사례로 본 GDPR, L사는 이렇게 준비했다

L사, GDPR 인지 후 2017년 초부터 꾸준히 준비
무엇 준비할지 식별한 뒤 기존 절차·규정 격차 좁혀
개인정보보호팀서 전담해 준비... DPO는 내부 지정

[보안뉴스 오다인 기자] 선례는 중요하다. 눈밭 발자국이 이정표가 되는 이치와 같다. 그러나 그만큼 부담스럽다. 모두가 확신에 차서 길을 걷지 않듯, 먼저 길을 걷는 자도 불안하긴 마찬가지이기 때문이다.

[이미지=iclickart]

GDPR이 당장 다음달 25일이면 시행된다. 국내 기업 상황은 ‘혼돈’으로 요약된다. 어떻게 준비하느냐를 떠나 GDPR이 무엇인지에 대한 이해조차 저조한 상태다. 마땅한 선례도 없다. 상황이 이토록 불투명하지만 L사는 2017년 초부터 GDPR을 꾸준히 준비해 왔다. GDPR은 유럽 일반개인정보보호법(General Data Protection Regulation)을 말한다.

‘모범사례(Best Practice)’로 비치는 것에 조심스러워 했지만 L사로부터 GDPR 준비 과정을 들었다. L사에서 GDPR 준비를 담당하고 있는 개인정보보호팀 팀장(이하 L사 팀장)을 25일 오후 서울 영등포구에서 만났다. 대응책은 기업별로 상이할 것이므로, GDPR을 앞두고 불안한 기업이라면 하나의 사례 수준에서 L사의 준비 과정을 참고할 만하다.

L사는 2015년 GDPR을 인지, 2016년 준비를 결정했다. 이후 2017년 초부터 구체적인 준비에 돌입했다. L사 팀장은 “현재 바뀐 약관으로 제품과 서비스가 하나씩 출시되고 있으며 이에 대해 고객 권리행사를 어떻게 할 수 있느냐는 문의가 이미 많이 들어오고 있다”고 말했다.

L사의 GDPR 준비는 크게 두 갈래로 구분된다. 첫째는 무엇을 준비해야 할지 식별하는 작업이고, 둘째는 GDPR과 현행 절차·규정 사이 격차(gap)를 줄이는 작업이다. L사 팀장은 이 두 가지 작업이 동시에 이뤄진다고 설명했다.

이때 “무엇을 준비해야 할지 식별하는 것부터 쉽지 않다”고 L사 팀장은 말했다. 그는 “비즈니스 영역이 굉장히 넓기 때문에 이를 찾아내는 것부터 쉽지 않은 데다 현재도 진행 중이며 앞으로도 계속해야 할 작업”이라고 밝혔다.

규제 분석 시에는 “지켜야 할 항목들을 가려내야” 했다. 현재 우리 기업의 정책은 이러한데 앞으로는 어떻게 바뀌어야 한다는 항목을 정하고 개선하는 일이다. 즉, GDPR과 우리 기업 규정 사이의 격차를 줄여나가는 작업이다. 개발이 필요한 것들 혹은 이미 적용이 돼 있는 것들을 밝혀낸 뒤 필요한 부분에서 절차·규정을 바꿨다.

L사는 유럽 고객을 상대로 한 마케팅 행위와 고객 서비스(CS) 등이 1차적인 개인정보의 대상이라고 봤다. L사 팀장은 “(GDPR 준수에서) 1번은 고객”이라며 “해외 규제기관에서 고객과 관련된 정보에 민감하다”고 설명했다. 이에 L사는 고객 시스템을 우선적으로 확인하고 임직원의 민감정보 보유현황을 조사했다.

L사 유럽 현지법인을 일일이 돌며 개인정보의 유통경로를 확인하는 작업도 수반됐다. 개인정보의 생성부터 해당 정보가 한국에 왜, 그리고 어떻게 전송되는지 확인했다.

이 같은 작업은 단지 GDPR 준수를 위한 것만이 아니다. L사 팀장은 “개인정보보호의 목표는 개인정보의 주권을 지켜주는 것”이라며 “GDPR뿐만 아니라 중국에서 말하는 개인정보보호의 목표도 같다”고 강조했다. “이러한 목표들을 각 규제의 틀(framework) 안에서 어떻게 관리·준수할 것인가”가 핵심이라는 것이다.

L사는 개인정보보호팀에서 GDPR을 전담하고 있다. L사 팀장은 개인정보보호팀이 “GDPR 해석에 주력하면서 내부절차와 프레임워크 구축을 위해 노력하고 있다”고 설명했다.

약관 개정에는 오랜 시간이 소요됐다. 어떤 것을 약관에 반영할지 결정하는 일은 몇 개월씩 걸렸다. 정보가 실제로 어떻게 흐르는지 파악하고, 새로운 제품의 정보 흐름까지 파악한 뒤 이를 약관에 어떻게 반영할지 정하는 일이었기 때문이다.

GDPR 준비 시 특히 어려웠던 점으로는 “규정이 명확치 않다는 것”을 꼽았다. 일례로 “작년 인사(HR) 관련 동의 규정이 명확치 않았는데, 하반기가 돼서야 고용주-고용인 계약으로 수집되는 정보에 대해서는 동의가 아닌 다른 방안(적법한 처리 근거 등)을 활용하라는 독일법이 입법됐다”는 것이다.

게다가 유럽연합(EU) 28개국 중 GDPR 관련 법안이 발표된 국가는 독일·네덜란드·오스트리아 등 7곳에 불과하다. 기타 국가에선 법안이 계류 중에 있다. L사 팀장은 “유럽국과 논의해야 하지만 아직 명확하지 않은 부분이 있어 어렵다”고 밝혔다.

L사는 EU 각국 법률에서 명확치 않은 부분은 한국의 구체적인 법률 내용을 보면서 내부정책을 만들었다. 이렇게 만들어진 내부정책은 지난해 말 L사 전사(全社)에 배포됐다. L사는 이 정책에 근거해 판단을 하는데 L사 팀장에 따르면 “이 같은 방향이 크게 틀리지는 않았다는 사실이 근래에 조금씩 확인”되는 것으로 나타나고 있다.

DPO(Data Protection Officer)는 L사 내부에서 지정될 예정이다. 유럽 현지의 개인정보 관리를 총괄하면서 EU 규제기관과의 소통을 담당할 목적으로 “실질적인 DPO를 지정한다”는 것이 L사의 결정이다.

L사의 모든 제품과 서비스에 개인정보영향평가(PIA)를 의무화한 점도 주목할 만하다. 시스템 리스크에 따라서 약식이 될 수는 있지만 L사의 모든 시스템은 개인정보영향평가를 거치며 이력관리를 한다. L사 팀장은 이것이 “몇 년에 걸친 프로젝트였다”고 말했다. L사의 전사(全社) 개인정보영향평가체계는 2014년에 처음 시행된 뒤 현재 전 영역에 걸쳐 시행되고 있다.

한편, 적정성 평가에 대한 시급성도 강조된다. L사 팀장은 빠른 시일 내에 적정성 평가가 결정돼야 기업들의 부담과 혼란이 줄어들 것이라고 말했다. 그는 이어 “GDPR 준수를 위해서는 5월 25일 발효 전까지 준비하는 것도 중요하지만 이러한 개인정보보호 관리체계가 조직 내부에 전파되고 체질화되는 것이 더욱 중요하다고 생각한다”고 강조했다.
[오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)