유럽 일반개인정보보호법(GDPR)이 오는 5월 25일부터 전면 시행된다. 2016년 5월 발효된 GDPR의 유예기간 2년이 곧 만료된다. 정부부처와 산하기관은 제도 정비 차원에서 지난 2년간 정책적으로 유럽연합(EU) 지역 개인정보 보호와 활용 관련 규제이슈를 분석해 왔다.
하지만 정작 그 적용 대상이 될 국내 기업 담당자와 임원들의 이해 수준은 충분치 않은 분위기다. 여전히 국내 다수 민간 조직이 GDPR을 대하는 태도는 단편적이다. 주된 관심은 '위반기업에 세계 연매출 4%의 과징금이 부과될 수 있다'는 제재 수위에 머문다.
이런 가운데 한국마이크로소프트(MS)의 기업고객사업본부 박지호 부장은 GDPR 시행 101일을 앞둔 지난 13일 서울 광화문 사무실에서 'GDPR의 이해와 준비'라는 주제로 강연을 진행했다. 14일 현재 기준 GDPR 시행 100일을 염두에 둔 일정이었다.
■ 한국MS 직원이 GDPR 논하는 배경 "기업들 사이에 오해가 있다"
MS나 한국MS는 대기업과 중견중소기업(SMB)을 주 고객층으로 둔 소프트웨어(SW) 제품 및 클라우드서비스를 제공하는 회사다. 명시적인 GDPR 대응솔루션을 공급하거나 사업목적에 포함시키는 회사는 아니다. 다만 MS의 최신 클라우드서비스는 IT인프라 차원에서 여러 국제표준 인증으로 검증된 보안성을 갖췄고, 이는 GDPR에 대응하려는 기업에게 이점이 될 수 있다는 메시지를 내놓고 있다. 그 연장선에서 고객 대상 컨설팅이나 교육을 통해 GDPR 준수가 '남일'이 아닐 수 있다는 점을 알려 왔다.
GDPR은 EU 지역 안에서 자유로운 개인정보 이용 가능성과 자연인의 개인정보 보호를 동시에 보장하는 2가지 측면을 다룬 법이다. 박 부장은 어떤 신기술이 가치를 발휘하려면 적절한 규칙을 필요로 하는데, EU는 4차산업혁명시대 기술발전과 활용을 선도할 의지를 GDPR에 담았다고 풀이했다. 법안이 단순히 개인정보를 보호할뿐아니라, 기업의 개인정보를 이용 기회를 마련함으로써 4차산업혁명 시대를 이끌 인공지능, 사물인터넷, 클라우드 등 기술을 발전시키고 사람들이 그 혜택을 누릴 수 있도록 돕는 역할도 할 것이라는 뉘앙스였다.
이날 박 부장의 강연은 다국적기업 MS의 메시지가 아닌, 국내 기업 담당자들과 일상적으로 만나며 GDPR에 관심이 많은 실무자 개인의 차원으로 진행됐다. 박 부장은 강연에서 현재 한국 기업들의 체감보다 GDPR의 적용 범위는 꽤 넓고, 손쉽게 그 규제에 대비할 단편적인 해법은 없으며, 사실 당장 대비를 시작하더라도 남은 시간이 촉박할 수 있다고 지적했다. 그는 GDPR 조문 원문과 행정안전부, 한국인터넷진흥원(KISA)이 작년말 작성, 공개한 '우리 기업을 위한 유럽 GDPR 1차 가이드라인'을 주요 근거 자료로 인용했다. [☞관련기사]
인용된 1차 가이드라인 내용에 따르면 정부는 2016년부터 개인정보 이동권, DPO 임명, 선임감독기구, 고위험 개인정보처리, 개인정보영향평가, 과징금 부과 내용 항목을 다룬 GDPR 관련 가이드라인을 발간해 배포 중이다. 더불어 지난해 개인정보 침해 통지, 자동화된 프로파일링 관련 가이드라인 초안을 만들었고 인증(Certification), 개인정보 국외이전, 투명성, 동의, 유럽 개인정보보호이사회 구조를 다룬 가이드라인도 올해 5월 이전까지 발간하기로 계획했다.
이를 소개한 박 부장에 따르면, 이미 파악된 GDPR의 세부 내용 중에도 간과된 점이 많다. 그로 인해 형성된 오해가 여럿이다. 이를테면 규정이 다수 사업장이나 많은 직원을 거느린 대기업에만 적용될 것이라 보는 시각이 있다. IT보안솔루션 도입으로 대응하면 될 것이란 기대가 있다. 제재 리스크가 과장된 것 아니냐는 의문도 제기된다. EU 지역에서 사업하지 않는 한국 기업은 신경쓸 필요가 전혀 없지 않느냐는 선입관도 있다. 앞으로 남은 몇 달 '바짝' 하면 충분히 대비할 수 있지 않겠느냐는 낙관적인 분위기도 있다. 알고보면 그렇지 않다는 지적이다.
강연을 통해 박 부장이 짚은 GDPR의 오해와 실상, 국내 기업을 위한 현실적 대응 방안을 정리했다.
■ "중소기업은 괜찮다, IT솔루션 쓰면 된다? 그렇지 않아"…GDPR의 진실
박 부장은 GDPR을 둘러싼 오해 5가지를 제시하고 실상은 다르다고 지적했다.
첫째 오해는 중소기업이 GDPR에 해당하지 않는다는 인식이다. 그렇지 않다. GDPR 적용 범주에서 관건은 사업장내 종사자나 임직원 수가 아니라, 실제로 다루고 있는 개인정보의 규모에 달렸다.
박 부장은 "제조업은 직원수가 1만명에 달하더라도 개인정보를 활용할 일이 거의 없을 수 있지만, 디지털기업은 소규모 사업장에서도 수많은 사람의 개인정보를 다룰 수 있기 때문에, 직원 규모의 대소는 문제가 아니다"라며 "GDPR은 연결 기준 5천명 이상의 개인정보 데이터를 다루고 유통하며 관리하는 조직이냐 여부로 구분해 적용된다"고 설명했다.
둘째 오해는 특정 보안 솔루션을 도입하면 다른 조치 없이 GDPR 시행 리스크를 해결할 수 있을 거란 시각이다. 주로 보안솔루션 업체들이 GDPR 얘기를 하고 대안을 제시하는 모습을 접하면서 생기는 착각이다.
박 부장은 GDPR 규정 가운데 "IT영역에 적용되는 기술로 명시적 해결이 가능한 부분은 15~20%밖에 안 되고 나머지는 절차, 운영, 직원교육, 사후추적, 변화관리같은 기업 거버넌스 차원에서 대응해야 하는 규정이 많다"고 말했다.
셋째 오해는 시행이 임박했더라도 처음부터 강경 조치가 이뤄지진 않을 것이라거나, '시범케이스'가 발생할 때까지만 숨을 죽이고 있으면 나중엔 괜찮을 수 있다는 기대다.
박 부장은 "GDPR을 추진하는 EU의 목표는 4차산업혁명의 리더십 확보라 위반시 처벌과 제도 실행 의지가 강력할 것"이라며 "대다수 기업은 개인의 정보제공 요청에 제대로 대응을 못했을 때, 또 개인정보가 유출된 상황에 제대로 대응 못했을 때, 2가지 상황에서 제재 처분을 받을 가능성이 높은데, 잘못에 비례해 세분화된 과징금 수위가 있고, 관련 피해 보상 리스크는 또 따로 발생할 수 있다"고 덧붙였다.
넷째 오해는 일반 기업으로서 사업장이 EU 지역에 물리적으로 위치하지 않았기 때문에 GDPR 적용과 무관할 것이란 생각이다. 또 사업성격이 개인정보 수탁업체기 때문에 역시 GDPR 적용을 안 받을 것이란 생각이다. 둘 다 틀린 예상이다.
GDPR 적용 대상은 물리적 사업장 위치뿐아니라, EU 시민에게 재화와 서비스를 제공하거나, 제공하지 않지만 관련 데이터를 수집하고 분석하는 기업까지 포함한다. 이런 얘기다. EU 지역에 지사나 피인수업체가 소재했다면 GDPR을 당연히 적용받는다. 그리고 이들 법인의 위탁을 받고 현지서 시민 데이터를 수집하고 분석하는 자회사나 수탁업체도, 그 위치와 규모 막론하고 GDPR의 적용을 받는다.
다섯째 오해는 이제 100일 뒤 시행이니, 몇 달의 시간으로 GDPR에 대응하기가 충분하다는 생각이다. 앞서 언급했듯 GDPR 리스크를 완전히 해결해 주는 IT솔루션은 존재하지 않고, 기업의 프로세스를 전면 재고해야 하는 성격의 규정임을 감안하면 여유롭지 않다.
박 부장은 "IT솔루션 도입으로 끝나지 않을 뿐아니라, 5월 실행이면 유예기간이 있을 것이란 얘기도 잘못된 것"이라며 "GDPR은 지난 2016년 5월 발효돼 이미 시행중인 법이고, 2018년 5월은 2년간의 유예기간이 끝나 더 이상 여유가 없다"고 강조했다.
■ "GDPR 대상 광범위…확인하고 서둘러 대응 시작해야"
강연을 통해 기본적 대응, 지속적 대응, 현실적 대응, 3가지 차원의 기업 GDPR 대응전략이 제시됐다.
기본적 대응전략은 우선 기업들 스스로 GDPR 대상 여부인지 판단하는 것이다. GDPR 적용 대상이란 판단이 서면 기업내 업무처리 방식과 체계를 바꿀 각오를 해야 한다.
박 부장은 네이버의 최고프라이버시책임자(CPO) 겸 최고정보보호책임자(CISO)인 이진규 이사가 지난해 9월 공개한 자료의 'GDPR 적용 순서도(flowchart)'를 소개했다. 순서도에선 기업이 스스로 개인정보를 처리하는지, 그 내용이 GDPR의 '예외' 적용 대상인지, 개인정보처리 목적이 뭔지, EU 사업장이 있는지, 없더라도 적용 범주에 드는지를 개별 판단하도록 안내하고 있다. [☞참조링크: EU GDPR Survival Guide for Korean Controllers & Processors (슬라이드셰어)]
대상 기업의 대표이사(CEO)부터 대응, 규제 준수의 필요성을 인식한다. 다음 현재 상황과 GDPR에서 요구하는 차이점을 분석하고 조치에 필요한 요소를 파악한다. 법률적 지식, 전문성, GDPR 이해도를 갖춘 DPO를 선임한다. 그를 통해 실행계획을 추진하고, GDPR의 '책임성 원칙'에서 요구하는 입증책임 부담과 증명 방안을 만들어간다. 상시 모니터링체계를 갖추고, 보유 개인정보를 파악해 관리대상을 문서화하고, 그중 민감정보와 고위험 개인정보 위험수준 평가를 수행한다. 업무절차상 개인정보가 처리되는 흐름을 파악한다.
박 부장은 "공시정보 기반으로만 보더라도 EU에 지사를 둔 국내기업이 적지 않고, 그들의 자회사나 하청업체 또는 비공시기업의 범주까지 포함한다면 GDPR 대상이 될 가능성이 있는 기업은 엄청나게 많을 수 있다"며 "각 나라별로 GDPR에 상응하도록 개인정보보호 관련 법을 개정하면, EU에 지사를 두지 않고 재화 및 서비스 제공만 하는 기업에는 GDPR을 준수하는 걸로 인정해 주겠다는 예외조항이 있고, 이를 고려한 국내 개인정보보호법 개정 논의가 이미 나오고 있다"고 설명했다.
지속적 대응전략은 GDPR 대응이 일회성 이벤트가 아니라, 기업 운영에 기본적으로 염두에 둬야 할 존재임을 인식하는 걸로 출발한다.
박 부장은 "특정 시점을 앞두고 IT업계에서 관심이 엄청나게 고조된, GDPR과 비슷한 사건이 'Y2K(밀레니엄버그)'였다"며 "Y2K는 2000년 지나면서 관심이 확 꺼진 사안이지만, GDPR은 4~5월까지 이슈가 고조됐다가 이후 가라앉더라도 법률이기 때문에 대응요건은 계속 남게 된다"고 지적했다. 이어 "GDPR 관련 가이드는 나왔지만 아직 관련 인증은 만들어지지 않았기 때문에 그걸 준수하기 위한 작업이 추가로 필요해질 수 있다"며 "5월 25일 하루를 위한 대비가 아니라, 꾸준히 대비해야 하는 이유"라고 강조했다.
기업에게 GDPR은 국내 규정과 마찬가지로 강제성을 띤다. 법률은 계속 유지, 보완되는만큼 지속 대응을 요구한다. 국내법인 개인정보보호법에 근거한 평가인증 제도도 향후 GDPR의 영향을 받을 가능성이 있다. 이는 GDPR 적용 대상이 아닌 기업 역시 GDPR과 유사한 제도의 영향아래 놓일 수 있다는 얘기다. 기업의 지속대응 필요성은 정보유출로 이어질 수 있는, 제로데이 및 해킹 공격에 대한 방어 등 사이버위협 대비와 같은 요소를 포함한다.
현실적 대응전략은 빠른 시작, 병렬적 대응, 최소지연기간, 3가지 키워드로 압축된 지침이다. 한 마디로 요약해 '당장 시작하라'는 것이다.
박 부장은 "GDPR 유예기간 만료 날짜가 지정돼 있기 때문에, 하루라도 빨리 대응을 시작하는 것이 기업에 유리하다"고 조언했다. 또 "컨트롤타워(결정권자) 주관 아래 최대한 각 부서가 병렬적으로, 대응에 필요한 변화를 추구해야 하는 상황"이라며 "내일 딱 GDPR 유예 만료 100일 전이다"라고 강조했다. 이어 "법의 제재로부터 기업을 보호하려면, 현실적으로 100여일 뒤인 5월 25일까지 기업이 대응을 마치지 못하더라도 이후 늦게나마 대응 상태가 갖춰지기까지 걸리는 시간을 최소한으로 늦추도록 일정을 앞당겨야 한다"고 거듭 말했다.
관련기사
- “유럽의 新 제국주의...무기는 데이터 보호”2018.02.14
- "기업들, EU GDPR 대비해 DPO·대리인 지정해야"2018.02.14
- KISA, 국내 기업 위한 GDPR 가이드라인 내놔2018.02.14
- 민후, EU GDPR-망법 상 개인정보보호방안 세미나 개최2018.02.14
사실상 GDPR 대상 기업 모두가 이제 대비를 시작해 3개월 남짓 기간 이행이 가능하다고 장담하기는 어려워 보인다. GDPR 준수 부담이 분명 문제가 될 수 있다. 보안을 강화해야 하고 업무절차를 기존과 다른 방식으로 바꿔야 하기 때문이다. 이는 기업의 경쟁우위로 삼을 수도 있는 업무 문화나 조직 특성, 생산성을 저해할 소지가 있다. 단순히 기술이나 보안 영역만을 변화 대상으로 둘 수도 없다. 기존 수준의 경쟁력을 유지하려면, 업무와 관련된 조직내 제도와 문화 전반을 함께 고려해야 한다.
박 부장은 마무리 발언 중 자신이 "방대한 GDPR 내용을 개괄적으로 다뤘을 뿐이고 향후 기업이 IT 및 정책 차원에서 어떻게 대응해야 할지 얘기할 상황은 시간이 더 지나면 마련될 것"이라며 "MS처럼 검증된 클라우드서비스 사업자나 신뢰할만한 파트너를 만나면 효율적인 대응 방안을 함께 논의할 수 있다"고 언급했다.