세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
보안기업도 한 번은 확인해야 할 GDPR과의 연관성
  |  입력 : 2018-01-21 00:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
EU 개인정보보호법 GDPR, 5월 25일 시행...우리 대응은?

[보안뉴스 원병철 기자] EU의 일반 개인정보보호법이라 불리는 ‘GDPR(General Data Protection Regulation)’의 시행이 불과 4개월여 밖에 남지 않았다. 국내에서도 많은 전문가들이 GDPR 시행에 따른 대비를 경고해 왔지만, 상당수 기업은 올해 접어들서야 발등에 불이 떨어졌다. 물론 GDPR이 누구에게나 적용되는 것은 아니기 때문에 별 관심 없는 사람들도 있을 것이다. 하지만 조금이라도 EU와 연관이 있는 기업이라면 반드시 기억하고 준비해야 하는 것이 바로 GDPR이다.

[사진=iclickart]


GDPR은 EU가 회원국 국민의 개인정보보호 권리를 강화하기 위해 제정한 ‘규정’으로 ‘강제성’을 갖고 있다는 점에서 이전 지침인 ‘Data Protection Directive’와는 다른 강력함을 보여준다.

특히, GDPR은 EU가 아닌 다른 지역, 국가에서 사업을 할지라도 EU 국민의 개인정보를 수집하기만 하면 무조건 대상으로 보기 때문에 수출 중심인 한국의 물리보안 기업들은 반드시 GDPR에 대해 준비해야 한다.

유럽 개인정보보호법 GDPR, 강력한 제제수단으로 세계 흔들어
EU GDPR은 2016년 4월 제정되어 2018년 5월 25일 시행을 앞두고 있다. EU 회원국 기업은 물론 이외 국가의 기업도 EU회원국 국민의 개인정보를 다루면 적용을 받으며, 개인정보의 국외이전의 요건도 강화된 것이 특징이다. 또한, 기업의 책임성을 강화해 DPO(Data Protection Officer) 임명과 영향평가 수행, Privacy by Design 등을 챙겨야 하며, 무엇보다 과징금이 강화된 것도 주목해야할 점이다.

GDPR에 전 세계가 주목하는 이유 중 하나가 바로 강력한 제재수단 때문이다. GDPR 위반행위에 대한 제재는 과징금뿐만 아니다. 위반행위의 경중에 따라 경고, 징계, 개인정보 처리 정지(한시적 혹은 영구적), 벌금 등으로 달라진다. 하지만 2,000만 유로(현재 약 267억 원) 혹은 전년 회계연도의 전체 매출액 중 최대 4% 중 높은 금액을 선택해 과징금을 부과할 수 있다는 점은 GDPR의 강력한 제재의지를 볼 수 있다.

사실 GDPR의 과징금은 이전 EU의 개인정보보호 관련 벌금과 비교해도 대단히 높은 수준이다. GDPR 이전 가장 높았던 개인정보위반 벌금이 네덜란드의 82만 유로였다는 사실만 봐도 충분히 알 수 있다.

네이버의 이진규 CISO가 조사한 자료를 보면 좀 더 쉽게 이해할 수 있다. 실제 우리나라 대표기업들의 연매출과 실제 과징금을 계산했다. 공정위가 발표한 2016년 우리나라 재계순위별 연매출을 보면, 삼성이 300조, 현대자동차가 209조, SK가 160조를 달성했다. 연매출의 4%를 과징금으로 계산하면, 삼성은 12조, 현대자동차는 8조 3,600억, SK는 6조 4,000억에 달한다고 이 CISO는 설명했다.

“미국 그룹을 예로 들면 더 어마어마합니다. 월마트의 2016년 매출은 4820억 달러고 순이익이 150억 달러입니다. 그런데 과징금이 순이익보다 높은 190억 달러가 나옵니다. 제너럴 모터스를 예로 들까요. 2016년 매출이 1,520억 달러이고 순이익이 100억 달러입니다. 과징금은 순이익의 절반 이상인 60억 달러이고요. 전 직원이 1년을 열심히 일해서 얻은 순이익의 대부분 혹은 그 이상이 과징금으로 날라 간다면 대부분의 직원들이 GDPR을 적용하는 데 주저하지 않을 것입니다.”

EU 회원국, 정부 중심으로 관련법 개정 등 적극적으로 나서
그렇다면 GDPR에 대한 기업들의 대응은 어떤 수준일까? 2017년 베리타스 GDPR 보고서에 따르면 한국을 포함한 미국과 일본 등 주요 9개국 비즈니스 의사 결정자들은 GDPR에 대한 현황은 파악하고 있으면서도 이를 준비하고 준수하는 것에는 적극적이지 않았다.

‘GDPR이 자사에 심각할 악영향을 미칠 것인가’에 대한 질문에 86%가 그렇다고 대답했지만, GDPR 준수를 위한 조치를 시작했는지를 묻는 질문에는 겨우 46%만이 그렇다고 대답했다. 심지어 GDPR의 주요 요건을 제대로 준수했는지에 대한 질문에 겨우 2%만이 그렇다고 대답했다. GDPR의 중요성은 알면서도 이에 대한 대비는 하지 않고 있다는 사실이다.

해외 다른 국가들을 살펴보면, 우선 프랑스는 정부주도로 TF를 구성하고 GDPR과 자국 FDPA(French Data Protection Act)를 비교해 개정하는 작업을 하고 있다. 특히, 디지털공화국법을 신설하고 GDPR의 주요 조항들을 자국법에 적용하고 있다.

독일 역시 GDPR이 요구하는 수준에 맞춰 기존 자국법을 대신할 새로운 개인정보보호법을 2017년 5월 신설했다. GDPR의 특정 주제에 대해 정기적으로 가이드라인을 발간하고 있으며, DPO 임명 요건을 구체화하는 등 적극 대응하고 있다.

EU를 탈퇴한 영국이지만 GDPR만큼은 다른 EU국가들과 동일하게 적용하겠다고 공식 선언했다. GDPR 준수를 위한 12단계의 가이드라인을 발간했으며, 새로운 개인정보보호법을 발표하는 등 적극적으로 움직이고 있다.

많은 글로벌 기업들이 EU에 어필하기 위해 별도의 GDPR 홈페이지를 만들어 홍보성 자료를 업데이트하고 있다. 우리 기업이 GDPR을 얼마나 중요하게 생각하는지 알리겠다는 것. 구글이나 오라클, 드롭박스 등 다양한 기업들이 GDPR 홈페이지를 운영하고 있다. 국내에서는 네이버가 별도의 세미나를 개최하는 등 GDPR 준비를 하고 있지만, 다른 나라나 기업에 비하면 소극적인 모습이다.

EU 회원국에 수출하는 기업들은 GDPR 연관성 확인 필요
지금까지 EU의 개인정보보호법 GDPR과 해외국가, 그리고 해외기업의 대응현황에 대해 알아봤다. 사실 GDPR에 대한 해외의 대응도 아직 완벽한 것은 아니다. 하지만 중요한 것은 우리가 준비를 했건 못했건 간에 2018년 5월 25일에는 GDPR이 시행된다는 사실이다.

단순히 생각했을 때, 제조 중심인 물리보안 기업들이 GDPR 혹은 EU와 무슨 연관이 있겠냐고 생각할 수도 있다. 하지만 EU 회원국에 제품을 수출하면서 자신도 모르게 연관이 될 가능성이 만에 하나라도 있다면, 최소한 GDPR에 저촉되는지를 알아보는 것이 필요하다.

게다가 최근 개인정보 중에서도 개인영상정보가 중요하게 다뤄지고, 아이폰X 등 바이오인식 제품이 대중화되면서 CCTV를 비롯한 보안제품에 EU의 관심이 쏠릴 것은 자명한 일이다,
적어도 해외, 그중에서도 EU 회원국에 수출을 하는 기업은 GDPR에 대해 구체적으로 알아보고, 자사와의 연관성을 확인하는 자세가 필요하다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)