세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
GDPR 시행 20일, EU 진출 기업 대응과 적정성평가
  |  입력 : 2018-06-14 14:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
EU GDPR 시행에 따른 국내 기업의 대응과 향후 과제

[보안뉴스 김성미 기자] 유럽연합(EU)이 4차 산업혁명 시대 데이터 혁신의 원료인 개인정보의 활용과 보호의 새로운 기준을 제시하는 일반 개인정보보호법(General Data Protection Regulation: GDPR)이 5월 25일 시행된 지 이제 20여일이 지났다. 이에 따라 우리 기업은 개인정보보호 강화 추세가 세계적으로 확산될 가능성에 대비하고 경쟁력 개선의 기회로 삼을 필요가 있다.

[사진=dreamstime]


GDPR은 높은 수준의 개인정보 보호 요건을 부과함에 따라 혁신과 무역투자에 장애요인으로도 작용할 수 있다. 특히 EU 시장에 진출했거나 진출하려는 보안업체라면 선제 대응이 필요한 상황이다.

EU가 GDPR을 도입한 목적은 ①4차 산업혁명 시대에 대응한 개인정보보호체제 확립과 ②역내 디지털 혁신을 촉진하기 위한 통일된 규제여건 조성이 필요했기 때문이다. EU의 주요 관심사중 하나는 EU 시민의 개인정보가 국외로 이전될 경우 제대로 보호받고 있는 가였다.

또한, EU는 28개 회원국들의 개인정보보호법을 통일해 역내 규제 환경을 개선함으로써 디지털 혁신을 촉진하려고 했다. 개인정보보호체제의 호환성을 높이는 것은 EU 역내 시장 확대의 중요한 조건으로, EU는 GDPR 도입을 통해 인터넷 서비스 플랫폼과 사물인터넷(IoT), 클라우드 컴퓨팅, 빅데이터, 보안산업 등에 걸쳐 역내 데이터 혁신을 가속한다는 복안을 갖고 있다.

이밖에도 개인(정보주체)에게 더 많은 개인정보 통제권을 부여함으로써 온라인상의 개인정보 유출 우려에 대응하고자 했다.

4차 산업혁명 시대의 핵심자원 ‘개인정보’
EU가 이처럼 개인정보보호에 집중하는 것은 개인정보가 4차 산업혁명의 핵심자원이자 연료여서다. 4차산업 혁명은 디지털화를 통한 혁신의 대규모 데이터의 수집·처리·이동을 수반한다.

다양한 데이터 가운데 개인정보는 가장 중요한 부가가치를 창출할 수 있는 자원으로 꼽히며 세밀한 개인정보 수집과 인공지능(AI), 빅데이터 분석이 이뤄지면 개인정보 맞춤형 제품·서비스 개발의 기초자원이 될 수 있다. 글로벌 기업들이 데이터 혁신을 주도하는 가운데 후발 기업들도 데이터(개인정보)를 활용한 사업모델 개발을 통해 새로운 시장 모색에 나서고 있는 것이 이를 방증한다.

이처럼 개인정보의 활용이 중요한 시점이지만 동시에 온라인상의 개인정보 유출·오남용 가능성도 커지고 있다. 이에 EU를 포함한 많은 국가가 개인정보 보호체제를 개선하고 있다. 우리나라도 개인정보의 활용을 촉진하는 동시에 적정한 보호체제를 도입하기 위한 목적으로 개인정보보호법을 개정하고 있으며, CCTV 등을 통해 수집한 개인영상정보의 보호를 위한 개인영상정보보호법 제정에도 나서고 있다.

역내 투자·EU 시민 대상 활동 기업까지 영향
GDPR은 EU 역내 투자기업은 물론, EU 시민을 대상으로 한 다양한 기업 활동에까지 영향을 미친다. EU 역내에 거점을 운영하면서 해당 기업의 활동이 개인정보의 처리를 포함하는 경우는 물론, 역외에 위치하면서 EU 거주 정보주체에게 재화·서비스 제공하는 기업에도 적용되기 때문이다.

전자상거래 수출 기업으로 EU 시장에서 소비재와 사물인터넷(IoT)을 결합한 기업대 소비자(B2C) 비즈니스를 추진하는 기업이 GDPR 적용 대상이 될 수 있다. 여기에서 주목할 것은 이 온라인 쇼핑몰이 EU 시민을 직접 공략하는지 여부다. 해당 쇼핑몰이 유럽어로 만든 유럽향 사이트라면 GDPR 적용 대상이다.

역외로 이전된 정보를 제3국으로 다시 이전해 처리할 경우에도 GDPR 적용 대상이 된다. 세계 각국에 지사를 두고 있는 글로벌 기업이 EU 시민의 개인정보를 EU 회원국외 국가의 지사로 이전하려면 기업이 별도로 GDPR 적정성평가(BCR)를 신청해 받아야 한다.

개인정보 범위 확대… 생체정보는 엄격 관리
GDPR의 개인정보 범위는 최근 기술 발전에 맞춰 확대·규정됐다. IP 주소, 쿠키, RFID, 위치정보 등도 개인정보로 간주한다. 유전정보와 생체정보를 비롯한 민감 개인정보는 더욱 엄격한 기준 아래서 관리하도록 의무화했다.

GDPR은 정보 주체의 동의 이외에 기업이 활용할 수 있는 개인정보 국외이전 절차도 명시하고 있다. 적정성평가(Adequacy decision)와 구속력 있는 기업규칙(BCR), 표준계약조항(Standard clause), 인증(Certificate) 등과 같이 GDPR이 정한 방법에 의해서만 개인정보의 EU 역외 이전이 가능하다. BCR은 EU 시민의 개인정보를 EU 외 지사로 내부 이전할 경우에만 적용되는 규정이다.

GDPR은 정보주체의 권리도 강화했다. 개인정보책임관(DPO : Data Protection Officer) 임명 등 기업의 의무를 강화하고 법 위반 수준에 따라 기업 세계 매출의 2~4% 또는 1~2,000만유로(한화 약 127억원~254억원) 가운데 큰 금액을 과징금으로 부과하고 있어 주의해야 한다. DPO는 기업 내 GDPR 등 정보보호 법규 이행상황 모니터링 등의 업무 수행하는 사람으로 직원이지만 회사로부터 독립적인 지위를 인정받아 인사권의 제약을 받지 않는다.

GDPR 영향력과 파급효과는 어디까지
GDPR은 28개 EU 회원국에 동일하게 적용되는 일반법으로 적용범위가 넓어 역내외 기업에 대한 영향이 크다. 또한, 한국을 비롯한 각국 법제의 벤치마크가 되고 있어 글로벌 규제여건에 큰 영향을 줄 것으로 예상되고 있다.

국내 물리보안업계도 GDPR이 EU 등 수출 시장은 물론 내수시장에서도 영상정보나 생체정보를 보호하기 위한 법제 마련을 위한 롤모델이 될 것으로 보고 추이를 주목하고 있다.

GDPR이 통합된 EU 디지털 시장 창출에 기여하지만 기업 활동에 부정적 영향을 가져올 가능성도 있다. 특히, 우리 기업과 스타트업의 최근 대EU 수출·투자가 데이터 혁신과 직간접적으로 연계된 통신·컴퓨터·정보 서비스업 등에서 활성화되고 있어 철저한 준비가 필요하다.

한국은행 서비스수지 통계에 따르면, 우리나라의 대EU 전체 서비스 수지는 지속적인 적자를 기록하고 있으나, 통신·컴퓨터·정보 서비스 수출은 2016년 4억 1,620만 달러의 흑자를 내고 있다.


GDPR은 EU 회원국의 개인정보보호법을 통일함으로써, 중장기적으로 EU 역내 규제여건을 개선해 시장을 확대하는 효과가 있을 것으로 기대되지만 단기적으로는 당분간 상당한 적응 비용을 부담해야 하고, 불확실성에 직면할 기업들에는 혁신을 둔화시키는 요인으로 작용할 수 있다.

예를 들어 데이터 처리 전문 EU 기업이 서비스 조달처를 역내기업이나 사내 업무로 전환할 경우, 역외기업의 수출·투자에 불리하게 작용할 가능성이 있다.

우리 기업이 꼽는 GDPR 최대 애로사항
그렇다면 EU GDPR이 시행된 지금 기업들이 가장 궁금해하고 어려워하는 것은 무엇일까? 한국인터넷진흥원(이하 KISA)이 최근 500개 기업을 대상으로 진행한 GDPR 설문조사 결과에 따르면, 우리 기업들이 가장 궁금해 하는 것은 ‘우리 회사는 GDPR에 적용되는가?’였으며, 다음은 ‘벌금에 대한 막연한 두려움’으로 나타났다.

그러나 GDPR을 조금이라도 알고 있는 기업은 ‘우리나라에 대한 EU의 적정성평가는 언제 통과되나?’를 가장 궁금해 했다. 마지막 질문에 답은 ‘우리나라는 일본과 함께 EU로부터 첫 번째 GDPR 적정성평가 국가로 올 연내 통과를 기대하고 있다’로 정리할 수 있다.

EU는 회원국 시민들의 개인정보를 보호하기 위해 개인정보의 이동을 엄격하게 제한한 GDPR을 시행한 후, GDPR에 버금가는 개인정보보호 정책을 가진 국가를 대상으로 적정성평가 거쳐 EU 시민의 개인정보를 수집·이용할 수 있도록 했다.

이에 따라 우리나라가 적정성평가를 통과하면 우리 기업들은 추가적인 조치 없이도 EU 시민들의 개인정보를 한국으로 이전해 처리할 수 있게 된다. EU가 우리나라의 개인정보보호 관련법을 믿고 기업들이 해야 하는 여러 절차와 심사를 면제해 주기 때문이다.

하지만 현재까지 GDPR 적정성평가를 통과한 국가는 없다. GDPR 이전에 실시된 DPD(Data Protection Directive) 적정성평가를 통과한 국가들도 새로 GDPR 적성정평가를 받아야 하기 때문이다. DPD도 적정성평가가 완료되기까지 국가별로 4~8년이 걸렸다.

다행히 우리나라는 강력한 개인정보보호법을 갖고 있는데다 여러 관련 사례들이 있어 EU 집행국은 일본과 더불어 우리나라를 우선 심사 대상으로 선정했다. GDPR 적정성평가란 EU가 상대국 개인정보 보호체제의 동등성을 평가하는 제도다.

GDPR, 규제 대응수준을 향상시키는 기회로
GDPR이 이미 발효된 이상 우리 기업은 개인정보 보호 역량 강화를 통해 경쟁력을 높이고 소비자 신뢰도를 향상하는 방향으로 나아가야 한다. EU는 진입장벽이 높고 전통적으로 역내 무역의존도가 높지만 최근 우리 중견·중소기업의 수출이 증가하고 있는 중요한 시장이다.

우리나라의 대EU 수출에서 중견기업과 중소기업이 차지하는 비중은 2013년 15.3%, 14.9%에서 2016년 18.2%, 16.8%로 꾸준히 증가하고 있다. EU 시장에 진출하는데 중요한 무기는 기업 신뢰도다.


최근 조사에 따르면 영국 소비자들은 개인정보 제공이 필요한 거래에서 기업에 대한 신뢰도를 경제적 요인(가격)보다 더 중시하는 것으로 나타났으며 이는 기업에 시사하는 바가 크다. 이와 관련해 KOTRA는 기업 신뢰도 향상을 위한 방법이자 수출 준비의 첫 단계로 다양한 국내외 인증 제도를 활용해야 한다고 조언했다.

정보보안 국제표준인 ISO 27001 획득은 그 출발점이며, 개인정보보호 영향평가, DPO 등 선진적인 개인정보 체제를 적극 도입할 필요가 있다고 강조했다. 우리나라는 개인정보보호 영향평가를 공공부문에만 의무로 규정하고 있으나, GDPR처럼 이런 의무를 민간으로 확대하는 추세에 부응할 필요가 있다는 것이다.

DPO는 단순한 정보보안인력이 아니라 개인정보 관련 기술·법률적 지식을 갖춘 인력의 적극적인 영입과 육성이 필요하다. 정부도 GDPR을 비롯해 변화하는 글로벌 개인정보보호 체제에 대한 이해를 높이고 지속적인 모니터링을 통해 중소·중견기업, 스타트업의 지원 수요에 대응할 필요가 있다.
[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)