Home > 전체기사
시행 2주년 맞은 GDPR, 코로나 때문에 느슨해지고 있다?
  |  입력 : 2020-05-28 15:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
영국과 유럽연합, 잇따라 벌금 집행 시간을 연장...“지금은 코로나에 집중할 때”
그렇다고 GDPR이 느슨해졌다고 해석하는 건 오류...지역 불균형 문제도 해결 과제


[보안뉴스 문가용 기자] 전 세계의 인적, 물적 자원이 코로나와의 전쟁에 투입되고 있다. 그러면서 유럽연합의 GDPR 관련 행적이 느슨해지고 있다는 지적이 나왔다. 실제 영국은 한 달 전 정보위원회사무국(ICO)을 통해 “데이터 보호 규제와 관련하여 기업들에 조금 여유를 주겠다”는 식의 발표를 했고, 최근 유럽연합 측도 비슷한 취지의 발언을 했다. 지금은 직원들의 건강에 더 힘쓸 때라는 것이다.

[이미지 = utoimage]


먼저 유럽연합은 2019년에 내려진 두 개의 벌금형의 집행을 뒤로 미뤘다. 2억 2300만 달러의 벌금형을 받은 영국항공과 1억 2400만 달러를 내야 하는 메리어트에 시간을 좀 더 준 것이다. 영국항공은 항소를 제기한 상태고 메리어트는 벌금 낼 준비를 하는 것으로 알려져 있지만, 두 경우 모두 여유 시간이 주어진 상태다.

그렇다고 코로나 때문에 GDPR을 통한 개인정보 보호 캠페인이 유야무야 파묻혀 버린 건 아니다. 모리슨 앤 포어스터(Morrison and Foerster)의 프라이버시 전문가인 애너벨 길햄(Annabel Gillham)은 “잠시 GDPR 집행이 느슨해진 건 사실이지만, 멈췄다거나 중단된 건 절대 아니”라며 “말 그대로 GDPR에 돌릴 자원이 없기 때문에 발생하는 현상”이라고 말한다.

현재 유럽 시민들은 GDPR을 ‘팝업 창’의 형태로 체험하고 있다. 유럽을 근거지로 하고 있는 사이트에 방문할 때 혹은 유럽 내 IP 주소를 가지고 있는 사이트에 입장할 때 데이터 수집에 동의하겠느냐는 내용의 팝업 창이 뜨도록 되어 있기 때문이다. 하지만 GDPR은 이것보다 훨씬 깊은 내용을 담고 있다. 유럽연합이 원하는 건, 개인정보 보호가 우선시 되는 문화가 정착되는 것이며, 따라서 팝업 창을 띄우는 것 말고도 많은 세부 규정들이 존재한다.

하지만 시행 후 2년이나 지난 시점인데 왜 아직 유럽연합 시민들에게조차 팝업 창 외의 형태로는 다가가지 못하고 있는 것일까? 지금은 코로나 때문에 자원이 부족해진 상태지만, 그 전에는 유럽연합이 서로 다른 국가와 문화권으로 형성되었다는 점 때문이었다. 특히 벌금을 부과하는 것에 있어 같은 GDPR을 기반으로 하고 있음에도 나라마다 편차가 있었다.

벌금이 나라마다 다르게 나온다는 건, 기업 입장에서 ‘어느 장단에 맞춰야 하는가’를 판단할 수 없다는 뜻이 된다. 이 때문에 GDPR을 준수한다는 게 사실상 불가능하게 되고, 기업 활동이 위축된다. 코로나 직전까지 GDPR이 당면한 과제는 바로 이 불균형을 해소하는 것이었다. 따라서 코로나 이전 상태로 돌아간다고 해서 갑자기 GDPR이 준수하게 적용되고, 개인정보 보호 문화가 다시 돌아오는 건 아니다. 다시 머리 아픈 지역 격차 해소 문제가 시작될 뿐이다.

국제프라이버시전문가협회(International Association of Privacy Professionals)의 오너 텐(Omer Tene)은 “GDPR이 사용자들을 실제적으로 보호하려면, 위반자들이 위반의 엄중함을 체감할 수 있도록 해야 한다”고 주장한다. “그렇기 때문에 높은 벌금을 책정하는 것이고, 이는 어느 지역이나 지켜져야 합니다. 정보보호 문화가 확산이 되면서 이 벌금은 조금씩 줄일 수 있겠지만, 그 전까지는 강력하게 시행해야 합니다.”

하지만 이 불균형의 문제가 즉각 해소될 것이라고 예상하는 사람은 아무도 없다. 코로나 바이러스로부터 회복되는 것조차 나라마다 다를 것이기 때문에 오히려 불균형은 더 심화될 수 있다. 영국 로펌, 브라이언 케이브 레이튼 페이즈너(Bryan Cave Leighton Paisner)의 데이터 프라이버시 부문 책임자인 케이트 브림스테드(Kate Brimstead)는 “정부가 어떤 기준으로 ‘회복세’를 판단하느냐, 또 GDPR 규정을 어떻게 해석하느냐가 평준화 되지 않는 이상 당분간 GDPR이 들쭉날쭉하게 시행되는 걸 막을 수 없을 것”이라고 말한다. “따라서 강력한 벌금을 부과하는 것보다 이런 현실을 인정하고 조금은 유연하게 접근하는 게 더 나을 것”이라는 의견을 피력하기도 했다.

“GDPR을 지키고 싶은 기업의 입장에서 보면, 정책을 마련하고 시행하는 기관이 강압적으로 억누르는 게 아니라 현실에 발맞춰 가준다는 것이 큰 힘이 됩니다. 물론 이미 정해진 법 자체를 되돌릴 수는 없습니다만, 실제 시행 관계자들이 좀 더 유연한 모습을 보여줄 수는 있을 것입니다. 모든 부분에서 느슨해지자는 게 아닙니다. 유출 사고가 발생하면 72시간 내에 반드시 보고하도록 하고, 고객의 정보를 수집할 때는 충실히 고지하고 허락을 득해야죠. 다만 코로나도 그렇고, 지역 간 불균형 문제도 그렇고, 현실적인 어려움을 기업들과 규제 기관이 같이 해소하기를 바란다는 겁니다. 강압적으로 나가면 모든 짐을 기업들이 짊어질 수밖에 없게 됩니다.”

3줄 요약
1. 시행 2주년 갓 넘긴 GDPR, 코로나 때문에 최근 주춤한 듯한 모습 보이고 있음.
2. GDPR을 잊은 게 아니라 코로나 대처 때문에 자원이 부족하기 때문.
3. 코로나 이후 GDPR 시행에 있어 지역 간 불균형 발생하는 것부터 해결해야 할 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)