GDPR 준비할 때 꼭 기억해야 할 2가지 ‘임직원 이해’와 ‘DPO’

EU GDPR 가이드도 아직 완벽하지 않아...해외 기업들 GDPR 관심 강조
기업 보안담당자들, 임직원 인식 개선과 함께 DPO 직책에 대한 연구 필요

[보안뉴스 원병철 기자] EU GDPR(유럽 일반 개인정보보호법) 시행이 불과 8개월여 앞으로 다가왔지만 아직 국내 기업들의 GDPR 대응현황은 크게 드러난 것이 없다. 아니 보다 정확하게 말하자면 제대로 준비하지 못하고 있는 수준이다. 사실 EU에서도 가이드라인을 아직 개발하고 있기 때문에 유럽을 포함한 다른 해외 기업들의 대응도 완벽한 수준은 아니다.

[이미지=iclickart]

기업들이 GDPR을 준비하면서 가장 어려움을 겪는 부분 중 하나가 바로 전사적으로 GDPR을 이해시키고 적용하는 일이다. 이는 기존 보안업무와 비슷한데, CISO 등 보안책임자와 보안담당자들은 사내 임직원들에게 보안을 이해시키고 참여시키는데 큰 어려움을 겪는 것과 같다.

임직원에게 GDPR의 준비 타당성 이해시키기
GDPR 오픈 세미나에서 이진규 네이버 CISO(정보보호최고책임자)/CPO(개인정보보호최고책임자)는 회사 경영진 및 직원 설득을 위한 의견을 개진했다. “CEO를 비롯해 대부분의 임직원들에게 GDPR을 이해시키고 참여시키려면 과징금에 대한 설명을 하는 것이 좋다고 봅니다.”

사실 GDPR 위반행위에 대한 제제는 과징금뿐만 아니다. 위반행위의 경중에 따라 △경고 △징계 △개인정보 처리 정지(한시적 혹은 영구적) △벌금 등 제제가 달라진다. 하지만 2,000만 유로(현재 약 267억 원) 혹은 전년 회계연도의 전체 매출액 중 최대 4% 중 높은 금액을 선택해 과징금을 부과할 수 있다는 부분이 임직원들에게 가장 크게 와 닿을 수 있다.

사실 EU에서도 이번 GDPR의 과징금은 상당히 높은 편인데, GDPR 이전에 가장 높았던 개인정보위반 벌금이 네덜란드의 82만 유로였다. 이 차이만 봐도 EU의 의지가 얼마나 단호한지 알 수 있다.

좀 더 이해하기 쉽도록 이진규 CISO는 실제 우리나라 대표기업들의 연매출과 실제 과징금을 계산했다. 공정위가 발표한 2016년 우리나라 재계순위별 연매출을 보면, 삼성이 300조, 현대자동차가 209조, SK가 160조를 달성했다. 연매출의 4%를 과징금으로 계산하면, 삼성은 12조, 현대자동차는 8조 3,600억, SK는 6조 4,000억에 달한다고 이 CISO는 설명했다.

“미국 그룹을 예로 들면 더 어마어마합니다. 월마트의 2016년 매출은 4820억 달러고 순이익이 150억 달러입니다. 그런데 과징금이 순이익보다 높은 190억 달러가 나옵니다. 제너럴 모터스를 예로 들까요. 2016년 매출이 1,520억 달러이고 순이익이 100억 달러입니다. 과징금은 순이익의 절반 이상인 60억 달러이구요. 전 직원이 1년을 열심히 일해서 얻은 순이익의 대부분 혹은 그 이상이 과징금으로 날라 간다면 대부분의 직원들이 GDPR을 적용하는 데 주저하지 않을 것입니다.”

DPO는 계약직 프리랜서 개념으로 접근해야
많은 글로벌 기업들이 EU에 어필하기 위해 별도의 GDPR 홈페이지를 만들어 홍보성 자료를 업데이트하고 있다. 우리 기업이 GDPR을 얼마나 중요하게 생각하는지 알리겠다는 것. 구글이나 오라클, 드롭박스 등 다양한 기업들이 GDPR 홈페이지를 운영하고 있다. 네이버도 별도의 세미나를 개최하는 등 GDPR 준비를 하고 있다고 이 CISO는 설명했다. 하지만 글로벌 기업들처럼 적극적으로 대응하는 국내 기업들은 찾아보기 힘들다.

기업들이 GDPR을 준비하면서 꼭 챙겨야할 것 중 하나가 바로 개인정보보호 책임자, ‘DPO(Data Protection Officer)’다. GDPR에 DPO 지정에 대한 조건이 있지만, 워낙 조건이 광범위해 대부분의 기업들은 DPO를 지정해야할 것이라고 이 CISO는 말하고 있다. “전 세계적으로 7만 5,000명의 DPO가 필요할 것이라는 연구결과가 발표된 적도 있습니다,”

GDPR상에서 DPO를 지정할 때 가장 중요한 것은 바로 업무상 자질, 실무에 대한 전문지식, GDPR 등 법령에 대한 지식, EU 당국과의 커뮤니케이션 능력, 언어 구사(EU에서 주로 사용되는 언어) 등이 꼽힌다. 하지만 가장 중요한 건 DPO의 경우 업무 수행에 따른 고민을 하면 안되는 지위여야 한다는 것. 게다가 한 번 계약하면 업무상 문제가 생겨도 해고가 불가능하다. 즉, CEO라고 할지라도 DPO에게 업무에 반하는 지시를 할 수 없도록 한 것이다. 이 때문에 DPO는 별도의 계약직으로 운영하는 것이 낫다는 의견이다.

DPO는 기존 직원, 예를 들어 CISO가 겸업을 할 수도 있지만, 개인정보보호와 회사의 이익이 충돌하면 안되며, DPO에 대한 별도의 지원내용이 계약서에 담겨야 하기 때문에 따로 지정하는 것이 좋다는 얘기다. 이진규 CISO 따르면 DPO의 요건이 워낙 까다롭기 때문에 페이스북이나 드롭박스 등 글로벌 기업들도 몇 개월째 DPO를 채용하지 못했다고 한다.

이렇듯 최근 들어 GDPR에 대한 기업과 언론들의 관심이 높아지고 있지만, 국내 기업은 정작 제대로 된 준비가 되어 있지 않은 상황이다. 이에 기업에서는 우선적으로 GDPR 준비 필요성에 대한 회사 임직원의 인식을 지속적으로 향상시키는 것과 동시에 DPO 직책에 대한 본격적인 연구가 요구되고 있다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)