본문 바로가기

IT TREND

전세계 기업들이 마주하게 된 GDPR (유럽 개인정보 규제강화)


2018년 5월 25일자로 EU 개인정보보호규정(General Data Protection Regulation, 이하 GDPR)이 시행된다. GDPR은 EU 시민들을 대상으로 비즈니스를 하거나, EU 거주 정보 주체에 대한 개인식별정보(Personally Identifiable Information, 이하 PII)를 수집하여 사용하거나 보유하는 모든 기업들에게 적용되는 법안으로, 미국 기업들을 대상으로 하는 사베인 옥슬리(Sarbanes-Oxley, SOX), GLBA, HIPAA 등 보다 훨씬 더 큰 영향을 미칠 것으로 분석되고 있다. 그럼에도 불구하고 아직 대부분의 기업들이 유럽에만 해당되는 이슈로 생각하거나, 심지어 법안의 존재조차 인식하지 못하고 있는 상황이다.



알아보고 갑시다!

사베인-옥슬리 법(Sarbanes-Oxley Act)

기업 관리자가 금융 데이터의 잘못된 해석에 대한 개인적인 책임을 지도록 규정한다. 이로 인해 많은 기업들이 회계관리, 내부통제시스템도입 및 경영인증시스템을 구축했다.


GLBA(Gramm-Leach-Bliley Act)

은행, 증권, 보험 등 모든 금융 업무를 하나의 회사가 운영할 수 있도록 허용한 법(일명 GLB법)에 따라 모든 금융기관은 고객의 개인정보를 안전하게 보호할 수 있는 조치를 취하도록 의무화한다.


HIPAA(Health Insurance Portability and Accountability Act)

모든 의료 기관은 환자 정보를 6년 간 보호하도록 의무화한다.


위 세 가지 대표적인 법안을 포함한 수많은 규제와 변화 요인에 대응하기 위해, 기업들은 자율적인 내부 규제 강화를 통해 비즈니스 연속성 확보하고자 IT 컴플라이언스(Compliance)에 대한 중요성을 인지하기 시작했다. IT 컴플라이언스란, 기업의 투명성을 강화하고 리스크를 관리하기 위하여 각종 규제 법안을 만족할 수 있도록 IT 관점에서 기업 내 시스템을 정비하는 의무 활동 전반을 가리킨다.





GDPR에 주목해야 하는 이유

유럽이 아닌 한국에 살고 있는 우리에게는 GDPR이 다소 어렵게 받아들여질 수도 있다. 


쉽게 한번 생각해보자. 구글은 나에 대해 모든 것을 알고 있지만, 이러한 데이터가 일상 생활의 많은 부분에서 도움을 주고 있으므로 긍정적으로 받아들여진다. 하지만 유럽은 세계 2차 대전과 냉전 시기 이전부터 정부의 프라이버시 침해를 민감하게 생각해왔으며, 지금까지도 그 어떤 지역보다 개인의 프라이버시를 근본적인 권리로 생각하는 경향이 강하다. 


현재 EU에 속한 국가들은 1995년 마련된 EU 데이터 보호 지침을 기반으로 각각의 고유한 데이터 보호 규정을 가지고 있지만 대체적으로 강제성 및 처벌에 대한 부분이 제한적인 상황이다. 지난 20년간 기술이 변화된 만큼 새로운 접근이 필요한 시기라는 것에 각국의 의견이 모아지며 범 유럽 법령으로써 GDPR이 탄생하게 되었고, 내년 5월부터 시행될 예정이다. 


좁은 범위에서 생각한다면, 유럽 지역 비즈니스를 고려하고 있는 우리나라를 포함한 세계 각국의 개인정보보호 규제가 상향 평준화될 가능성이 높아졌음을 의미한다. 하지만 단순히 유럽만이 이러한 움직임을 보이는 것은 아니다. 미국의 프라이버시 실드(Privacy Shield), 일본의 개인정보 관련 규제 강화 및 중국의 새로운 사이버보안법 등만 보아도, 단순히 이 움직임이 해외의 일만은 아님을 그리고 우리나라의 가까운 미래임을 알 수 있다. 



컴플라이언스의 비용

GDPR은 새롭게 적용해야 하는 내용을 담은 99개의 조항으로 이루어진 방대한 규모의 법령이다. 데이터 주체가 되는 EU 거주인을 식별하기 위한 모든 정보(위치 정보, IP주소, 차량 번호판, 인종 및 의료 정보 등)를 아우르는 새로운 유형의 PII를 세세하게 다루고 있으며, 이는 기업에서 상대하는 모든 고객과 방문자, 뉴스레터 구독자, 앱 사용자, 임직원 등 모든 사람들에게 해당된다. 


컴플라이언스를 준수하기 위해서는 다양한 프로세스와 시스템을 대대적으로 변화시켜야 하며, 대표적인 내용들만 나열해 보면 아래와 같다. 


• 데이터 수집 동의 항목을 명확하고 구체적으로 기술해야 하며, 특히 어떤 데이터가 어떻게 사용되고 얼마나 보관되는지를 명시해야 한다. 30페이지 분량의 법률 용어가 가득한 텍스트 하단에 체크박스만 넣는 형태는 허용되지 않으며, 각각의 데이터 사용 목적에 대해 별도의 동의를 얻어야 한다.


• 개별적인 데이터 주체에 대한 처리 요청이 가능해야 한다: 동의 철회, 정보 삭제(잊혀질 권리), 데이터 복제본 제공, 타 기관으로의 데이터 이동, 오류 정보에 대한 수정 등이 “시의 적절하게” 이루어져야 한다.


• 주기적인 프라이버시 영향 평가를 수행함으로써 데이터 거버넌스 규정에 포함되지 않았던 새로운 시스템 및 데이터 소스를 점검해야 한다.


• 데이터 침해 사고 발생 시 72시간 이내에 각 지역의 데이터 보호 당국 및 피해 당사자에게 사고 내용이 고지되어야 한다.


• PII를 공유하는 DPA와 모든 정보관리자에 대한 감사자료를 제출해야 한다.


• 마케팅 에이전시 및 로열티 프로그램 관리자 등 PII를 공유하는 제3의 기관도 모두 GDPR을 완벽하게 준수할 수 있도록 관리해야 한다.


• 독립적인 권한을 가진 데이터 보호 책임자(Data Protection Officer)를 고용하거나 임명하여 전체적인 데이터 거버넌스 및 GDPR 규정 준수를 담당하도록 해야 한다.



결국 GDPR의 핵심 주제는 제품과 서비스에 “프라이버시 중심 설계(Privacy by Design)”를 적용하도록 하는 것이다. 


이 모든 변화를 위해 지출해야 하는 비용, 또 앞으로 이를 유지하기 위한 비용은 얼마나 지출해야 할까? 아마도 대단히 많은 비용이 들겠지만, 컴플라이언스를 준수하지 못함으로써 발생할 수 있는 페널티보다는 작은 비용일 것이다.


GDPR의 미비한 규정 위반에 대한 범칙금도 2천만 유로(한화 270억원) 혹은 글로벌 매출의 2% 중 큰 금액으로 부과되며, 매출 기준은 모회사 혹은 자회사의 매출을 모두 포함한 금액이다. 데이터 수집 주체인 데이터 취급자라면, 제3의 데이터 처리자가 위반한 내용에 대해서도 범칙금을 물어야 한다. 


실제로 차량 공유 서비스 업체인 우버(Uber)는 2014년 10만 명의 개인식별정보(PII)가 노출된 사건으로 인해 미 연방 정부로부터 앞으로 20년간 개인정보보호에 대한 감사를 받아야 한다. 내년 GDPR 시행 후 이러한 문제가 유럽에서 발생하게 되는 경우 범칙금은 65억불의 4%인 2억 6100만 달러에 이른다. 아마도 우버는 이미 감사 대상 중 하나일 것이다. 


일각에서는 GDPR 범칙금이 재정 악화를 겪고 있는 EU의 새로운 수익원으로 사용될 것이라는 냉소가 있기도 하다. 2018년 5월 25일 이후, 높은 범칙금이 부과되는 사례들을 곧 볼 수 있게 될 것이 분명하다. 그리고 이러한 범칙금을 내는 기업들은 대부분은 아주 많은 유럽인들을 고용한 것은 아니지만 전세계 시장에서 비즈니스를 하고 있는 다국적 기업들이 될 것이다. 만약 유럽 기업들이 이 제도로 인해 파산하거나 직원을 해고해야 할 지경이라면 대단히 큰 반감이 있겠지만, 실상은 미국 혹은 그 이외의 지역에 본사를 둔 기업들의 문제가 된다.



아웃소싱은 어떻게 대처해야 할까?

통합 서비스를 위해 유럽 기업들과 거래하는 중소 사업자들, 예를 들어 아마존(Amazon.com)에 등록된 리테일 사업자 및 AWS의 인터넷 앱 제공업체들의 경우 상당한 비용과 스트레스를 부담하게 될 것이다. 실제로 서비스 기업들의 경우 데이터 거버넌스 프로세스 및 관련 툴에 있어서 기존의 물리적인 보안 및 사이버 보안 체계보다 훨씬 더 강력한 조치를 취해야 할 것이다. 


그럼에도 불구하고 이것만으로는 충분하지 않다. 비즈니스를 위한 데이터를 수집하는 입장이라면, 데이터가 서드파티(3rd Party) 사업자에게 의해 취급되더라도 컴플라이언스 준수에 유의해야 한다. 


또한 국경 간 데이터 이동에 대해서도 고려해야 한다. GDPR에서 법적으로 금지된 것은 아니지만, 프라이버시 데이터 조약이 제공되는 곳으로만 데이터를 이동할 수 있도록 제한하고 있다. 예를 들어 미국과 유럽의 경우 이전의 Safe Harbor 혹은 현재의 Privacy Shield의 보호를 받는 곳으로만 데이터를 이동시킬 수 있는 것이다. 하지만 현재 사용하고 있는 클라우드 서비스의 데이터가 아마존, 구글, 마이크로소프트 등 서비스 제공업체어의 어떤 데이터센터에 저장되어 있는지 알고 있는 사용자는 얼마나 될까?



기업에서는 어떻게 대처해야 할까?
규정 준수와 임시 대처, 그리고 아웃소싱의 사이에서의 혼란

전세계 많은 기업에서 이미 활발한 논의가 이루어지고 있을 것이다. 혹은 내년에는 더 적극적으로 상황에 대처하기 위해 컴플라이언스 비용을 따져보고, EU 시장의 잠재 이윤에 따라 해당 지역에 대한 비즈니스 존속을 고민하는 사례가 늘어나기도 할 것이다. 


아마 미국에 본사를 둔 중소기업(SMB)의 매출액 10~20% 가량이 유럽에서 발생한다고 한다면, EU 시장을 철수하는 것이 나을지도 모른다. 이는 단지 컴플라이언스 비용이 너무 높아서 때문이 아니다. GDPR은 사업적으로도 상당히 의미 있는 제도이며, 모든 고객들의 정보를 보호하는 것은 기업의 당연한 의무이다. 시장 철수의 원인은 범칙금으로 인한 비즈니스의 손실에 대한 우려 때문이고, 리스크가 미비한 상황에서도 규정 준수를 위해 하는 모든 노력들이 충분하지 않을 가능성이 크다.


실제로 보안 서비스 제공업체 SureCloud가 최근 실시한 조사에서는 “미국 기업의 상당수가 GDPR에 대비하는 것보다 유럽 비즈니스를 축소하거나 중단하는 것을 선택”할 것이라는 결과가 나오기도 했다.



GDPR의 여파 어떻게 바라봐야 할까?

GDPR로 인해 상당수의 주요 규정들이 변경되는 상황에서, 컴플라이언스 준수에 필요한 운영 프로세스를 갖추기 위한 수요가 늘어나며, 이로 인해 히타치 밴타라(Hitachi Vantara)를 포함하여 다양한 컨설팅 기관과 기술 서비스 업체들이 수혜를 입게 될 것이다. 


미국과 그 외 지역의 기업들에게 EU는 어쩌면 일종의 “비행금지구역”이 될지도 모른다. 경쟁업체가 사라지거나, 혹은 아예 새로운 시장이 생겨날 수도 있다는 점에서 EU 기업들에게는 분명히 좋은 기회가 될 것이다. 냉소적인 관점에서 GDPR이 개인정보보호법으로 위장한 보호 무역 조치로 여겨지는 것도 무리가 아니다. 


EU 거주인들은 마땅히 누려야 할 프라이버시 보호의 권리를 얻게 될 것이지만, 제품과 서비스에 대한 선택의 폭은 줄어들 것이다. 어디에서나 승자와 패자는 존재하고, 그들 사이에는 변호사가 존재한다.