Home > 전체기사

EU 요로바 집행위원과 한국기업 CPO들, GDPR 원칙 공유

  |  입력 : 2018-06-06 10:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR이 올바로 세우고자 하는 건 “개인정보 보호는 모두의 기본권”
“모두가 프라이버시 마스터가 되어야”...“그때까지 시간 걸릴 것”


[보안뉴스 문가용 기자] 5월 25일 유럽연합의 개인정보보호법인 GDPR이 시행됐다. 그리고 1주일 뒤인 지난 주 한국에서 열린 개인정보보호페어(PIS FAIR)에 GDPR을 총괄하는 EU 베라 요로바(Věra Jourová) 집행위원(장관급)이 방문해 정부 기관들은 물론 주요 기업들의 CPO 및 CISO들을 만나는 시간을 가졌다. 한국 기업들은 GDPR에 대해 궁금한 것을 물었고, 유럽연합 측은 현장의 반응을 수집하는 윈-윈의 자리였다.

[이미지 = iclickart]


GDPR 발효 1주일이 지난 시점에서 한국 기업들이 가장 궁금해 하는 건, ‘우리도?’로 정리가 가능하다. 유럽에서 유럽인들을 대상으로 대대적인 사업을 벌이는 기업이라면 당연히 GDPR 적용 대상이지만, 유럽을 타깃 시장으로 잡지도 않으면서도 유럽 고객이 소수 유입된 경우 입장이 애매한 것이다.

네이버 같은 기업의 경우, 다양한 언어로 온라인 서비스를 제공하는데 그중 유럽에서 통용되는 언어가 있고, 따라서 극소수의 유럽 사용자를 보유하고 있다. 그러나 유럽 시장으로 진출을 했다거나 유럽인들을 대상으로 사업을 집중해 펼치고 있는 것도 아니다. 이진규 CISO는 간담회 자리에서 “그러한 고객이 0.001%에 불과한데도 GDPR이 적용되는가?”라고 물었다.

교보생명도 그 부분이 궁금한 건 마찬가지였다. 간담회에 참석한 김기환 CISO는 “교보생명은 유럽에서 사업을 운영하고 있지는 않은데, 고객 중에 EU 시민들이 존재한다”며 “이런 경우도 GDPR을 준수해야 하는가?”하고 물었다.

두 경우 모두 돌아오는 답은 “그렇다”였다. 요로바 위원은 “(사람의 혹은 고객의) 숫자는 중요하지 않습니다. 언어와 통화가 유럽에서 통용이 되는 서비스가 존재하고, 그에 대한 유럽 시민 사용자들이 있다면 GDPR이 적용됩니다”라고 답했다. “GDPR은 개인의 정보를 보호하는 하나의 근본적인 방침이자 철학을 바로 세우는 계기라고 이해하셨으면 좋겠습니다. 그러므로 사용자 수로 인해서 좌지우지 되지 않습니다.”

한편 유럽의 소비자들에게 짧은 기간 동안 서비스를 해야 하는 기업들의 경우도 GDPR의 적용 여부 문제가 궁금하다. 인터파크의 윤혜정 실장은 “지난 평창올림픽 때 티켓을 판매한 적이 있다”며, “국제 스포츠 경기 프로젝트를 수주하고 운영할 때는 한시적으로만 유럽의 스포츠 기관 및 조직위 등에 속한 사람들의 정보를 필요로 하는데, 우리 기업도 GDPR을 준수해야 하는가?”라고 물었다.

요로바 위원은 “그렇다”고 답했다. 그러면서 “짧은 기간만을 위한 서비스를 위해 GDPR 준비를 하는 것은 비효율적이라는 것을 이해한다”며 “한국이라는 나라 전체가 적정성 평가를 받고, 통과하게 된다면 ‘한국 기업이 정보보호 조치를 잘 취하고 있다’는 것이 인정되고 사업상의 어려움이 해소될 것”이라고 덧붙였다. “그 때까지는 개인정보를 이전하고 저장하며 관리하기 위한 장치가 필요합니다.”

좌중에서 추가 질문이 있었다. 임시적인 서비스를 제공해야 하는 경우를 위해, GDPR 내 예외 규정이 있지 않느냐는 것이었다. 요로바 위원은 “개인정보가 포함된 데이터를 전송해야 하는 경우 예외적인 경우는 없다”고 단호하게 말했다. “데이터가 이전되어야 할 때는 계약 등의 보호 장치가 반드시 필요합니다. 사용자 수가 GDPR의 적용 여부를 결정하지 못하듯이 데이터 전송을 위한 서비스의 장기성 혹은 단기성이 예외를 만들지 못합니다.”

또한, 참석한 기업 중 EY한영은 “보안 컨설팅을 주로 하는 입장에서 보면 국내 규정들에 비해 GDPR은 애매한 구석이 있다”며 “따라서 실제 계약 진행 시 어려운 점이 있다”고 밝혔다. 그러면서 그런 모호함을 없애기 위한 추가 가이드라인이나 규정 해석집이 계획되어 있느냐고 물었다.

요로바 위원은 “가이드라인은 이미 여러 권 발행됐다”고 말했다. 모호함에 대한 지적이 계속 있었기 때문에 지난 2년 동안 용어 정리와 개념 정립을 위한 가이드라인을 다수 발행했다는 것이다. “2016년에는 개인정보 이동권과 DPO 임명, 선임 감독기구에 관한 보고서를 발표했습니다. 2017년에는 개인정보 영향평가와 높은 위험을 내재한 개인정보의 처리, 과징금 부과, 개인정보 침해 통지, 자동화된 의사결정 및 프로파일링, 동의, 투명성에 대한 보고서가 나왔고요, 올해에도 벌써 인증기관에 대한 인정과 역외 이전 시 특정 상황에 대한 예외 조항에 관한 보고서가 나왔습니다.”

그러면서 “이런 보고서들 덕분에 이미 유럽에서는 데이터 보호와 관련된 규제가 일원화 돼서 이뤄지고 있다”고 말했다. 모호함이 빠르게 사라지고 있다는 뜻이다. “GDPR의 많은 규정들이 아예 백지부터 만들어진 것이 아닙니다. 이전에 존재하던 여러 프라이버시 보호 규정들에서 좋은 것들을 따오고, 또 향상시킨 것이죠. 새로운 것들에 대해서는 새로운 가이드라인을 발표하고 있는 것이고요. 그러니 너무 공부할 것이 많다거나, 지나치게 기존과 다르다고 부담가질 필요가 없습니다. GDPR이 탄생하기까지의 맥락이 존재합니다.”

궁금한 것이 대략 해소됐는지 질문이 이어지지 않았다. 그러자 요로바 위원이 먼저 말을 꺼냈다. “현재 일본과 한국을 비롯해 세계 여러 나라들을 다니며 GDPR에 대한 반응을 듣고 있습니다. 기업들에서도 꾸준한 피드백을 받고 있고요. GDPR은 개인정보를 사용하고자 할 때 정보의 주체에게 동의를 구하라고 요구합니다. 그래서 많은 기업들이 사용자들에게 개인정보 사용에 관한 동의서를 새롭게 보냈더군요. 그러나 현재까지 1/10만 답장을 보냈다고 합니다.”

요로바 위원이 설명을 이어갔다. “아직까지는 소비자 측에서나 기업 측 모두에서 불만 사항이 더 많아요. 소비자들은 여태까지 잘 사용하던 서비스인데 왜 또 질문지를 읽고 답을 보내 동의해야 하느냐고 묻습니다. 기업은 1/10만 동의서를 보내는데 어떻게 서비스를 예전처럼 진행시키냐고 묻고요. 하지만 저는 이것이 필요한 과정이라고 봅니다. 우리 개개인의 올바른 권리인 개인정보 보호가 드디어 한 사람 한 사람 인식 속에 잠식해 가는 시간이라고 보는 것이죠.”

요로바 위원은 “GDPR이 말하고자 하는 건, 개인정보 보호가 기본적인 인간의 권리라는 것”이라고 다시 한 번 강조했다. “단지 유럽의 시민만을 보호하고자 하는 게 아닙니다. 한국분들이 유럽에 와서 호텔이 묵더라도, 그 개인정보가 똑같이 GDPR 규정으로 보호됩니다. 왜냐면 개인정보 보호는 누구나 가지고 있는 기본권이기 때문입니다. 그 권한은 정부 기관들이 규정으로 지켜줄 수도 있지만, 한계가 있죠.”

설명이 이어진다. “기본권인 프라이버시가 제대로 보호되려면 개개인이 ‘프라이버시 마스터’가 되어야 합니다. 지금 기업들의 새로운 동의서에 1/10만 응답했다고 하지만, 그만큼 새로운 것을 익혀나가는 데에 시간이 걸리는 겁니다. 이제 고작 실행된지 1~2주 지났을 뿐입니다. 실제로 일부 사용자들은 ‘내 개인정보가 이렇게까지 활용되고 있다는 걸 몰랐다’고 놀라워합니다. 프라이버시 마스터가 되어가는 첫 걸음이 시작된 것이죠.”

그러면서 요로바 위원은 “이것이야 말로 올바른 방향의 혁신”이라고 강조했다. GDPR이 혁신을 저해할 것이라는 일부 여론을 의식한 듯한 발언이었다. “물론 어떤 기업들은 GDPR을 준수하느라 혁신이 저해되는 듯한 느낌을 받을 수 있을 겁니다. 하지만 기본적인 프라이버시 보호 장치를 제대로 갖추고 나면 올바른 방향의 혁신을 꾀할 수 있을 겁니다. 오히려 앞으로 치고 나아가는 데 있어 안전장치가 마련되었다고 생각합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)