세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[주말판] 가장 궁금한 GDPR 질문, “누가 제일 먼저 걸릴까?”
  |  입력 : 2018-05-26 13:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR의 무시무시한 벌금, 누가 누구에게 최초로 판결내릴 것인가
전문가들의 6가지 예상 답안을 통해 보는, GDPR의 정체와 목적


[보안뉴스 문가용 기자] 공이 울렸다. 유예 기간은 끝났다. 이제 유럽의 감독 기관들은 공식적으로 GDPR 규정을 적용할 수 있게 되었다. 솔직히 대부분의 사람들에게 가장 궁금한 건 이거다. “누가 어떤 이유로 제일 먼저 GDPR 판결을 받게 될까? 그 첫 벌금은 얼마나 될까?”

[이미지 = iclickart]


“그런 질문에 대한 답은 GDPR 감독기관의 수만큼 많을 겁니다. 그리고 GDPR 감독기관은 정말 많습니다.” 국제프라이버시전문가협회(International Association of Privacy Professionals)의 부회장인 오머 텐느(Omer Tene)의 답이다. “현재 유럽연합에 소속된 국가는 28개며, 각 나라마다 연방 정부와 십 수개에 달하는 주들로 구성되어 있죠. 이 주들이 다양하게 권력을 행사할 수 있습니다. 벌을 주기로 결정하는 것도, 그 벌을 얼마나 무겁거나 가볍게 내리는 것도, 다 제각각일 겁니다.”

뿐만 아니라 GDPR과 관련된 임무를 담당할 부서를 마련하는 문제에 있어서도 여건이 모두 다르다. 담당자 수와 예산 배치 모두 알아서 하도록 되어 있기 때문이다. 시스코(Cisco)의 CPO인 미셸 데네디(Michelle Dennedy)는 “프라이버시 관련 분야는 너무 좁아서, 어지간한 전문가들은 서로를 다 알고 있을 정도”라고 말한다. 즉, 누구나 마음껏 전문가를 모실 수 있는 게 아니라는 것이다.

그러나 부서 규모나 예산이 작다고 해서 GDPR 시행 의지까지 작은 건 아니라고 텐느는 주장한다. “작은 규모의 정부 기관 혹은 감독기관이 어마어마한 덩치의 기업들의 뒤를 쫓은 사례는 과거에도 있었습니다.” 하지만 데네디는 “그렇긴 해도 예산과 인원이 부족하면 아무래도 뒤를 쫓을 수 있는 사건의 수 자체는 달라질 수밖에 없다”고 말한다.

GDPR은 ‘동의’와 관련된 새로운 규칙들을 도입하고 있다. 그래서 조직들은 개인의 정보를 수집하고, 저장하고, 활용하고, 공유하고, 전송하고, 판매할 때 당사자의 동의를 구해야만 하게 됐다. 사용자 개인은 전에 동의했더라도 언제고 마음을 바꿀 수 있다. 이 말은 조직들에게 무슨 뜻일까? 정보를 취득할 때 파기할 생각도 실질적으로 해야 하며, 사실은 필요한 만큼만 데이터를 가지고 있어야 한다는 것이다. 또한 고객들이 만족해할만한 안전 장치들을 최대한 마련해야 한다는 뜻도 된다. 이는 비식별화, 암호화, 다중인증 등을 포함한다.

또한 GDPR은 저장 위치를 막론하고 유럽 시민의 데이터를 전부 관장하는 것이기 때문에, 전 세계의 많은 기업들이 영향을 받을 수밖에 없다. ‘누가 먼저 걸릴까?’라고 하며 멀리서 마음 편히 팝콘 봉지를 뜯을 수 있는 사람은 얼마 되지 않는다. “게다가 감독기관들이 ‘누구 한 번 걸리기만 해봐라’라면서 눈에 불을 켜고 벌금 때릴 준비를 하고 있지는 않다”라고 컴플라이언스포인트(CompliancePoint)의 부회장인 그렉 스패로우(Greg Sparrow)는 말한다. “이들이 찾는 건 ‘의도적인 프라이버시 침해’입니다. 모른 척하고, 갖은 편법을 동원하면서 이득을 챙기는 행위를 막는 게 우선입니다.”

이에는 데네디도 동의한다. “GDPR의 눈으로 봤을 때 이를 지키고자 노력하는 행위는 대단한 가치를 가지고 있습니다. 이는 여느 고객들의 시선이기도 하지요. 리스크를 줄여나가도록 성실히 노력하고, 어떻게 해서든 고객의 정보를 지키겠다는 의지를 보여도 사실 대부분 사람들은 그 회사를 믿어주려고 합니다. 노력이 전부라고 하는 건 아니지만, 그런 자세도 충분히 중요하다고 말하는 겁니다.”

중요한 건 마지막 말이다. 노력이 전부는 아니라는 것 말이다. 노력을 감독기관이 알아준다는 보장도 없고, 그걸 자신이 반드시 잘 증명할 수 있는 것도 아니니, GDPR에 대한 부담을 ‘충분한 노력’만으로 덜어낼 수는 없다. 마음 놓고 있다가 GDPR 판례 1호가 될 수도 있다. 그렇다면 다시 첫 질문으로 돌아가, “누가 제일 먼저 걸릴까?” 그에 대한 전문가들의 예상 답안을 들어보자.

1. 개인 시민이나 트롤에게 밉보인 조직
GDPR은 시민 개개인들에게는 매우 좋은 규정이다. 개인 누구라도 국가의 특수한 감독기관들의 지휘를 기다리지 않고 민사를 진행할 수 있다. 텐느는 “이 부분 때문에 GDPR이 실제로 시행되고 나서의 모습이 잘 그려지지 않는다”고 말한다. “개인의 민사 소송은 어떤 형태로 진행될까요? 그리고 기업들과 사회에 어떤 영향을 미칠까요? 상상이 어렵습니다.”

그런데 이 어려움이 대단히 오래갈 것으로 보이진 않는다. 이미 이 권리를 실천한 사람이 나타났기 때문이다. 바로 프라이버시 관련 활동가이자 noyb.eu라는 프라이버시 단체를 이끌고 있는 맥스 슈렘즈(Max Schrems)다. 슈렘즈는 페이스북, 구글, 인스타그램, 왓츠앱을 전부 고소했다. 사용자들이 표적 광고에 동의할 수밖에 없도록 강제했다는 것이 그 이유다. 이 옵션을 거절하면 실상 서비스를 사용할 수 없는데, 그게 무슨 동의를 구하는 것이냐는 것이다.

“또한 이른바 ‘트롤’이라는 사람들도 늘어나고 있습니다. 이 기업 저 기업 쑤시면서 GDPR 준비가 얼마나 되어 있는지 시험하고, 고객들을 선동하는 부류들이 생기고 있다는 소식이 여기 저기서 들립니다.” 개인식별정보 관리 전문 업체인 1touch.io의 CEO 자크 루빈스타인(Zak Rubinstein)의 설명이다. “저는 이런 트롤들에 의해 첫 사건이 발생할 것이라고 예상합니다. 특히 데이터 주체 접근 권한(DSAR)과 관련된 내용일 가능성이 가장 높다고 봐요. 3사분기 초반 내에 이와 관련된 사건이 발생할 거라고 생각합니다.”

2. 뒤가 찜찜하다고 알려진 기업들
GDPR에 많은 기업들이 벌벌 떠는 이유 중 하나(혹은 전부)는 그 무시무시한 벌금 때문이다. 무려 2억 유로 혹은 연간 총 수익의 4%라고 하니 말이다. 그런데 GDPR이 가지고 있는 이빨은 이것만이 아니다. GDPR에 의거하여 감독기관은 기업에 데이터 처리 활동을 금지시킬 수도 있다. 사실 벌금 2억 유로보다 이게 더 무서울 수도 있다.

텐느의 경우 벌금형보다 데이터 처리 금지 벌칙이 더 실질적인 효과를 발휘할 것이라고 예상하고 있다. “그런 경우 개인정보를 가지고 법망을 교묘하게 피해가며 이윤을 늘리던 기업들이 큰 타격을 입겠죠. 예를 들면 캠브리지 애널리티카(Cambridge Analytica)와 같은 회사들 말이죠.”

GDPR이 데이터 처리를 금지시킬 수 있다는 것이 텐느는 굉장히 마음에 든다. “그저 벌금만 매기는 것이면, 불법적으로 돈 많이 벌고 돈 내면 끝이에요. 사실상 환경 정화에 도움이 되질 않죠. 하지만 미묘한 비윤리적 행위를 ‘데이터 처리 금지’로 막음으로써 벌금으로만 이룰 수 없는 것들을 해낼 수 있게 될 것이라고 봅니다. 벌금형만 가지고 있는 독점금지법이 무용지물인 거, 우리 다 알고 있잖습니까?”

텐느는 “GDPR 감독기관이 노리고 있는 건 이런 종류의 기업들일 가능성이 가장 높다”며 “빠르면 GDPR이 실행되자마자 수일에서 수주 내에 이런 기업들에 대한 수사가 진행될 것”이라고 말한다. “심지어 발효되자마자 이런 회사들을 본보기 삼으려는 움직임이 시작될 수도 있습니다. 암약하던 기업들은 긴장해야 할 겁니다.”

웹 애플리케이션 보안 업체인 티셀(tCell)의 CEO 마이클 페이어택(Michael Feiertag)의 의견도 비슷하다. “개인정보의 어뷰징 사례는 넘쳐날 정도로 많습니다. 감독기관으로서는 이 건들을 처리하는 것만도 당분간 힘들 겁니다. 엉뚱한 기업들을 들쑤시고 다닐 여유가 없을 거라는 뜻이죠. 그래서 저는 유럽에 있는 전화 마케팅 혹은 이메일 마케팅 업체들이 처음 조사나 재판에 등장할 것이라고 봅니다. 개인정보 수집해서 비아그라 광고를 이메일로 보내는 업체들 있죠? 그런 회사들이 제일 먼저 걸릴 겁니다.”

페이어택은 “적어도 첫 1년 정도는 GDPR에 대한 신뢰를 쌓고 지지기반을 넓히기 위해 감독기관이 이기고 정의가 구현되는 모습을 보여주고 싶을 것”이라며 “누가 봐도 비윤리적이고 나쁜 행위들을 걸러내고 법정으로 가져갈 것이 당연하다”라고 설명한다. “GDPR 관련 기구들로서 최고 시나리오는 두 번째 캠브리지 애널리티카를 적발하고 처벌하는 것일 테죠.”

3. 다국적 대기업도 우선순위
데네디는 “내가 감독기관에 근무하고 있다면 ‘최대한의 효과’를 누릴 수 있는 대상을 재판장으로 데려가고 싶을 것”이라고 말한다. “그렇다면 대상은 뻔하지요. 구글이나 아마존 만큼 대서특필 될 조직이 있을까요?” 또한 수많은 감독기관의 수장들 중 헤드라인을 노리는 곳도 분명 있을 것이라며, “이를 통해 여론과 분위기를 GDPR로 집중시키면서 각종 홍보 효과를 누릴 수도 있습니다.”

스패로우도 같은 의견이다. “대기업 만큼 좋은 선례가 없을 겁니다. 게다가 사법 행위나 재판 절차가 비교적 간단한 지방 법원 같은 곳에서 GDPR의 감독기관이 일을 벌이면 결과를 얻어내기가 그리 어렵지 않을 수도 있고요.” 텐느는 “대기업이 아니더라도 지역 내 유명한 은행이나. 통신사 등도 그런 의미에서 충분히 표적이 될 수 있다”고 덧붙인다.

4. IT 거인들
GDPR의 탄생 배경에 ‘미국 실리콘밸리 견제’가 있다는 주장은 예전부터 있어왔다. 그렇다는 건 페이스북, 구글, 아마존과 같은 IT 기술을 가진 국제적인 업체들에 대한 수사나 조사가 제일 먼저 들어갈 수 있다는 뜻이 된다. 스패로우는 “앞으로 6개월 내에 이들을 겨냥한 움직임이 시작될 것”이라고 보고 있다. “게다가 페이스북에 대한 여론이 그리 좋지 않은 타이밍이기도 하죠. 이 시기를 놓치지 않으려고 할 겁니다. 저는 딱 하나 꼽자면 페이스북이 제일 처음 법정에 등장할 회사라고 봅니다.”

페이어택도 비슷한 의견이다. “구글과 페이스북이 곧 유럽으로부터 온 전화를 받을 겁니다.” 그러면서 대규모 마케팅 및 기술 기업들에 대한 수시 검사가 진행될 것이라고 예상한다. 물론 경찰을 대동해서 들이닥치는 건 아직 아닐 것이다. “구글과 페이스북 등이 바보는 아니죠. 자신들에 대한 견제 목적이 있다는 주장도 진작부터 알았을 것이고요. 그러니 나름의 준비를 철저히 했을 겁니다. 쉽게 잡혀주지 않을 거예요. 대신 유럽의 감독기관들도 수시 감사를 통해 데이터 보호를 어떤 식으로 해주길 바라는지 알릴 수 있을 겁니다.”

그러나 스패로우는 “개인적으로 페이스북은 초반에 걸릴 수도 있다고 본다”고 개인적인 의견을 덧붙였다. “유럽연합은 실리콘밸리를 두려워하지 않습니다. 게다가 얼마 전 마크 저커버그(Mark Zuckerberg)에게 직접 ‘5월 25일까지는 GDPR 규정 준수를 위한 준비를 완벽히 마치길 바란다’고 경고까지 했죠.”

5. 지불카드 보안에 느슨했다면...
GDPR이 온통 ‘개인정보’ 이야기만 하니 상대적으로 느슨해지는 것이 있는데, 바로 지불카드 정보다. 공격자들이 끊임없이 노리는 표적이면서, 우리가 늘 빼앗기는 부분이기도 하다. 의외로 개인정보 남용을 저지르는 기업들보다, 우리가 흔히 신문에서 보는 지불카드 정보 유출 사고 기업이 가장 먼저 GDPR의 망치에 맞을 수 있다. 이런 의견을 가진 건 보안 업체 트러스트웨이브(Trustwave)의 부회장은 마이클 아민제이드(Michael Aminzade)다.

“도소매 산업 등 지불카드 정보를 다량으로 처리하는 곳이 가장 유력한 후보라고 봅니다. 도소매 외에 숙박업이나 온라인 쇼핑몰 등도 마찬가지겠죠. EMV 칩이 도입되지 않거나 보편화되지 않은 지역이면 특히 더 불리할 수 있습니다.”

하지만 이 부분에 있어서 감독기관들이 공권력 휘두르기에 서두르지는 않을 것이라고 그는 보고 있다. “지불카드 산업이 집중 공략당하게 된다면, 1~2년 후일 거라고 봅니다. 왜냐하면 EMV 시스템 도입 등은 한 회사의 문제가 아니라 나라나 지역 전체의 문제이기 때문이빈다. 이걸 유럽연합도 잘 이해하고 있어요. 그러니 보다 나은 카드 시스템 도입에 시간을 더 줄 것이라고 봅니다.”

6. 데이터 사용법을 바꾸려들지 않는 기업
의외로 굵직하지 않고, 소소한 사건들에서 GDPR의 첫 판결이 내려질 수 있다고 보는 전문가들도 있다. “예를 들어 다중인증 시스템이 필수여야 하는 부분에서 여전히 비밀번호로만 인증을 하는 기업이라면 유명하거나 크지 않아도 GDPR 감독기관의 눈에 걸릴 수 있습니다. 프라이버시 정책처럼 눈에 쉽게 띄는 부분을 고치지 않은 기업도 마찬가지고요. 질 수 있는 재판을 하려하지 않을 것이니, 가장 당연하고 눈에 잘 띄는 부분부터 수정해가야 할 겁니다.”

보안 업체 아카마이 테크놀로지스(Akamai Technologies)의 글로벌 보안 고문인 데이브 루이스(Dave Lewis)는 “GDPR하면 벌금부터 떠올리는 사람이 많은데, 사실 GDPR은 데이터 보관 및 처리에 관한 우리의 기본적인 태도를 바꾸려는 것에 목적이 있다”고 지적한다. “이전 방식들 중 고칠 것이 있으면 고치면 됩니다. 그게 GDPR 준비의 핵심이에요. 어떻게 하면 벌금을 안 낼까, 가 아닙니다.”

시스코의 데네디는 “지금도 많은 기업들이 관리할 수 있는 능력보다 훨씬 많은 데이터를 쓸데없이 보관하고 있다”며 “많은 데이터를 빠르고 저렴하게, 절차나 윤리와 상관없이 모으고 오래오래 가지고 있으면 되는 줄 아는 기존 사업 방식이 문제”라고 강조한다. “저렴한 스토리지가 사업에 보탬이 되는 시대가 끝났다고 보시면 됩니다. 데이터를 우겨 쌓는 것이 회사를 쓰레기장으로 만드는 것과 동일한 대가 되었어요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술