“2018년 5월 25일 발효되는 유럽 일반 개인정보 보호법(GDPR: General Data Protection Regulation)을 지금부터 준비해도 그 시간은 넉넉지 않다. 그래도 GDPR 미 준수로 발생 가능한 부정적인 영향을 고려할 때 그 기술 도입을 서둘러야할 것이다”

베리타스테크놀로지스(대표 조원영 www.veritas.com/kr)가 16일 기자간담회에서 발표한 ‘베리타스 2017 GDPR 보고서(Veritas 2017 GDPR Report)’의 메시지다.

◆“현재 전세계 GDPR 준비 마친 기업은 31%” = 이번 보고서는 베리타스의 의뢰로 시장조사 전문기관인 밴슨 본(Vanson Bourne)이 2017년 2월부터 3월까지 한국의 100명을 포함해 미국, 영국, 프랑스, 독일, 호주, 싱가포르, 일본 등 8개국의 직원 1천명 이상 기업 CEO/CIO 등 총 900명을 대상으로 실시한 조사 결과이다.

GDPR은 유럽연합(EU) 회원국들 간의 개인정보에 대한 거버넌스를 통일성 있게 강화하기 위해 제정된 것으로, 신용카드, 금융 및 의료 정보를 포함한 개인정보가 저장되거나 이전되는 위치 및 방법, 정보에 접근할 시 적용되는 정책 및 감사에 관한 철저한 관리감독을 요구하고 있다.

2018년 5월 25일부터 시행되는 GDPR은 EU 내 사업장이 있는 기업뿐만 아니라 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등 정보주체의 행동을 모니터링 하는 기업에까지 적용된다.

베리타스의 이번 보고서에 따르면 GDPR을 이미 준비한 기업은 전세계 31%로 그 준비 상황이 미흡한 것으로 나타났다. 국가별로는 한국이 31%, 호주가 30%, 터키가 18%, 일본이 19%였다.

GDPR을 준수하지 않을 경우 비즈니스에 심각한 악영향을 미칠 수 있다는 응답자는 전세계 86%, 한국은 93%였다.

이처럼 GDPR의 미 준수에 따른 악영향이 우려되고 있음에도 그 규제 적용 기한을 준수할 수 있을지에 대해서는 전세계 평균 47%, 한국은 61%가 우려를 나타났다.

GDPR을 심각히 위반했을 경우 최대 2천만 유로(한화 약 245억원) 또는 전 세계 연간 매출액의 4% 중 높은 금액으로 과징금을 부과 받게 된다.

GDPR 미준수로 인해 발생할 수 있는 부정적인 영향으로는 ▲인원 감축과 잠재적 정리 해고 ▲미디어 및 SNS 상의 부정적인 노출로 인한 고객 감소 ▲비즈니스 파산 ▲미디어 및 SNS 상의 노출로 인한 브랜드 가치 하락 ▲주주 소송 제기 가능성 ▲시장 점유율 하락 등이 지적됐다.

◆“GDPR 준수 위한 적절한 기술 도입 시급” = 많은 기업들이 GDPR 준수의 중요한 첫 단계인 어떤 데이터를 보유하고 있는지, 해당 데이터가 어디에 있는지, 비즈니스와 어떤 관련이 있는지 파악하는데 심각한 어려움을 겪고 있는 것으로 나타났다.

글로벌 평균 32%, 국내 응답자 40%는 실시간으로 데이터를 모니터링 할 수 있는 툴을 갖추고 있지 않아 효율적인 데이터 관리가 불가능하다고 응답했다. 또 글로벌 평균 39%, 국내 응답자 29%는 소속 기업이 관련 데이터를 정확하게 식별하거나 위치를 파악하지 못한다고 답했다.

GDPR은 요구가 있을 경우 기업은 30일 이내에 정보주체에게 개인정보의 사본을 제공하거나 해당 데이터를 삭제할 수 있어야 한다고 규정하고 있어 데이터의 정확한 식별과 위치 파악 역량을 갖추는 것이 중요하다.

그리고 글로벌 평균 42%, 국내 응답자의 45%는 데이터의 가치에 따라 어떤 데이터를 저장하거나 삭제해야 하는지 결정할 수 있는 메커니즘이 없다고 답해 데이터 보존에 대한 우려도 높은 것으로 나타났다.

GDPR에 따르면 기업은 개인정보 데이터를 수집할 때 정보주체에게 고지된 목적으로 사용하는 경우에는 데이터를 보유할 수 있지만 해당 목적으로 더 이상 필요하지 않은 경우에는 삭제해야 한다.

◆“지금 대비하지 않으면 비즈니스 파산도” = 이번 보고서에 따르면 기업들이 GDPR 준수를 위해 투자해야 하는 예상 금액은 전세계 평균 143만 달러(한화 약 15억원), 한국은 112만 달러(한화 약 13억원)로 나타났다.

그 주요 투자 분야는 데이터가 어디에 있는지를 파악하고 효과적인 관리, 기업의 지적 재산 보호, 비효율적이고 중요하지 않은 중복된 데이터 제거 기술 등이 꼽혔다.

박철한 베리타스 글로벌 정보 거버넌스 프랙티스 리드는 “GDPR 시행이 1년여 밖에 남지 않았지만 전 세계적으로 GDPR 대비의 시급함을 간과하고 있는 기업들이 있다”라며 “기업들은 컨설팅을 통해 GDPR 준수를 위한 준비 상태를 점검하고 전략을 수립해야 한다. 지금 대비하지 않으면 기업의 일자리, 브랜드 평판 및 비즈니스 생존이 위태로울 수 있다”라고 밝혔다.

베리타스는 GDPR 대응 전략으로 ‘베리타스 정보 정보 거버넌스 프레임워크’ 기반의 GDPR 진단 서비스를 제시하고 있다. 진단 미팅으로 기업의 현황 파악 후 고객에 맞는 진단 컨설팅을 진행하는 이 진단 서비스는 거버넌스, 운영, 인터페이스, 기술, 평가 및 개선 등 5개 평가 영역으로 이뤄져 있다.

베리타스는 이러한 진단 서비스에 이은 실제적인 구현 솔루션으로 ‘베리타스 360 데이터 관리 솔루션 프레임워크’를 제안한다.

‘베리타스 360 데이터 관리 솔루션 프레임워크’는 ▲자문 서비스 ▲기업이 보유한 개인 데이터가 어디에 있는지 종합적으로 파악하는 ‘Locate’ ▲개인 데이터 조회, 수정, 삭제 요청 등을 신속하게 할 수 있는 ‘Search’ ▲개인 데이터를 분류해 수집한 원래의 목적에 합당한 기간만 보존해 저장 데이터를 최소화하는 ‘Minimize’ ▲데이터 수집 및 처리 시 데이터 보호 활동을 수행했음을 입증하는 ‘Project’ ▲보안 위반 사항을 모니터링하고 신속하게 리포팅할 수 있는 방안을 제시하는 ‘Monitor’ 등 크게 6개 영역으로 구성돼 있다.

 

유럽 일반 개인정보 보호법의 주요 내용 ■ 적용 대상: EU 거주시민의 개인정보를 처리하는 모든 개인정보 처리자에 대해 적용되며, IP주소 등 온라인 식별자나 위치정보도 개인정보에 포함된다. *개인정보의 정의: 식별되었거나 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를 의미함. ‘식별가능한 자연인’은 직접적 또는 간접적으로 식별될 수 있는 사람을 의미하며, 특히 이름, 식별번호, 위치정보, 온라인 식별자(online identifier) 등의 식별자를 참조하거나, 하나 또는 그 이상의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 대한 사항들을 참조해 식별할 수 있는 사람을 뜻함. IP 주소, MAC　Address, 온라인 쿠키(cookie)를 통해 개인 식별이 가능한 경우 온라인 식별자에 해당해 GDPR이 정하는 개인정보로 볼 수 있음. ■ 적용 범위: EU에 사업장을 운영하며 개인정보 처리를 수반하는 경우를 포함해 EU에 사업장을 가지고 있지 않더라도 EU 거주 정보주체에게 재화와 서비스 제공 또는 EU 내 정보주체의 모니터링을 하는 경우도 GDPR을 준수해야 한다. ■ 개인정보 주요 처리원칙: △적법성•공정성•투명성의 원칙 △목적 및 보유기간 제한원칙 △최소 처리원칙 △정확성의 원칙 △무결성 및 기밀성의 원칙 △책임성의 원칙에 따라 개인정보를 처리해야 한다. ■ 강화된 정보주체의 권리: 정보주체의 권리가 확대되어 △정보를 제공받을 권리 △정보주체의 열람권 △정정권 △삭제권(‘잊혀질 권리’) △처리에 대한 제한권 △개인정보 이동권 △반대할 권리 △자동화된 결정 및 프로파일링 관련 권리를 포함한다. ■ 기업의 책임성 강화: 기업은 GDPR 정책을 채택하여 시행하여야 하고, 개인정보 처리활동을 기록하여야 하며, 리스크가 있는 처리 활동 전에 영향평가를 실시하여야 하고, DPO(Data Protection Officer)를 지정할 의무가 있다. ■ 개인정보 침해발생 시 조치사항: 기업은 개인정보 침해 인지 후 72시간 이내에 감독기구에 알려야 하며 정보주체에게도 지체 없이 알려야 한다. ■ 국외 이전: EU 시민의 개인정보는 GDPR의 규정에 부합할 경우(적정성 결정, 구속적 기업규칙(BCR), 표준계약 조항, 인증, 행동규약 등 적절한 보호조치가 있는 경우 등)만 EU 밖으로 이전할 수 있다. ■ 과징금: 개인정보 처리 원칙, 동의요건, 국외이전 등 심각한 위반의 경우, 전세계 연간 매출액의 4% 또는 2천만 유로 중 더 높은 금액이 과징금으로 부과된다. 그 외의 일반적 위반의 경우 전세계 연간 매출액의 2% 또는 1천만 유로 중 더 높은 금액이 과징금으로 부과된다. GDPR 시행에 따라 EU에 진출하였거나, 진출을 희망하는 기업은 GDPR이 시행되는 2018년 5월 25일까지의 기간 동안 GDPR이 규정하고 있는 보호조치를 마련하고, 의무 규정들을 준수하기 위한 대책을 적용해야 한다.

<박시현 기자> pcsw@bikorea.net