세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
GDPR 준비가 막막하다면 8가지 핵심부터 파악하자
  |  입력 : 2017-07-05 15:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR 준수 못하면, 연간 세계 수입의 2%~4% 또는 최대 2천만 유로 벌금
침해 공지, 잊힐 권리, 사전동의 등 까다로운 GDPR 규정, 8가지로 요점 정리


[보안뉴스 오다인 기자] 유럽 일반정보보호규정 또는 유럽 개인정보보호법을 일컫는 ‘GDPR’의 시행이 1년도 채 남지 않았다. GDPR은 공식 명칭인 ‘European Union’s General Data Protection Regulation’을 줄인 말로, 2018년 5월 공식 시행을 앞두고 있다.

[이미지=iclickart]


GDPR의 핵심은 유럽연합 거주자의 개인정보를 다루는 모든 기업이나 단체가 프라이버시 보호와 관련된 광범위한 규정들을 준수하도록 강제하는 것이다. GDPR은 유럽연합 거주자가 자신의 개인정보에 대해 상당량의 통제권을 갖게 한다. 개인정보가 어떻게 사용되는지부터 타인에게 개인정보가 어떻게 노출되는지 등과 관련해서 말이다. GDPR 하에서 각 데이터의 주체는 개인정보의 궁극적인 소유주가 된다. 정보를 수집하고 사용하는 조직의 소유가 아니다.

GDPR 규정을 준수하지 못하는 기업은 연간 전 세계 수입의 2%에서 4%를 벌금으로 물거나 최대 2천만 유로(약 261억 원)를 물게 된다. 전자나 후자 중에 높은 금액이 최종 벌금으로 책정된다.

GDPR 시행일은 2018년 5월 25일이다. GDPR은 유럽연합 내 기업들의 개인정보 처리 및 보호를 관할한 1995년 유럽연합 정보보호법(Data Protection Directive 95/46/EC)을 대체하게 된다. GDPR의 이점 중 하나는 유럽연합 내 모든 국가를 대상으로 공통된 정보보호 및 프라이버시 기준을 세운다는 것이다. 유럽연합 내외에서 사업하는 기업들은 GDPR 뿐만 아니라 유럽연합을 구성하는 28개국 각각의 정보보호 관련법도 여전히 따라야 하지만, 각 국가별로 천차만별이었던 개인정보보호관련 규정이 정리됐다는 점에 의미를 찾을 수 있다.

GDPR은 유럽연합 내 기업들을 위해 믄들어진 법안이다. 그러나 유럽연합 거주자에 속하는 개인정보를 수집하거나 처리하는 전 세계 모든 조직들이 GDPR 규정에 따라야 한다.

GDPR이 매우 구체적이면서 엄격한 법안이라는 점을 감안할 때, GDPR에 영향을 받는 대다수의 미국 기업이 해당 규정들을 준수하기 위한 준비에 전혀 서두르고 있지 않다는 점은 매우 놀랍게 느껴진다.

미국의 IT 전문업체 스파이스워크스(Spiceworks)가 미국, 영국, 유럽연합의 IT 전문가 779명을 대상으로 설문조사한 결과, 미국 내 단 5%의 기업만이 GDPR에 대비하기 시작한 것으로 나타났다. 유럽연합 내 전체 기업의 3분의 1 가량이 GDPR 시행으로 물게 될 벌금에 대해 염려하고 있는 것과 달리, 미국 내 기업의 단 10%만이 관련법을 제대로 준수하지 못할지도 모른다고 염려하는 것으로 나타났다.

다음은 GDPR에 대해 반드시 알아야 할 점을 정리한 것이다. 무엇을 준비해야 할지 잘 모르겠다면 참고하자. GDPR 공식 웹사이트 ‘EUGDPR.org’을 포함해 여러 자료를 종합했다.

1. 적용 대상
GDPR은 정보 관리자와 정보 처리자 양자에 모두 적용된다. 정보 주체로부터 개인정보를 수집하는 모든 조직이 정보 관리자로 고려된다. 조직은 어떤 목적에서 정보를 수집하고 있는지, 무슨 이유로 어떻게 해당 정보를 사용하거나 처리할 것이며 누구와 공유할 것인지 반드시 기록으로 남겨야 한다.

정보 처리자는 정보 관리자를 위해 정보를 처리하는 모든 조직을 일컫는다. 예컨대, 인건비를 처리하는 사람이나 클라우드 서비스를 제공하는 사람 등이 포함된 조직을 말한다. 이런 조직들 역시 유럽연합 거주자에 속한 정보를 처리한다면 GDPR 규정에 직접적인 제재를 받는다.

2. 정보 침해 공지
정보 관리자는 프라이버시나 보안에 위협이 될 만한 모든 침해 사실에 대해 정보 주체에게 공지할 의무가 있다. 이 같은 공지는 침해 사실이 발견된 지 72시간 내에 전달돼야만 한다. 이와 유사하게 정보 처리자 역시 모든 침해 사실에 대해 정보 관리자에게 지체 없이 알려야 한다. 또한, GDPR은 기업이 자국의 정보 보호 당국에도 침해 사실을 보고하도록 규정한다.

침해 공지와 관련한 미국의 현행 규정처럼, GDPR의 적용을 받는 기업은 특정 경우 공지 의무에서 면제될 수 있다. 여기서 특정 경우란 정보가 암호화됐거나 가명 처리 등을 사용해 비식별화된 경우를 말한다. 다시 말해, 침해된 정보로 각 개인의 신원을 직접적으로 밝힐 수 없거나 침해 발생 이후라도 신원 정보가 드러나는 것을 막기 위한 추후 조치를 취했다면, 반드시 공지해야 할 의무는 없다.

3. 정보보호를 기본 계획 단계부터 포함하기
GDPR은 유럽연합 거주자의 정보를 다루는 조직이 제품과 서비스를 계획하는 기본 단계부터 프라이버시 보호를 포함시키도록 규정한다. 이런 규정의 배경에는 조직이 착수 단계에서부터 정보를 보호하고 정보 수집을 최소화해 사건이 터진 뒤에 부랴부랴 수습하는 상황을 미연에 방지한다는 생각이 깔려 있다. 개인정보 침해를 막기 위한 조직적 절차나 적절한 기술적 제어 등을 사후가 아닌 사전에 생각하고 이와 관련한 조치를 시행토록 만든 것이다.

GDPR은 정보 관리자가 특정 상황에서 프라이버시 영향 평가(PIA: Privacy Impact Assessments)를 시행하도록 규정한다. 신원 노출이나 도용 위험이 크다고 판단될 때를 말하는데, 신기술의 사용이나 특정한 항목의 정보를 처리하는 경우를 예로 들 수 있다.

GDPR은 조직이 개인별로 식별 가능한 정보를 가명 처리하라고 권고한다. 즉, 정보를 확인하는 사람이 누구든지 해당 정보의 주체를 바로 식별할 수 없는 형태로 정보를 가공하라고 권고한다.

4. 정보 접근에 대한 개인 권한
정보 주체는 자신과 관련해 정보 관리자가 갖고 있는 개인정보 전량에 대해 사본을 요구하고 확보할 수 있다. 조직은 요청을 받으면 각 개인에게 확인을 해줄 의무가 있는데, 요청자의 개인정보가 현재 처리 중인지, 어디서 처리되고 있는지, 무슨 목적으로 처리되고 있는지 등에 대해 답변을 해야 한다.

조직은 요청된 정보를 전자 형태로 제공해야 하며, 특별히 엄청난 양이거나 불합리한 요청이 아닌 이상 무료로 제공해야 한다. 유럽연합 시민은 정보 관리자에게 자신과 관련한 정보가 잘못되거나 불완전하다면 바로잡으라고 요청할 수 있다.

영국 정보위원회(ICO: Information Commissioner’s Office)에 따르면, GDPR은 무슨 개인정보를 보유하고 있는지, 어디서 그런 정보를 얻었는지, 현재 어떻게 사용되고 있으며 누구와 공유하고 있는지 기록하기 위해 알기 쉽고도 명확한 수단을 보유하라고 요구하고 있다. 이 위원회는 “조직 전반과 특정 사업 분야 내에 정보 감사를 조직해야 할지 모른다”고 지적한다.

5. 정보 이동에 대한 권리
GDPR은 유럽연합 거주자가 자신의 개인정보를 한 정보 관리자로부터 다른 정보 관리자로 이동시키라고 요구할 권리도 부여한다. 이는 기술적으로 실현 가능한 모든 경우에 해당된다. GDPR은 정보 관리자가 조직화되고, 표준적이고, 기기가 읽을 수 있는 형태로 요구받은 정보를 제공하라고 규정한다. 대부분의 경우, 정보 관리자는 이 같은 요구에 대해 어떠한 요금도 책정해서는 안 된다.

GDPR은 개인이 정보 관리자에게 정보를 제공하는 모든 상황과 정보 처리가 자동화된 모든 상황에 적용된다.

6. 잊힐 권리
GDPR은 정보 주체가 각 조직에게 자기 개인정보를 삭제토록 요구할 권리를 법제화한다. 이는 정보 주체로 하여금 정보 관리자에게 자기 개인정보를 제3자에게 전파하거나 제3자와 공유 및 처리하는 것을 중지하라고 요청할 권리도 포함하는 것이다.

정보 삭제는 개인정보가 특정 조건을 위해 더 이상 필요치 않은 상황이나 정보 주체가 해당 정보의 사용에 대한 동의를 철회하는 모든 상황에서 요구된다.

정보 삭제 요청을 받았을 때, 정보 관리자는 삭제하기 전에 해당 정보를 지속적으로 보존했을 때 공공의 이익이 있는지 여부를 판단해야 한다.

7. 데이터 보호 관리자(DPO: Data Protection Officer)
공권력이나 공공기관은 특정 유형의 정보를 체계적으로 감시하고 처리하는 것이 핵심적인 업무 중 하나다. 특정 유형의 정보라 함은 개인별 인종이나 민족 정보, 종교 또는 정치적 신념 등을 말하는데, 이런 정보의 감시와 처리를 위해 공공기관은 데이터 보호 관리자을 임명해야 한다.

데이터 보호 관리자의 역할은 정보 관리자나 정보 처리자에게 GDPR 하에서의 의무를 공지 및 조언하고, 해당 의무를 준수하는지 감시하는 것이다. 데이터 보호 관리자는 정보 관리자 및 정보 처리자에게 프라이버시 영향 평가와 관련해 조언하고, 개인정보 처리를 포함한 여러 사안과 관련해 연락책 역할을 수행할 책임 등을 진다.

8. 사전동의(Informed Consent)
GDPR은 유럽연합에 거주하는 개인들에게 자기 개인정보 및 사용방식에 대해 엄청난 통제권을 부여한다. 이런 통제권의 핵심은 동의다. 유럽연합 거주자에 대해 개인별로 식별 가능한 정보를 수집, 저장, 처리하는 조직은 정보 주체로부터 사전동의를 받아야 한다.

GDPR은 이해될 수 있고, 간략하고, 명확하고, 모든 법률적·전문적 용어를 벗겨 낸 방식으로 동의를 구하라고 규정한다. 동의를 구할 때 조직은 쉽고 분명한 말로 어떤 정보 처리를 위해 어떤 동의가 필요하다는 점을 명확하게 설명해야 한다. 동의를 구할 때와 마찬가지로 조직은 각 개인이 동의를 철회하는 것 역시 쉽게 만들어야 한다는 점도 중요하다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)