[알아봅시다] EU GDPR로 강화되는 개인정보 보호 동향과 대응 방안

입력 2017-11-14 18:00

EU국가 '정보 보디가드'…정보주체 권리 키우고 기업책임 강화
내년 5월25일 시행… EU 전지역 사업장·개인 해당
신상·IP주소·성적 취향까지 '공정· 투명하게' 보호
정보보관 전 사전동의 필수…삭제 요구 땐 응해야
국내 기업 61% "반년 내 규정 준수 대비 못할 것"
개인정보 검색·보안·삭제 등 효과적 대책 마련 필수

유럽연합(EU)의 개인정보보호법(GDPR)이 내년 5월 25일 시행을 앞두고 있습니다. 이에 우리나라뿐만 아니라 세계 산업계에 비상이 걸렸습니다. GDPR의 적용 대상은 EU 국가에 사업장을 보유했거나 유럽 거주 시민의 개인정보를 처리하는 모든 기업입니다. 심각한 위반 시 세계 연간 매출액의 4% 또는 2000만 유로(약 269억) 중 높은 금액이 과징금으로 부과됩니다. GDPR의 시행은 앞으로 세계 각국의 개인정보보호가 더욱 강화될 가능성을 보여주고 있기 때문에, 글로벌 비즈니스를 진행 중이거나 추진 중인 기업에 상당한 파급 효과를 미칠 것으로 예상됩니다. GDPR에 대한 정확한 이해와 적절한 대응책이 시급한 이유입니다.

◇ GDPR, EU 회원국 국민 개인정보 보호 권리 대폭 강화= GDPR은 개인정보의 국경 간 이동이 급증함에 따라 EU 회원국 국민의 개인정보 보호 권리를 강화하기 위한 목적으로 제정됐습니다. 매우 높은 수준의 개인정보 보호 관련 규제를 특징으로 하며, EU 회원국 전체에 직접적으로 법적 구속력을 가집니다. 또한 EU의 디지털 단일 시장(Digital Single Market) 강화를 위해 개인정보의 자유로운 이동을 보장하고 있습니다. 가명처리(Pseudonymisation)처럼 비식별 조치된 개인정보는 공익을 위한 기록 보존, 과학 또는 역사 연구, 통계 목적으로 처리할 수 있습니다.

이러한 취지에 따라 GDPR은 정보주체의 권리를 확대하고, 기업의 책임성은 강화했습니다. GDPR에서 정의하는 개인정보에는 기본적인 신상 정보뿐만 아니라 IP 주소, 위치 정보 같은 온라인 식별자(Online Identifier)와 유전 및 생체, 인종·민족, 정치적 의견이나 성적 취향 등의 정보가 폭넓게 포함됩니다. GDPR은 이러한 개인정보가 적법하고 공정하며 투명하게 처리돼야 한다는 원칙과 보유기간, 처리, 정확성, 무결성 등 방법상의 원칙을 명시하면서 철저한 관리를 요구하고 있습니다.
예를 들면 기업은 개인의 동의를 받아야 개인정보를 보관 및 처리할 수 있습니다. 개인정보는 처리 목적에 필요한 기간을 초과해 보관할 수 없으며, 정보주체의 요청이 있을 경우 데이터를 공개, 이동, 삭제해야 합니다. 정보 침해를 인지하면 72시간 이내에 관할 당국과 정보 주체에게 신고하고, 정보 피해 위험의 경감을 위해 데이터 보호 영향 평가(Data Protection Impact Assessments)를 해야 합니다. 데이터 양이나 특성에 따라 특정 기업은 데이터 보안 전략과 GDPR 준수를 감독하기 위한 데이터보호책임자(Data Protection Officer)를 임명해야 합니다.

◇ 국내 대책 마련 분주, 기업 체감도는 낮아= 이러한 GDPR 시행에 대응하기 위해 국내에서도 대책 마련에 나섰습니다. 행정안전부는 한국인터넷진흥원(KISA)과 함께 지난 4월부터 '우리기업을 위한 유럽개인정보보호법 안내서'를 발간하고, '유럽 개인정보보호법' 설명회를 개최하면서 GDPR에 대한 인식 확산과 대응에 많은 노력을 기울이고 있습니다. 하지만 정보주체 중심의 실질적인 보호 체계를 요구하는 GDPR은 한국의 개인정보보호법과 많은 차이가 있어 준비에 난항을 겪고 있습니다. 실제 산업계에선 일부 대기업을 제외하고는 GDPR에 대해 적극적인 준비의 움직임을 보이지 않고 있습니다.

시장조사업체 밴슨본이 올해 발표한 조사에서 국내 기업 GDPR 준비 현황을 살펴보면, 국내 응답자의 61%는 내년 5월 내에 GDPR 규정 준수를 위한 대비를 마치지 못할 것이라고 답했습니다. 응답자의 40%는 실시간으로 DB를 모니터링하는 툴이 없어 관리할 수 없다고 답했으며, 29%는 관련 데이터를 정확하게 식별하거나 위치 파악이 어렵다고 우려를 표했습니다. 기업의 책임은 커졌지만 GDPR에 대한 인식과 기술적 준비도 갖춰지지 않은 상황입니다.

◇ 남은 시간은 반년 핵심 처리 방안은= 기업들은 앞으로 남은 6개월 이내에 GDPR을 준수하는 강력한 정보관리 체계를 구축해야 합니다. GDPR 시행으로 각국마다 강화될 개인정보 보호를 위해서도 복잡하고 다양한 요건을 충족시킬 수 있는 지능적이고 유연한 데이터 보호 시스템이 시급한 상황입니다. 엄격한 GDPR의 준수를 위해서는 개인정보의 수집, 활용, 보관, 폐기 등 관리 전 과정에 걸쳐 데이터에 대한 가시성을 부여하고, 데이터 보호 및 모니터링을 비롯한 일상적인 영역이 자동화되어 모든 조건에 정확하고 신속하게 대처할 수 있어야 합니다.

데이터관리기업 효성인포메이션시스템에 따르면 기업들이 GDPR에 대비하기 위해선 △개인정보의 효율적 관리 △개인정보의 손쉬운 검색 △완벽한 보안 △개인정보 무결성 보장 △개인정보의 완벽한 삭제를 조언합니다. GDPR의 시행으로 개인정보 보호에 대한 인식이 급격히 달라질 것으로 예상됩니다.

GDPR을 준수하기 위해서는 조직이 보유하고 있는 데이터에 대한 기업의 이해가 선행되어야 합니다. 단순히 개인정보보호에 대한 규제에만 초점을 맞추는 것 보다 개인정보를 포함한 데이터를 제대로 활용, 처리하고 보호하기 위한 기술적 검토가 필요합니다. 즉, 규제를 준수하면서 데이터를 기업의 자산으로 만드는 환경을 구축하고 이를 활용하여 기업의 혁신과 성장을 이끌어내는 데이터의 운영 전략을 수립하는 것이 중요한 시점입니다.

임성엽기자 starleaf@dt.co.kr

도움말= 효성인포메이션시스템

[ 저작권자 ⓒ디지털타임스, 무단 전재 및 재배포 금지 ]

가장 많이 본 기사