[기사] 디지털데일리 GDPR 연재기사

출처 : http://ddaily.co.kr/m/m_article.html?no=164411

EU GDPR 시행이 5개월 앞으로 다가왔다. (사진 제공 EU GDPR 홈페이지 캡처)

▲ EU GDPR 시행이 5개월 앞으로 다가왔다. (사진 제공 EU GDPR 홈페이지 캡처)

[디지털데일리 최민지기자] 유럽의 일반개인정보보호규정(GDPR)이 오는 5월25일 시행된다. 기업들이 대처할 수 있는 기간이 약 137일 남았다. 발 등의 불이 떨어진 셈이다. 국내외 기업들도 GDPR 대응의 중요성을 인지하고 있지만, 차질 없이 준비가 완료됐냐는 질문에 자신감 있게 답할 수 있는 기업은 거의 없다고 봐도 무방하다.

‘베리타스 2017 GDPR 보고서’에 따르면 응답자 31%만이 소속기업이 GDPR의 주요 요건을 준수하고 있다고 답했는데, 세부 조사 결과 GDPR의 세부 조항까지 준수하고 있는 기업 비율은 단 2%에 불과했다.

정부도 이런 상황을 잘 알고 있다. 이에 행정안전부와 한국인터넷진흥원(KISA)은 지난달 ‘EU GDPR 1차 가이드라인’을 공개했다. 개인정보 국외이전, 인증·동의 등 기업들이 궁금해 하는 주요 세부사항은 EU 집행위 측에서 가이드라인을 발표하지 않은 관계로 자세한 사항은 제외됐다. 그러나 선제적 대응과 내부 대응체계 확립을 위해 1차 가이드라인부터 내놓게 됐다.

올해는 GDPR이 시행되는 해인만큼, 상당수 기업들의 GDPR 준비가 시급하다. 이에 현시점에서 참고할 수 있는 안내서인 이번 가이드라인을 되짚었다.

◆GDPR 적용범위부터 확인해야=기업은 물적, 지역적, 인적 관점에서 GDPR 적용범위에 해당되는지부터 확인해야 한다. 정보주체의 국적이 아닌 위치가 기준이기 때문에 시민권과 무관하게 EU에서 거주하고 있다면 GDPR 저촉을 받게 된다.

가이드라인에 따르면 개인정보가 자동화된 수단에 의해 처리되고, 자동화된 수단이 아니더라도 파일링 시스템의 일부를 구성하거나 이를 목적으로 하는 개인정보 처리라면 GDPR에 적용된다. 익명정보는 개인정보에 해당되지 않는다.

EU 외의 지역에서 개인정보를 처리하더라도 EU 정보주체에게 재화나 서비스를 제공하거나, 정보주체가 수행하는 활동을 모니터링한다면 GDPR 요건을 갖춰야 한다. EU 내 대리인을 지정하는 것도 필요하다.

EU 회원국의 언어와 통화 등을 사용하는 기업도 포함된다. GDPR은 정보 주체의 위치를 기준으로 보기 때문에 달러·영어를 활용하면 규제 대상으로 보지 않으나, 프랑스어·독일어 등으로 홈페이지를 구성하면 규제 대상에 속하게 된다.

GDPR은 특정 개인을 식별할 수 있는 정보만을 개인정보로 정의한다. 예를 들어, 이동수단에 탑승하고 있는 사람을 특정할 수 있다면, 이 기계가 수집하는 지리적 정보는 해당인의 신원을 파악할 수 있는 개인정보다. 일례로, 고정 IP는 개인정보지만 매번 변경되는 유동 IP는 사용자 개인으로 연결하기 어렵기 때문에 개인정보가 아니다.

법인의 정보나 사망한 사람도 적용대상이 아니다. EU 공통의 해외·안보정책과 관련된 활동 및 관할 감독기구가 범죄 및 예방, 수사, 탐지, 기소 등의 목적으로 수행하는 활동도 예외로 규정된다.

◆‘DPO’ 꼭 필요한가요?=데이터보호담당자(DPO)는 개인정보보호활동을 이끌어간다. 조직 내에서 지정할 수도 있고, 조직 외부에서 계약을 통해 확보 가능하다. 동일한 개인정보 처리활동에 관여하는 사업체 그룹은 1인의 DPO를 지정할 수 있다.

DPO 임명 요건을 따질 때는 핵심활동부터 파악해야 한다. 개인정보 처리가 공공기관이 단체에 의해 수행되거나, 정보주체에 대한 대규모의 정기적인 체계적인 모니터링을 요구하거나, 대규모의 민감정보 또는 범죄경력 관련 정보의 처리로 구성됐다면 반드시 DPO를 지정해야 한다.

GDPR에서 민감정보는 국내보다 훨씬 포괄적이다. 인종·민족, 정치적 견해, 종교·철학적 신념, 노동조합의 가입여부를 드러내는 개인정보, 유전자정보, 바이오인식 정보, 건강 관련 정보, 성생활·성적취향 정보 등이 포함된다.

의료서비스를 제공하는 병원은 개인의 건강정보를 반드시 활용하기 때문에 DPO를 지정해야 하지만, 제조업체의 핵심활동은 제품 생산·판매이며 이 과정에서 대규모 개인정보 수집 등이 동반되지 않는다면 DPO를 임명하지 않아도 된다. 다만, 지정 유무에 상관없이 관련 결정을 내린 사유를 문서화해야 한다.

◆정보 유출 사고 발생 때 대처자세=EU 역내의 개인정보가 합법적으로 국외이전된 경우, 한국에서 발생한 정보 유출 사고에 대해서는 한국법에 근거해 처벌된다. 단, 기존의 EU에서 활용된 정보가 한국으로 이전된 후 유출됐다면 GDPR에 근거해 제재가 가해질 수도 있다.

개인정보 유출사실을 인지한 때부터 가능한 72시간 내 감동 당국에 신고해야 한다. GDPR은 자유와 권리에 대한 침해정도를 기준으로 삼기 때문에 얼마나 유출됐느냐보다, 무엇이 유출됐는지가 더 중요하다.

과징금 규모는 기업사 전체 매출액을 기준으로 하며, 11가지 기준을 고려해 산정된다. 심각한 위반의 경우 직전 회계연도의 전세계 매출액 4% 또는 2000만유로 중 더 큰 금액으로 결정된다. 이는 최대치로, 장기간 의도적으로 발생한 중대한 침해 사례에만 고려된다.

이 때문에 인식제고가 중요하다. 이번 가이드라인 집필진 중 한 명인 이진규 네이버 이사는 “개인정보처리원칙은 GDPR에서 반드시 준수해야 하며, 처벌수위를 결정하는 의무사항”이라고 밝힌 바 있다.

개인정보처리 6대 원칙은 ▲개인정보 최소화의 원칙 ▲목적 제한의 원칙 ▲보관기간 제한의 원칙 ▲적법성·공정성·투명성의 원칙 ▲정확성의 원칙 ▲무결성·기밀성의 원칙이다. 국내 개인정보보호법과 정보통신망법 등에서는 선언적 내용에 그치고 있지만, GDPR에서는 문제가 발생하면 원칙 준수와 함께 이러한 활동을 위한 문서와 기록을 보고 처벌 수위를 정한다.

의사결정권자는 GDPR 준수를 위한 인식활동을 시작해야 하며, 경영진은 법규 준수 의지를 위한 공식적 선언을 해야 한다. 모든 개인정보 처리 과정에 6대 원칙을 고려해 체계적인 기록도 필요하다.

이 외에도 ▲설계단계부터 기술적으로 프라이버시 보호 ▲개인정보영향평가(DPIA) ▲자동화된 결정 및 프로파일리 관련 권리 등이 가이드라인에 포함돼 있다. 오는 5월 이전 EU 제29조 작업반에서 ▲개인정보 국외이전 ▲인증·투명성·동의 ▲유럽 개인정보보호 이사회 구조 등을 담은 가이드라인을 발간하며, 국내에서도 이를 반영한 최종 가이드라인을 선보일 방침이다.  

출처 : http://m.ddaily.co.kr/m/m_article.html?no=164412


[디지털데일리 최민지기자] 각국의 기업 및 관계부처들은 GDPR을 공포와 우려의 시선으로 보고 있다. 그러나 기업들은 리스크 대신 효용으로 관점으로 GDPR에 접근해야 한다. 새로운 기회를 열어주는 창구로 작용될 수 있기 때문이다.

클라우드 시대에서 데이터 관리와 가시성은 더욱 중요해지고 있기 때문에 GDPR을 계기로 기업 내 정보관리 정책을 효율적으로 집행하는 계기로 삼을 수 있다. 또, 철저한 준비를 통해 선제 대응하지 못한 기업보다 해외시장에서 경쟁력을 드러내는 기회로도 활용 가능하다.

물론, 아직까지는 GDPR과 관련한 주된 관심사는 과징금이다. 그도 그럴 것이, 한국에서는 상상할 수 없었던 막대한 과징금이 기업들의 불안함을 키우고 있다.

만약 GDPR이 2016년 발효됐다면, 9000여 계좌에서 2500만파운드가 탈취된 사건을 겪은 영국 테스코은행은 한화로 최대 2조8000억원이 넘는 벌금을 물어야 한다. GDPR의 최대 과징금은 직전 회계연도의 전세계 매출액 4% 또는 2000만유로 중 더 큰 금액이다. 일반적 위반의 경우, 전세계 매출액 2% 또는 1000만 유로 중 더 큰 금액으로 부과된다.

법규를 어긴 단일 지사나 법인의 매출액이 아닌 사업체 그룹 매출을 기반으로 산정하기 때문이다. 기업사 전체를 기준으로 하고 있는 만큼, 규모가 큰 글로벌 기업일수록 위반 수준에 따라 지금까지는 상상할 수 없었던 최악의 돈을 토해내야 하는 상황이 닥칠 수 있다.

이는 과징금의 징벌적 성격을 확보하기 위한 조치로, 유령회사나 자매회사를 설립해 규제를 우회하는 편법을 예방하기 위한 조치다. 반대로 말하면, GDPR에 적절히 대처한다면 안정적인 데이터관리 정책을 구사하면서 EU 시장에 연착륙할 수 있는 활주로를 여는 셈이다.

◆“GDPR 준수를 통한 상당한 비즈니스 혜택 기대”=기업 입장에서는 엄중한 처벌과 과징금을 피하려는 노력이 GDPR 준수 수준을 개선하는 주요 동력이 되지만, 많은 기업들이 제재를 피하는 것 이상의 중요한 비즈니스 혜택도 기대하고 있다.

베리타스 조사결과에 따르면 95% 기업은 전사적으로 효율적인 데이터 관리가 가능하다는 점을 포함해 GDPR 준수를 통해 상당한 비즈니스 혜택을 기대하는 것으로 나타났다.

92% 응답자는 바람직한 데이터 정제화를 통해 데이터 신뢰성을 높이고 데이터 품질, 정확성 향상과 함께 확실한 정책 이행 등 다양한 이점을 누릴 수 있을 것이라고 응답했다. 68%는 기업 비즈니스에 대한 데이터 통찰력을 얻고 보다 나은 고객 경험을 제공할 것이라고 답했다.

68% 응답자는 보다 나은 데이터 관리를 통한 비용 절감 효과를 예상했고, 이를 통해 45% 응답자는 매출 증대 또는 시장점유율을 높일 수 있을 것이라고 전했다.

지출 가능한 예산이 증가하는 만큼, 연구개발에 투자하거나 추가 자원을 배치해 혁신을 꾀하고 직원 채용까지 늘릴 수 있다는 것. 또, 59%는 기업 평판 또는 고객 관계 강화를 예측했다. 51%는 기업이 데이터를 더욱 효과적으로 보호할 수 있을 것으로 내다봤다.

빅데이터와 클라우드 시대로 가는 여정에서, 데이터 관리와 컴플라이언스는 기업이 당면한 과제다. 데이터를 효율적으로 분류·취급하면서 가시성을 확보해야 하는 시기다. 이와 맞물려 실시되는 GDPR을 통해 적절한 데이터 관리를 전사적으로 꾀할 수 있게 된 것.

GDPR을 준수하는 기업은 과징금에 대한 리스크를 줄일 뿐 아니라 데이터 관리를 통해 고객에게 우수한 경험을 제공해 고객 충성도, 매출, 브랜드 평판에까지 긍정적인 영향을 미칠 수 있다는 해석이 가능한 대목이다.

◆EU 적정성 평가, 적극적인 기업 대응 자세 필요=이러한 효용에도 기업들은 GDPR에 대처하는 계획을 세우기에는 불확실한 환경이라고 입을 모은다. 이 때문에 EU 적정성 평가의 조속한 완료가 시급하다는 주장이다.

EU 개인정보보호 적정성 평가는 제3국이 개인정보 보호를 위한 적정한 수준을 갖추고 있는지 심사해 EU 시민의 개인정보를 이전·처리할 수 있도록 허용하는 제도다. 한국이 적정성 평가를 통과하게 되면, 별도의 국외이전 계약을 체결하지 않더라도 한국기업들은 EU에서 자유롭게 영업활동을 펼칠 수 있다.

이에 정부의 움직임도 바쁘다. 방송통신위원회는 최근 벨기에 개인정보보호위원회를 방문해 적정성평가에 대한 지지를 요청했다. 벨기에는 유럽 개인정보보호 분야에서 적극적인 발언을 하는 국가 중 하나다. 이어 프랑스 정보자유국가위원회도 지지를 부탁한 바 있다. 

기업 또한 GDPR 가이드라인에 따라 최소한의 데이터 관리 및 보호 원칙을 준수하려는 노력이 필요한 시기다.

이은숙 행정안전부 팀장은 GDPR 가이드라인 설명회를 통해 “불확실한 상황에 우려스럽지만 기업들도 적극적으로 나서줘야 한다”며 “특유의 기민함을 발휘해서 GDPR에 적극적으로 대응해주기를 기대하며, 기업 피해가 최소화되기를 바란다”고 언급했다.

출처 : http://m.ddaily.co.kr/m/m_article.html?no=164413


[디지털데일리 최민지기자] GDPR이 올해 5월 본격 시행을 앞두고 있는 가운데, 새로운 시장을 창출하기 위한 관련 기업들의 움직임도 바빠지고 있다. GDPR에 대응해야 하는 기업들을 대상으로 IT 및 보안 기업들은 새로운 먹거리 창출을 기대하고 있다.

GDPR 가이드라인에 따르면 기업들은 전반의 요구사항을 포함한 리더십, 개인정보 처리 관리, 보안이슈 관리, 정보주체 권리보장 방안 등이 필수요소로 포함된 자체적인 대응 체계를 마련해야 한다.

특히, 데이터의 가시성을 확보해 정확히 분류하고 관리하는 사항은 중요한 요소다. 무엇이 민감정보이고 개인정보인지부터 기업 스스로가 먼저 파악해야 한다. 또, 개인정보를 최소한으로 처리하면서도 적절한 기술적·조직적 조치를 취해야 한다.

GDPR 대응을 위해 기업 내에서 GDPR 영향을 받는 영역을 도출해야 한다는 의미다. 어떤 비즈니스가 EU 거주민 정보를 다루고 있는지 파악하고, 해당 기업이 어떻게 대처해야 하는지 알아야 한다. 개인정보보호에 대한 기업의 현재 수준에 대한 정확한 진단도 필요하다.

만약, 심각한 개인정보 침해사건이 발생해 GDPR을 위반하게 된다면 최대 전세계 매출액 4% 또는 2000만유로에 달하는 과징금을 내뱉어야 한다.

이에 베리타스는 GDPR 자문 서비스를 제공해 기업의 대비 현황을 평가하고 GDPR 성숙도를 파악해 각 기업에 맞춤형 방식으로 리스크에 대비할 수 있도록 지원하며, 체계적인 데이터 관리 방안으로 ‘베리타스 360 데이터 관리 솔루션’으로 이 시장에 도전장을 던졌다.

전세계 기업들이 보유중인 EU 거주자의 개인식별정보의 내용을 파악하고, 요청에 따라 신속하게 해당 정보에 접근할 수 있도록 통합적인 방식의 GDPR 준수를 지원하는 방식이다. 베리타스의 솔루션은 GDPR을 위한 프레임워크의 각 구성 요소를 연결해 데이터의 위치 파악, 검색, 최소화, 보호, 모니터링 활동을 지원해 기업들이 엔터프라이즈 환경을 위한 컴플라이언스에 대비할 수 있도록 한다.

히타치 밴타라는 클라우드·오브젝트 스토리지인 ‘HCP(Hitachi Content Platform)’를 통해 기업의 GDPR 컴플라이언스 준비를 지원한다. HCP 데이터 스토리지 솔루션은 생성·수집·보유한 데이터를 관리하고 새로운 산업 규제를 준수하도록 돕는다. 영국계 자동차 사고관리 회사인 ‘액시던트 익스체인지’의 HCP 구축사례도 이미 확보했다.

IBM과 CA는 메인프레임에서 검색·분류·보호·경고 등 기업 컴플라이언스 체계를 강화하는 통합 엔터프라이즈 보안을 공동 제공한다. 양사의 협업을 통해 GDPR 등 데이터 프라이버시 정책에 선제적으로 움직이고 기업의 요구사항을 충족시키겠다는 복안이다.

IBM의 차세대 메인프레임 시스템 제품군 ‘IBM Z’는 일 120억건의 암호화된 거래를 처리하고 모든 데이터를 상시 암호화하는 엔진을 탑재했다. CA의 메인프레임 보호 솔루션인 ‘CA 데이터 콘텐츠 디스커버리(DCD)’는 민감 데이터가 저장된 위치를 확인하고 누가 어떻게 어떤 데이터에 접근할 수 있는지를 선별적으로 분류한다.

GDPR에 있어 데이터를 추적할 수 있는 가시성 및 보호역량은 기업의 새로운 의무사항으로 대두되고 있다. 이에 보안기업도 분주하다.

시만텍은 데이터 보호 자동화 및 제품통합을 개선한 데이터 유출방지 솔루션 ‘시만텍 DLP 15’를 통해 정보 중심 보안 솔루션 포트폴리오를 강화했다. 데이터가 외부로 전송돼 통제되지 않은 환경에서도 민감한 데이터나 규제 대상의 데이터를 탐지·모니터링하고 보호한다는 복안이다.

포티넷은 보안 위협을 효과적으로 관리하고 네트워크 성능을 향상시키기 위해 공격 전반에서 인텔리전스를 공유하며, 엔드투엔드 보안을 구현해 보안요소에 대한 가시성을 높였다. 포티넷의 보안 패브릭은 GDPR의 데이터 보안 및 보고 요구사항을 충족시키고, 분산된 네트워크에서 다뤄지는 보안과 다양한 벤더의 제품을 통합·관리한다는 설명이다.

지란지교시큐리티는 문서보안을 통해 GDPR 시장을 공략한다. ‘메일 스크린’ 솔루션은 외부로 나가는 메일에 대한 내부 승인절차를 부여하고, 수신자에게는 열람권한만 허용한다. GDPR의 데이터보호·통제 측면에서의 개인정보의 유실, 유출 위험을 탐지하기 위해 이메일을 통한 개인정보 유통단계에서의 보호 조치를 강화한다.

지란지교시큐리티의 이메일 아카이빙 솔루션 ‘제이볼트 플러스’는 GDPR의 개인정보 최소화 및 정보주체의 개인정보 처리 변경 관련 요구사항에 빠른 대응을 위한 개인정보 데이터 현황 파악 및 관리 기능을 더했다. 정보주체의 개인정보 처리, 변경 등의 조치를 원할 때 빠르게 개인정보가 포함된 데이터를 찾아 열람, 삭제를 가능케 하는 GDPR의 데이터 모니터링 측면에서 대응 방안으로 활용 가능하다. 

SK인포섹 관계자는 “GDPR은 단순히 일부 개인정보보호 활동을 강화하는 수준에서 형식적으로 대비해서는 안 된다”며 “기업들은 GDPR 적용 여부 판단 후 현재 실행 중인 개인정보보호 체계와 GDPR에서 요구하는 차이를 분석해 어떤 액션 플랜 하에 정보주체 권리 보장, 개인정보 영향평가 등의 주요 요건들을 충족시켜 나갈지 방안을 수립해야 한다”고 말했다.

이어 “SK인포섹은 GDPR 요구사항을 충족시킬 수 있는 현실적 방안을 제시하고, 체계를 수립할 수 있는 컨설팅 방법론과 GDPR 준수 검토 및 모니터링이 가능한 솔루션을 준비하고 있다”며 “GDPR 가이드라인 준비에 적극 참여 중이고, 법무법인과 긴밀한 협업을 통해 법적 리스크를 최소화할 수 있는 방안을 연구하고 있다”고 강조했다.