDPR 대응 기사를 접한 적이 있다.

베리타스 : 기업들의 GDPR 대응을 돕기 위해 GDPR 안내서 및 가이드라인을 제작해 배포하고, 포럼 및 세미나를 진행하는 등 활발한 활동을 벌이고 있는 것으로 알고 있다.

소만사 : 알고있다. 개인정보보호 종합포털에 올라온 ‘우리기업을 위한 유럽일반 개인정보보호법 안내서’를 내려받아 학습했다. 굉장히 공들여 작성된 안내서라고 생각한다. 이외에도 ‘GDPR 대응 세미나’에 참석하기도 했다.

애니셀 : 몰랐다. 물론 KISA는 잘 알고 있으나 KISA에서 GDPR 관련 홍보를 진행하고 있다는 것은 모르고 있었다. 보안에 관심이 있거나 동종 업계에 있는 사람이 아니면 KISA 자체에 대한 존재를 모르고 있는 사람들도 많을 것으로 보이는데, KISA 뿐 아니라 관련 기관들의 대국민 홍보활동과 각종 정보 제공이 좀 더 확대되어야 할 것으로 보인다.

지란지교소프트 : 알고 있다. 각종 자료(해외 개인정보보호 동향 보고서)는 물론 세미나도 주기적으로 참석 및 정보 습득의 창구로 활용하고 있다.

한화테크윈 : 잘 알고 있다. GDPR 온라인 전담창구 개설, 기술 안내서 가이드, 컨설팅 제공 등 GDPR 관련 정보 습득에 큰 도움이 되고 있다.

mini INTERVIEW

김동철 | 케이사인 김동철 DB 보안 사업본부 본부장 

Q. .케이사인은 GDPR을 대응을 준비하고 있는 국내 상황을 어떻게 분석하고 있는가

A. 국내 기업의 경우 EU를 대상으로 상품 판매 및 서비스를 제공하고 있는 삼성, LG 등 대기업과 네이버와 같은 대형 포탈 및 게임사의 경우 GDPR에 대응하기 위하여 몇 년 전부터 GDPR TF를 구성하여 일차적인 대응 준비를 완료한 상태이다. 하지만 EU를 대상으로 사업을 전개하고 있는 대부분의 국내 중소기업의 경우 국내 개인정보보호법과 GDPR의 차이점 및 대응 방안 등을 이해하고 적용해나갈 수 있는 전문 인력 및 자원, 비용이 부재해 GDPR에 대한 대응 준비를 전혀 하지 못하고 있어 GDPR 전면 시행 시 발생할 수 있는 법적 분쟁에 대한 우려를 표명하고 있는 실정이다.

Q. 케이사인이 GDPR에서 중요하게 보고 있는 핵심요소는 무엇인가

GDPR의 핵심 요소 3가지로 보고있다. 첫 번째는 정보 주체가 본인의 개인정보에 대해 삭제를 요구할 권리인 삭제권과 개인 정보의 이동을 요구할 수 있는 개인정보 이동권 등 정보 주체의 권리를 강화한 내용 두번째는 개인정보처리에 대한 동의 조건의 강화 3번째는 기술적·조직적 조치의 실시 및 개인정보영향평가 등 기업의 책임성 강화사항을 GDPR의 핵심 요소라고 보고 있다.

Q.케이사인 솔루션을 이용하고 있는 기업들은 GDPR을 어떻게 인지하고 있으며, 문제점은 무엇이라고 생각하고 있는가

GDPR에 대한 고객사의 반응은 크게 두가지로 나눌 수 있다. 기업의 존망을 좌우할 수 있는 정도로 커다란 규제라는 시각과 개인정보의 수집 및 공유 부분아 상당한 수준으로 확대돼 새로운 비즈니스의 기회가 된다는 시각이다.

이런 시각과 함께 GDPR에 대한 문제점도 지적하고 있다. 특히 국내 개인정보보호법과 달리 GDPR에서 규정하고 있는 개인정보에 대한 정의가 명확하지 않아 정확한 법률 해석이 어렵다는 문제점이 지적되고 있다. 또한, 위반 시 전 세계 매출의 4% 혹은 2000만 유로 중 더 많은 금액 과징금을 부과되는 높은 과징금이 조항이 대해 기업들이 큰 고민을 가지고 있다.

GDPR을 효과적으로 대응하기 위해 어떤 보안 솔루션이 필요한가?

GDPR에서 제시하고 있는 개인정보 처리 7개 원칙 및 정보 주체의 권리를 보장할 수 있도록 개인 정보 처리와 관련된 시스템의 설계에서부터 획득, 저장, 처리, 삭제 등의 전 단계에 걸쳐 정보주체의 권리를 보장하고 개인 정보 보호 활동이 적법하고 공정하며 투명하게 처리되고 관리될 수 있도록 솔루션의 도입이 필요하다. 

또한, 국내 개인정보보호법 및 정보통신망법 등을 기준에 맞추어 데이터 보호의 관점에서 적용된 암호화, 접근제어, 백업 등만으로는 GDPR에서 제시하는 기준을 만족하기 어렵기 때문에 데이터에 대한 탐지, 분석, 분석, 대응 및 관리를 총괄할 수 있는 솔루션이 필요하다.