도입 20개월 남은 GDPR, 실제로 바뀌어야 하는 것들

개발 및 서비스 제공의 근간을 흔드는 사항들 많아 20개월도 짧아
GDPR은 정보 보호 위한 정책 수립만이 아니라 실천 내용도 감독

[보안뉴스 문가용 기자] 유럽연합 시민들의 개인정보를 다루는 사업을 하는 기업들이 이제 GDPR이라고 축약해서 부르는 유럽연합의 통합개인정보보호 법규로 옮겨 타야 하는 기간이 채 20개월도 남지 않았다. GDPR의 프라이버시 보호 정책은 매우 강력한 것으로 알려져 있으며 시민 개개인에게 더 많은 권리를 부여한다. 이에 따라 기업들은 새로운 방식으로 개인 정보를 모으고, 활용하고, 저장하고, 파기해야 한다. 벌금도 전 세계 수익의 2~4%로 대폭 상승한다.

▲ 너무 복잡해서 밑줄을 그어봤습니다

IT 기술업체인 컴퓨웨어(Compuware)의 제품 관리자인 존 크로스노(John Crossno)는 “GDPR 컴플라이언스를 완료해야 하는 게 2018년 5월까지이지만, 이게 그리 먼 훗날의 이야기가 아니”라고 말한다. “GDPR 컴플라이언스가 매우 복잡하고 난이도가 높아서 20개월이 심지어 짧게 느껴질 정도”라고.

먼저 GDPR에 부합하려면 기업들은 고객들에게 개인정보를 수집하는 이유에 대해 명확하게 고지해야 한다. 이는 무슨 말이냐면, 프라이버시 정책에 대해 설명할 때 법적인 용어가 난무하는 불친절한 약관을 읽기 쉽고 이해하기 편한 것으로 대체해야 한다는 것이다. 기업이 원하는 개인정보가 무엇인지, 왜 필요한지를 정확히 밝히고, 소비자들은 이에 동의하지 않아도 되는 실제적인 선택지가 있어야 한다.

게다가 사고가 발생했을 때 책임은 해당 기업에게만 돌아가지 않는다. 그 정보를 저장하고 처리하는 등 서비스 제공에 관여된 모든 기업들이 GDPR에 따라야 하고, 그러므로 책임도 공유한다. “즉, GDPR은 정책 수립뿐만 아니라 정책의 실제적인 구현 상황까지도 모두 관여하는 법입니다. 기업들 입장에서는 좋은 정책을 가지고 있다는 것만 아니라 잘 지키고 있다는 걸 증명해야 하는 거죠.” 소프트웨어 벤더인 에이브포인트(AvePoint)의 최고 리스크 관리자인 다나 심버코프(Dana Simberkoff)의 설명이 정확하다.

최근 미국의 기업들은 정보 수집과 관련해서 옵트아웃 정책을 사용하고 있다. 이는 사용자가 일일이 특정 정보를 공유하거나 수집하지 말아달라고 요청해야 하는 건데, 사용자가 이 절차를 밟지 않을 경우 기업이 자동으로 정보를 마음대로 수집 및 활용할 수 있게 되는 방식이다. 이런 형태의 정보 활용은 GDPR 아래에서 용납되지 않는다. 오히려 반대로 해야 한다. 즉, 사용자가 이런 저런 정보를 수집해도 된다고 허락하지 않는 한, 자동으로 수집 및 활용이 금지되는 게 GDPR의 효력이다. 여기까지만 봐도 1) 약관 전면 변경에 2) 서비스 제공 방식 변경이다. 이 두 가지만 해도 수개월이 족히 걸리는 작업.

이것만이 아니다. 이런 엄격한 GDPR이 추구하는 것은 프라이버시 중심 디자인(privacy by design)이라는 개념이다. 이는 프라이버시 보호 장치를 설계 단계에서부터 만들어 내장시키는 것을, 추후에 덧입히는 것보다 중요시하는 것으로 3) “현대 소프트웨어 개발의 프로세스 자체를 완전히 뒤집어엎을 것”이라고 정보 분석가 댄 블룸(Dan Blum)은 예상한다. “데이터의 사용은 최소화하고, 목적에 부합하는 기능만을 가지도록 하며, 데이터 익명화 및 잊힐 권리가 개발의 기본 개념이 되어야 할 것입니다.”

하지만 블룸은 이런 과정이 언젠가 반드시 거쳐야 했을 것이라고 설명한다. 그 시기가 좀 당겨져서 진통이 있을 뿐, “원래 개발은 이렇게, 사용자의 프라이버시 보호를 최우선으로 해서 진행되어야 마땅한 것”이라는 말이다. “당분간 개발자를 대상으로 한 보안 교육이 빈번하게 실시되지 않을까 합니다. 개발자의 마인드부터 바꿔야 GDPR을 성공적으로 도입할 수 있거든요.”

하지만 이렇게 해서 모든 보안사고를 방지할 수 있다면 뭘 못하겠는가? 기업들이 정말로 두려운 건 이렇게 철저하고 엄격하게 방어를 한다고 해도 방어 100% 성공률을 보장받지 못한다는 것이다. 즉 벌금과 범죄의 이중고가 두려운 것. GDPR 아래, 정보 유출 사고가 실제로 발생했을 때는 어떻게 해야 하는가? “72시간 안에 사고가 일어났다는 보고를 마쳐야 하는데, 이는 그 어떤 정책보다 빠듯한 시간입니다.” 이센타이어(eSentire)의 CSO인 엘돈 스프릭커호프(Eldon Sprickerhoff)의 설명이다.

이와 맞물리는 또 다른 사안이 바로 ‘벌금’인데, 스프릭커호프는 “정보 유출 사고가 일어났다는 것이 벌금의 이유가 되는 게 아니라, 사고 사실을 제대로 통보하지 않았다는 것이 거의 모든 벌금의 사유가 된다”고 설명한다. 이는 실제 기업들에게 무슨 뜻인가? 4) “자기들이 관리하는 정보의 흐름을 늘 파악하고 있어야 한다는 겁니다. 해킹 당하고 2년 뒤에 몰랐어요, 라고 변명하는 것 자체에 벌금을 책정하겠다는 선포나 다름없죠.”

또한 GDPR이 있어 소비자들은 특정 정보를 삭제해달라고 요청할 수도 있게 되었을뿐만 아니라 해당 정보의 복사본을 요구해 제3자에게 옮길 수 있게 되었다. 이는 정보이동권(right to portability)과 정보삭제권(right to erasure), 잊힐 권리(right to be forgotten)와 관련이 있으며, 이는 기업들에게 영향이 적지 않은 사안이다.

포지록(ForgeRock)의 부회장인 이브 메일러(Even Maler)는 “기업들 입장에서는 정보 추적에 관한 내용”이라며 5) “시스템 내 돌아다니는 개인정보를 추적하고, 요청이 들어온 대로 지우는 게 정말로 가능한지, 고객들에게 어떤 식으로 이를 증명할 것이며, 고객이 직접 데이터 전송 및 삭제를 할 수 있도록 툴을 만들어 제공해야 하는지를 심각하게 고민해야 한다”고 설명한다. 이는 기존의 사업 방식과 꽤나 동떨어진 것이라고 덧붙이기도 했다.

그밖에 GDPR은 6) 데이터 보호 영향 평가(Data Protection Impact Assessments)라는 것도 요구할 예정이고, 이를 할 수 있는 여러 온라인 툴들이 이미 시중에 나와 있다고 심버코프는 설명한다. “GDPR의 체제 하에서는 정보의 암호화와 난독화, 가명화(pseudonymization)와 익명화(anonymization)이 필수로 적용되어야 하기도 합니다. 데이터를 더 많은 포장지로 꽁꽁 싸매야 하는 것이죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)