과징금 폭탄이라는 GDPR, 국내외 기업 대처 현황은?

[IT동아 이상우 기자] 유럽연합 개인정보보호규정(GDPR, General Data Protection Regulation) 오는 5월 25일부터 시행되면서 EU에 사업장을 갖추고 있거나 EU를 대상으로 사업을 하는 기업은 이 규정을 준수해야 한다. 만일 위반사항이 발생하면 글로벌 매출의 2~4% 혹은 1,000만~2,000만 유로에 해당하는 과징금을 부과한다.

GDPR 제정 목적은 개인정보에 대한 권리를 정보주체(개인)에게 돌려줌과 동시에 개인정보를 이용하는 기업의 책임을 강화하는 것이 목표다. 동시에 EU에 통일된 규정을 적용해 관리 메커니즘을 단순화하고, 개인정보 이용에 관리 감독의 효율성을 높이 효과도 거둘 수 있다. 그렇다면 국내외 기업은 이러한 GDPR에 대해 어떻게 대응하고, 무엇을 준비하고 있을까? 또한, 국내 관련 기관이나 단체는 어떤 지원책을 마련했을까?

프랑스에 본사를 둔 애드테크 기업 크리테오는 이미 GDPR의 기준을 충족하는 개인정보 보호 수준을 갖추고, 약관을 수정했다. GDPR에서는 디지털 광고 업계에서 흔히 사용하는 정보주체의 쿠키나 스마트폰의 광고ID 등을 개인정보로 보는 만큼, 이에 대한 대처가 필요한 상황이다.

이 때문에 크리테오는 지난 2013년부터 GDPR에 명시돼 있는 DPO(개인정보보호 관리 책임자)를 지정하고, 개인정보보호 전문 팀을 운영하며, 이와 함께 전사적으로 데이터 보호 관련 교육을 제공하고, 윤리강령을 시행하고 있다. 데이터 관리 및 보안을 위해 이미 다양한 보안 수준 인증을 보유했으며, 정부와 표준제정 기관을 통해 매년 수준을 검토받고 있다. 또한, 수집한 개인정보에 대해서는 가명화(Pseudonymisation)를 통해 정보주체를 특정하기 어렵도록 했고, 이용 약관에는 크리테오가 수집하는 정보주체의 데이터 종류, 수단, 목적 등을 명백히 밝히고 있다.

EU에 법인을 갖춘 국내 한 금융기업은 EU 법인을 바탕으로 국내 시장을 해외로 확대하기 위한 목적으로 GDPR에 대응하고 있다. KISA가 실시한 심층인터뷰에 따르면, 해당 기업은 지난 201년 말부터 개인정보보호 관련 인력을 충원하며 GDPR에 대응하고 있으며, 전체 보안 인력 중 20명이 개인정보보호를 전담하고 있다. 법률자문 및 컨설팅은 EU에 있는 현지 로펌을 통해 진행 중이며, GDPR에서 명시한 비식별화 조치, 침해사고 대응 프로세스 등을 내부 정책에 반영했다.

이름을 밝히지 않은 국내 온라인 서비스 기업은 EU 진출 기업으로, EU 내에 자회사 법인을 보유하고 있다. 이 때문에 전체 보안 인력 중 개인정보보호 전담인력 비중을 20% 수준으로 맞추고, 전체 보안 예산 중 개인정보보호에 대한 비중이 10%를 차지한다. 이미 5년 가량 개인정보보호에 관한 준비를 해왔으며, GDPR에 대응해 보안, 서비스, 기획, 변호사 등으로 구성된 TF팀을 꾸렸다.

국내 여러 중소 게임 개발사의 경우 GDPR의 중요성은 인지하고 있으나, 무엇을 어떻게 해야 하는지 정확히 파악하지 못한 경우가 많았으며, 이를 유럽 시장 진출의 허들로 생각하는 기업도 있다. 이 때문에 정확한 가이드 라인이나 업종에 따른 세부 대응 방법 등을 요구하는 중소 개발사가 많았다. 즉 정보 접근성에 관한 문제다. 검색을 통해 GDPR이 무엇인지는 파악했지만, 개인정보보호 정책이나 관리, 운영 등에 대해서는 얻을 수 있는 정보가 한정적이다.

국내 개인정보보호 전문기관인 한국인터넷진흥원(이하 KISA)은 이러한 GDPR에 대응해 지난 2016년 4월부터 다방면으로 노력하고 있다. 이미 지난해 5월 8일, 국내 기업을 대상으로 한 GDPR 안내서를 배포하기도 했으며, 10월부터는 주기적으로 국내에서 세미나를 개최하며 GDPR 관련 대응 현황을 공유해왔다. 올해 역시 5월까지 3번의 세미나를 개최할 계획이며, 전세계 FAQ를 번역해 제공 중이다.

GDPR에 따르면 개인정보를 EU 역외로 이전하기 위해서는 해당 국가가 EU 집행위원회로부터 적정성 평가를 받았을 경우 별도의 동의나 제한 없이 해당 국가에 있는 데이터 센터로 개인정보를 옮겨올 수 있다. 다만, 적정성 평가는 대상 국가가 직접 신청하는 방식이 아닌, EU 집행위원회가 직접 국가를 선정해 평가를 진행하는 방식이다.

이 때문에 행정안전부와 KISA는 GDPR을 처음 발표하기 한 달 전부터 데이터 역외이전을 위한 적정성 평가에 대해 현재 국내 개인정보보호법이 문제가 없는지 검토해왔으며, 적정성 평가 관련 핵심 인사를 초청해 국제 세미나를 개최하기도 했다. 이러한 노력을 통해 지난해 1월에는 EU 집행위로부터 적정성 평가 우선 평가 대상국으로 지정되기도 했다.

GDPR과 관련한 서비스를 제공하는 기업도 등장했다. AWS의 경우 클라우드 환경에서 기업이 GDPR을 준수할 수 있도록 각종 세부 규정을 시행할 수 있는 API 및 데이터 보호 등의 서비스를 제공하고 있으며, 베리타스는 데이터 관리 솔루션을 통해 GDPR 자문 서비스, 필요 데이터 최소화 및 모니터링 등의 서비스를 제공하고 있다. 마이크로소프트 역시 오피스 365를 통해 다루고 있는 데이터를 분류하고, 개인정보와 관련된 내용에 대해 정책에 따른 접근 권한이나 용도를 제어할 수 있는 기능을 제공 중이다.

GDPR의 가장 큰 목적은 개인정보에 대한 권리를 정보주체인 개인에게 돌려주는 데 있다. 또, 통일된 규정을 통해 관리 프로세스를 단순화하고 침해 사고에 대한 대응을 수월히 할 수 있는 기능도 있다. 과징금 때문에 기업에 불이익을 주는 것처럼 보이지만, 알맞은 보안 수준을 갖추고, 이를 잘 준수한다면 EU 시장 진출 시 명확하고 통일된 규정을 바탕으로 자유로운 시장 진입도 가능할 전망이다.

글 / IT동아 이상우(lswoo@itdonga.com)