세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > SecurityWorld
EU 개인정보보호법 GDPR 시행과 보안업계의 대응
  |  입력 : 2018-05-25 10:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
막연한 우려보다는 GDPR이라는 기회를 시장 확대의 계기로 삼아야

[보안뉴스= 이창범 동국대학교 경찰사법대학 겸임교수, 산업보안센터장] 상당수 국내 기업들이 우려했던 유럽 일반 개인정보보호법(GDPR)이 드디어 시행됐다. 이런 상황에도 우리나라 기업들은 비교적 평온한 것 같다. EU(유럽연합) 시장에 기반을 두고 있는 국내 기업이 많지 않기 때문이겠지만 근거없는 자신감과 안도감도 한몫 하는 것 같다. 그러나 GDPR은 여러 면에서 국내법과 크게 다르고 같은 단어나 유사한 문장도 해석과 적용을 달리하는 경우가 많다.

[사진=iclickart]


유럽의 합리주의 문화 속에서 성장해 온 법이라 정보주체의 권리를 보호하는 방법 면에서는 매우 실질적이고 실용적이므로 개인정보처리에 대해서 정보주체의 동의만 받고 기술적·관리적 조치만 취하면 사실상 책임을지지 않는 국내법과는 크게 다르다. 다행히 정부와 한국인터넷진흥원(KISA)의 지속적인 홍보 활동 및 인식 제고 노력으로 컴플라이언스(Compliance) 측면에서 국내 기업들의 GDPR 이해도는 점차 높아지고 있다.

그럼에도 이번 기회에 GDPR 환경을 잘 활용해서 글로벌 IT 시장에서 파이를 확대하고 새로운 시장을 개척해 갈 수 있을지에 대해서는 상대적으로 고민을 덜하는 모습이다. 정부 차원의 GDPR 환경을 활용한 시장개척 노력이나 정책 마련도 별로 발견되지 않는다. 반면에 마이크로소프트(MS), 아마존, 오라클, SAP 등 글로벌 IT 기업들은 저마다 대(對)기업 마케팅을 강화하고 있다. 개별 기업들이 자신의 힘으로는 준비하고 실행하기 어려운 GDPR의 법적 요구사항을 대신해서 해결해 주겠다는 것이다. GDPR 환경에서 살아남기 위한 전략이다.

GDPR 하에서는 기술적으로 해결해야 할 의무가 적지 않다. 컨트롤러와 프로세서는 최신의 기술, 비용, 노력 등을 고려해서 가능한 개인정보를 가명화 및 암호화해서 처리해야 한다. 또한, 개인정보처리 시스템 및 서비스의 기밀성, 무결성, 가용성, 복원력을 지속적으로 보장해야 한다.

아울러 물리적·기술적 사고가 발생하더라도 개인정보의 가용성과 접근성을 보장해야 한다. 보안 능력을 보장하기 위한 기술적·관리적 조치의 효율성도 정기적으로 평가해야 한다. 뿐만 아니라 콘트롤러와 프로세서는 모든 개인정보의 처리 활동을 상세하게 기록하고 관리해야 한다. 데이터 보호 설계(Data Protection by Design)와 데이터 보호 기본 원칙(Data Protection by Default)도 준수해야 한다.

컨트롤러와 프로세서는 정보주체가 웹사이트, 이메일 등을 통해서 자신의 권리를 쉽게 행사할 수 있도록 기술적인 장치를 도입하는 것이 권장되고 있다. 컨트롤러 및 프로세서가 이와 같은 의무를 이행하기 위해서는 불가피하게 정보통신 및 보안 기술의 지원을 받지 않을 수 없다.

CCTV와 같은 각종 영상보안 시스템, 인터넷 및 이메일 모니터링 시스템, 개인정보 자동처리 시스템 등을 도입하기 위해서는 개인정보 영향평가를 받아야 한다. 따라서 이들 감시 장비들은 개인정보보호 관점에서 최소한의 개인정보를 처리하도록 설계·설치돼야 하고 개인정보를 안전하게 보호할 수 있는 보안기능이 필수적으로 내장돼야 한다. 이에 따라 앞으로는 비식별 기술이 내장된 CCTV의 EU 시장 개척이 더욱 유리해질 것이다.

▲이창범 동국대 겸임교수

이처럼 국내 기업들이 GDPR 환경 하에서 EU 국가의 기업들과 나란히 경쟁하기 위해서는 최대한 GDPR이 요구하고 있는 의무사항을 기술적으로 지원할 수 있는 기능을 내장해야 하고 이러한 기능들이 지속적으로 관리되고 향상될 것이라는 믿음을 담보해야 한다.

그렇지 못하면 국내 기업의 EU 진출은 어려워지고, EU 시민의 개인정보를 취급하고 다른 나라 기업이나 GDPR을 준수해야 하는 국내 기업들로부터도 외면을 받게 될 것이다. 국내 기업들이 GDPR이라는 절호의 기회를 시장 확대의 계기로 삼기를 바란다.
[글_ 이창범 동국대학교 경찰사법대학 겸임교수, 산업보안센터장(miso4all@naver.com)]
[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)