GDPR 시행 10개월, 7개의 주목할만한 변화들

한국CISO협의회 제91차 CISO포럼 개최...네이버 이진규 CISO/DPO GDPR 강연
GDPR 시행에 따른 여러 움직임들, 예상과는 달랐던 결과도 많아...EU 가이드 기다려야

[보안뉴스 원병철 기자] 유럽연합(EU)의 개인정보보호규정인 GDPR(General Data Protection Regulation)이 본격 시행된 지 벌써 10개월이 지났지만, 시행 초기 혼잡했던 상황과는 달리 지금은 소강상태를 보이고 있다. 하지만 유럽과 미국을 중심으로 GDPR은 고발과 조사 등 첨예한 대립을 보이고 있다.

▲한국CISO협의회 제91차 CISO포럼 모습[사진=보안뉴스]

국내 CISO 대표 단체인 한국CISO협의회(회장 최동근)는 19일 열린 ‘한국CISO협의회 제91차 CISO 포럼’에서 GDPR 발효 이후 국내외서 발생한 사건들을 통해 CISO 참고해야할 사항들을 정리하는 시간을 마련했다.

최동근 회장은 개회사에서 “지난 3월 초 세계보안엑스포 2019 개막식에 다녀왔는데, 외국인이 많은 것이 눈에 띄었다”면서, “그만큼 한국 보안제품의 성능이 세계인들에게 인정받고 있는 것이라고 생각한다”고 말문을 열었다.

▲개회사를 하는 최동근 한국CISO협의회 회장[사진=보안뉴스]

“곧 춘분인데, 춘분은 낮과 밤의 길이가 같은 것을 의미합니다. 우리 CISO들도 하는 일과 성과가 같았으면 좋겠습니다. 사고가 발생하면 성과가 물거품 되는 것이 안타깝습니다. 다만, 하늘은 견딜 만큼의 시련을 준다는 말이 있듯, 이 자리에 계시는 회원들이 겪으시는 일 또한 견딜 수 있는 일이며, 이러한 경험을 바탕으로 좋은 성과를 이룰 것이라고 생각합니다.”

이어 과기정통부 오용수 정보보호정책관이 인사말을 전했다. 오용수 정책관은 미국 샌프란시스코에서 열린 RSA 콘퍼런스에 다녀왔다면서 “미국에서 재난과 사이버위협에 있어 컨트롤타워가 단일화된 것이 가장 인상 깊었다”고 소감을 밝혔다. 아울러 “우리나라도 곧 5G 시대가 열리는데, 스마트시티와 자율주행차, 스마트홈 등 미래사회에 발생될 수많은 위협의 대비해야 한다”고 설명했다.

GDPR 시행 이후 발생한 7개의 주목할 만한 변화들
국내에서 GDPR 이슈에 가장 적극 대응하는 기업 중 한 곳인 네이버의 이진규 CISO 겸 DPO는 ‘GDPR의 적용 이후 발생한 사건들(After The Application of The GDPR)’이란 제목으로 그동안 발생했던 사건과 주요 이슈들을 소개했다. 아울러 이러한 일련의 사건들에서 우리 기업, CISO들이 주목할 점에 대해 설명했다.

우선, 이진규 CISO는 GDPR 적용 1개월 경과 시점에서 발생한 사건들을 소개하고, 과연 이 사건들이 지금까지도 유효한가를 설명했다. 첫 번째는 컴플레인(Complaints)의 폭주다. 오스트리아에서는 128건의 컴플레인과 500개의 질문이 접수됐으며, 프랑스에서는 전년대비 컴플레인이 50% 증가했다.

▲인사말을 전한 오용수 과기정통부 정보보호정책관[사진=보안뉴스]

두 번째는 일반적인 생각과는 반대로 구글(Google)과 페이스북(Facebook)의 지배력이 오히려 확대된 점이다. 이는 광고에서 확인할 수 있었는데, 구글은 1,200만 건의 DBM 광고 계약을 갱신했으며, EU 광고주의 95%가 구글에 광고를 집행했다. 이는 구글과 페이스북과 같은 대형 사이트만이 GDPR에 제대로 대응할 수 있을 것이라고 사람들이 판단한 결과로 보인다.

세 번째는 미국의 반발(the Inevitable US Pushback)이다. 특히, 미국 법집행기관의 반발이 있었는데, 그 이유는 GDPR이 글로벌 무역을 감소시키는 동시에 국제 법집행기관들의 정보공유에 장벽을 형성할 것이라는 판단 때문이었다.

네 번째는 EU 일부 회원국조차 GDPR 대응에 뒤쳐졌다는 점이다. 실제 12개 EU 회원국만이 GDPR 시행법(Implementation Law)을 채택했으며, 16개 회원국은 여전히 법률 입안중이다.

다섯 번째는 웹사이트 배너의 증가다. 이는 GDPR 적용 직전 기존의 동의를 재확인(Re-Confirm)하는 배너가 증가했기 때문이며, 나아가 현재는 쿠키(Cookie) 등의 배너가 뒤를 잇고 있다.

여섯 번째는 ‘Freemium’ 실험이 증가했다는 점이다. Freemium은 원래 기본 기능은 무료로 제공하되 고급 기능은 유료로 제공하는 가격전략을 말하지만, 여기서는 사용자의 ‘개인정보’를 제공하는 것에 동의하면 고급 기능을 제공하고 그렇지 않으면 기본 기능만 제공하는 것을 의미한다.

마지막 일곱 번째는 GDPR이 국가 수준의 글로벌 기준으로 자리 잡기 시작했다는 점이다. 일본과 아르헨티나, 캐나다와 한국 등 국가들은 GDPR에 맞춰 국내 법제를 개정했거나 개정하고 있다.

▲GDPR 강연을 진행한 이진규 네이버 CISO/DPO[사진=보안뉴스]

예상했던 다양한 컴플레인 발생...DPO 내부 임명 등 예상과 다른 결과도 보여
이러한 7개의 변화 중 실제로 실현된 사건들도 많았다. 먼저 다양한 컴플레인이 발생했다. 프라이버시 단체 ‘noyb’를 이끌고 있는 맥스 슈램(Max Schrems)은 GDPR 시행 48분 만에 바로 구글을 고발했는데, 크게 두 가지를 문제 삼았다. 첫 번째는 동의방식의 문제로, 이용자가 이용약관(Tems of Service)에 동의하는 경우 여기에 포함된 개인정보의 처리(Privacy Policy)까지 동의하는 구조와 스마트폰의 다양한 센서로 인해 수집되는 정보에 민감정보가 포함되는 것을 지적했다. 두 번째는 구글이 스마트폰 OS 시장의 85%를 점유함으로써 정보주체의 선택권이 제한되는 것을 문제 삼았다. 맥스 슈램은 요청사항으로 개인정보 처리 활동 금지와 효과적인 벌금의 부과를 내세웠다.

프랑스의 Digital Rights 단체인 ‘La Quadrature du Net(LQDN)도 구글, 페이스북, 애플, 아마존, 링크드인 등 5개 기업을 대상으로 컴플레인을 접수했는데, 무엇보다 중요한 것은 LQDN이 다른 기관이나 사람들이 자신들이 만든 컴플레인(양식)을 자유롭게 복사해 고발에 활용할 수 있도록 했다는 점이다. 실제로 LQDN의 양식 공개이후 컴플레인이 엄청나게 늘었다고 이진규 CISO는 설명했다.

이어 2018년 10월에는 포르투갈에서 최초의 GDPR 벌금이 부과됐다. 포르투갈 DPA(CNPD)가 The Hospital do Barreiro라는 병원을 대상으로 40만 유로(한화 약 5억원)의 벌금을 부과했는데, 의사만 접근 가능한 임상정보 저장소에 내부 직원들 계정도 생성되어 접근이 가능한 문제를 지적했다. 문제는 병원에서 조사에 비협조적으로 나오면서 벌금이 높아진 역효과를 냈다는 점이다. 이진규 CISO는 이번 사건을 통해 GDPR 조사에 대한 협조가 중요함을 알 수 있다고 설명했다.

“일부 기업에서는 유럽 IP를 차단해 아예 GDPR과 연관되는 것을 막는 경우도 있는데, 이는 EU 시민들에 대한 차별적 행위로 판단될 가능성이 있습니다. EU에서 GDPR과 관련된 가이드가 계속해서 나오는 만큼 관련 기업과 CISO들은 조금 더 생각하고 준비하셔야 할 것입니다. 또한, 기대와 다른 변화도 있는데, 예를 들면 DPO를 보통 외부에서 지정할 것으로 예상됐는데 실제 조사에 따르면 내부에서 DPO를 지정한 곳이 91%, 외부에서 DPO를 지정한 곳이 9%에 불과했습니다.”

네이버 역시 이진규 CISO가 DPO를 겸직하고 있으며, 기존 개인정보보호팀과 법무팀이 별도의 긴급대응반을 꾸리고 현지의 법무법인과의 계약을 통해 현장 대응을 강화했다고 설명했다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)