본문 바로가기

IT TREND

눈 앞에 다가온 GDPR 규제


오는 5월, 유럽 시민들을 위한 개인정보보호법인 GDPR(General Data Protection Regulation, 일반 개인정보 보호법)이 발효된다. EU 시민의 개인정보보호법인 GDPR로 인해 자칫 무관해 보이는 우리나라 보안담당자와 IT 부서의 촉각이 곤두섰다. GDPR이 EU 시민의 개인정보보호권을 강화하면서 교역국가 또한 GDPR과 동일한 수준의 개인정보보호 법률을 갖추도록 요구하거나, 특히 EU 시민의 개인정보를 취급하면서 침해가 발생할 경우 엄청난 규모의 과징금을 지급해야 한다는 강제조항을 삽입했기 때문이다.


GDPR은 각 기업별로, 특히 기업의 IT 부서에서 법률 부서와 연계해 도맡아 처리해야할 부분이다. 우리 정부에서 모든 규제를 커버해 줄 수 있는 법은 절대 아니다. 특히 효성인포메이션시스템의 히타치 밴타라의 대응 기술을 포함한 여러 소프트웨어 및 하드웨어 기업들이 GDPR에 대비해 기업들을 지원할 수 있는 솔루션과 기기들을 외면하지 말 것을 강조하고 싶다. 이번 기고는 GDPR과 관련해 업계에서 특히 알아야 할 부분들을 중점적으로 소개한다.


GDPR의 제정 목적

GDPR은 유럽 시민의 개인정보보호권을 보호하고 EU 역내에서 EU 시민 간 개인정보의 자유로운 이동을 보장하는 것을 목적으로 하는 법률이다. 겉으로 드러난 제정목적과 달리, EU가 GDPR 제정을 통해 추구하는 목적은 바로 무역 불균형 해소다. 방송통신위원회는 EU 각국에서 별도로 제정돼 법적 효력을 미치고 있는 개인정보보호법들을 통합하는 것이 목적이라고 판단하고 있다. GDPR이라는 것은 결국 유럽의 디지털 싱글마켓 전략의 일환으로, EU가 단일 시장 전략을 강화하는 중 디지털 시장에서 미국에게 입고 있는 손해를 만회하기 위한 제도이다. 지금까지 개인정보보호와 관련해 통일된 법이 없었던 EU의 전략적인 기반 속에서 GDPR이 제정된 것이라 볼 수 있다.


따라서 기존에 시행 중인 개인정보보호 지침(Directive 95/46/EC)은 올해 5월 25일(GDPR 시행일)에 폐지될 예정이다. GDPR은 법적 구속력을 가지며 모든 EU 회원국들에게 직접적으로 적용된다. EU는 GDPR의 제정을 통해 보다 강력하고 통일적인 개인정보보호 규제를 할 계획이다.


정식 시행을 앞둔 GDPR

2016년 5월 제정돼 2018년 5월 25일 시행되는 GDPR. EU에 진출했거나, 진출을 희망하는 국내기업은 GDPR이 시행되기 전까지 GDPR이 규정하고 있는 보호조치를 마련하고 의무 규정들을 준수하기 위한 대책을 적용해야 한다. 이 대목에서 중요한 부분은 자사가 EU와 직접적인 관련이 있는지 유무를 파악해야 한다는 점이다. 회사 차원에서의 구체적인 검토가 필요한 부분이다. 관련 법령에 따르면, 인터넷을 활용해 EU 시민과 거래하는 기업의 경우 EU에 진출한 기업으로 규정한다. 상업 목적으로 운영되는 모든 웹사이트가 정보사회서비스에 해당할 수 있기 때문이다. 온라인 광고를 통해 수익을 창출하는 미디어 사이트, 검색 광고를 통해 영리를 추구하는 검색엔진 등이 모두 포함된다.


GDPR은 전문 총 173개 조, 본문 총 11장 및 99개 조로 이뤄져 있다. GDPR이 전문과 본문으로 처리하고자 하는 부분은 개인정보다. GDPR상 개인정보의 정의는 기존 지침보다 구체적이다. IP 주소등 온라인 식별자 정보들이 개인정보가 될 수 있다는 점을 명확히 한다. GDPR은 정보주체인 ‘살아있는 자연인’의 개인정보에 적용된다. 단 법인은 제외된다.


GDPR은 개인정보 처리와 관련된 전체적 또는 부분적인 자동화된 수단에 의한 개인정보의 처리에 적용된다. 여기서 자동화된 수단이란 전자적 데이터베이스(DB)나 컴퓨터로 운영되는 파일링 시스템을 말한다.



개인정보 침해가 발생한다면

기업은 GDPR에 규정된 개인정보 침해 통지와 관련해 감독기구 및 정보주체에게 통지해야 하는 개인정보 침해 유형을 파악하고, 통지 시기 및 방법, 내용 등 통지에 관한 내부 절차를 마련하는 등 사전 준비를 해야 한다. 개인정보의 침해가 시의 적절하게 해결되지 않을 경우, 정보주체의 개인정보에 대한 통제권 상실이나 권리 제한·차별·신용 도용 및 신용 사기·재정적 손실·명예훼손·직무상 비밀이던 개인정보의 기밀성 상실·사회적 불이익 등 같은 신체적, 물질적 그리고 비 물질적 피해를 초래할 수 있다. 이에 GDPR은 개인정보 침해 인지 시 감독기구 또는 정보주체에 통지할 의무가 포함돼 있다.


여기서 개인정보의 침해란 개인정보의 파괴, 손실, 변경, 인가되지 않은 공개를 일으키는 보안 위반이다. 이에 컨트롤러는 개인정보 침해 인지 후 지체 없이 72시간 이내에 관련 감독기구에 통지(Notify)해야 한다. 컨트롤러는 개인정보 침해를 일으킨 기업을 의미한다. 단, 컨트롤러가 책임성의 원칙에 따라, 해당 개인정보 침해가 개인의 권리와 자유에 위험을 초래할 가능성이 낮다고 입증할 수 있는 경우는 예외로 한다.


개인정보 침해 내용을 통지할 때는 최소한 다음을 포함해야 한다.

1. 침해 관련 정보주체 및 개인정보 기록의 범주 및 대략적인 개수 등 개인정보 침해 성격

2. DPO(Data Protection Officer, 정보보호담당관) 및 다른 연락처(other contact point)에 대한 이름 및 상세 연락처

3. 개인정보 침해로 발생할 수 있는 결과

4. 침해로 발생 가능한 부작용을 완화하기 위한 조치 등 해당 개인정보 침해 해결을 위하여 컨트롤러가 취하거나 취하도록 제시된 조치


통지 의무를 위반할 때 기업은 전 세계 매출액의 2% 또는 최대 1,000만 유로 중 더 높은 금액의 과징금이 부과된다. 최소 과징금이 1,000만 유로라는 의미다.


국내 기업의 아쉬운 대응

국내 엔터프라이즈 기업과 GDPR 관련 솔루션 기업 등 GDPR 관련 종사자들을 취재한 결과, 올해 초까지도 일부 대기업을 제외하곤 큰 관심을 두고 있지 않는 분위기다. 국내 기업의 GDPR에 대한 인지도는 높아진 반면 이를 IT 시스템에 구현한 사례가 없다는 것이다. 일례로 지난해 11월 벨기에 브뤼셀에서 방통위와 행안부가 공동 주최한 EU 사법총국과 국내 기업 간 GDPR 현지설명회가 열렸다. 이 설명회에서 기업들은 브루노 젠카렐리 과장에게 질문을 쏟아냈다. 이날 간담회에 참석한 기업은 IT, 철강회사, 포털, 정유, 연구소, 제조업, 공공, 협회 등 35개 조직이다. 사실상 전 산업권이 GDPR 추이에 대해 촉각을 곤두세우고 있다.


반면 시장조사업체 밴슨본이 2017년 발표한 한국 기업의 GDPR 준비 현황 조사에 따르면 응답자의 61%는 2018년 5월 내 GDPR 규정 준수를 위한 대비를 마치지 못할 것이라고 대답했으며, 40%는 실시간으로 DB를 모니터링하는 툴이 없어 관리가 불가능하다고 답했다. 29%는 관련 데이터를 정확하게 식별하거나 위치 파악이 어렵다고 우려했다. 기업의 책임은 커졌지만 GDPR에 대한 기술적 준비가 부족하다는 얘기다.


전문 총 173개에 달하는 개인정보들을 GDPR에 최적화 된 상태로 IT 시스템 안에 구현해 놓는 것이 GDPR 대비의 핵심이다. 하지만 기업들이 이를 주저하는 이유는 바로 ‘비용’ 때문일 것이라 생각한다. IT를 4차 산업혁명의 선봉장이라 외치는 현재 시점에 이를 비춰보면 씁쓸한 대목이다. 보안 방비를 주저하다 대규모 개인정보 유출 사태를 일으켜 온 과거 사례를 고려할 때 기업이 단순 비용탓으로 IT시스템 구현을 주저할 경우 과징금 패널티가 발생할 가능성이 매우 높다.


데이터 전문 기업의 솔루션 주목

데이터 관리 전문 기업들은 일반 기업의 GDPR 대비를 위해 다양한 데이터 관리 솔루션을 추천한다. 효성인포메이션시스템은 히타치 밴타라의 오브젝트 스토리지인 HCP와 보관된 데이터로부터 빠르게 정보를 검색하고 찾아주는 HCI를 솔루션을 권고한다. HCP는 기업의 데이터 중 90%에 달하는 비정형 데이터를 안전하게 보관하고 활용하기 위한 전용 스토리지 플랫폼이다. HCI와 결합해 파일 보관과 관리·개인정보가 포함된 파일 검색과 마스킹을 구현하도록 도와준다.


오브젝트 스토리지 기술을 사용하면 데이터베이스 없이도 많은 양의 콘텐츠와 메타데이터를 간편하게 저장하고 효율적으로 활용할 수 있다. GDPR이 요구하는 데이터 정확성, 사용자 동의, 보관기간 문제들을 해결하기 위해서는 데이터뿐만 아니라 그 속성 정보를 담은 메타데이터가 함께 보관되어야 한다.


GDPR은 기업이 보유 중인 정보에 대한 즉각적인 접근을 요구한다. 정보주체가 자신의 정보 조회를 요청할 경우, 기업은 전 시스템에 걸쳐 사용된 내역을 모두 공개해야하기 때문에 신속하고 적절하게 응답할 수 있는 스토리지 시스템이 필요하다. 오브젝트 스토리지에서의 메타데이터 쿼리 메커니즘, 콘텐츠 검색 및 인덱싱 옵션을 제공하는 HCI 솔루션을 사용하면 빠른 검색이 가능하고, 다양한 업계 표준 프로토콜을 통해 저장된 데이터에 접근할 수 있다.


GDPR 관련 기업은 보유한 개인정보가 정확하고 변경되지 않았다는 사실을 입증할 수 있어야 한다. 특히 파일 데이터의 경우 파일시스템이나 운영체제 등의 논리적 오류로 인한 파일 손상이 간혹 발생하는 경우가 있는데, 오브젝트 스토리지는 이러한 논리적 데이터 훼손까지도 주기적으로 체크하고 이를 복구하는 기능을 제공하여 파일 데이터의 무결성을 보장한다.


특히 GDPR 관련 기업은 개인정보의 완벽한 삭제가 가능해야 한다. 정보주체가 정보 삭제를 요청하면 기업은 모든 시스템에서 정보를 영구적으로 삭제하고 이를 입증할 수 있어야 하기 때문이다. 오브젝트 스토리지에 보관된 개인정보가 포함된 파일들은 전용 검색 솔루션인 HCI를 이용해 빠르게 찾을 수 있으며, 이를 삭제 시 파일 블록 전체에 특정 값과 무작위 값을 여러 번 덮어쓰기를 하는 방식으로 재처리한다. 이는 미국방송이나 국정원 기준에 준수하는 완벽한 논리적 디지털 파쇄를 구현할 수 있다. 특히 데이터의 수명 주기 전반에 걸친 모니터링을 통해 일반적 삭제나 권한 삭제, 자동 삭제 등 데이터 삭제 작업 모두 기록 관리된다.