Home > 전체기사
GDPR 시행 10개월, 7개의 주목할만한 변화들
  |  입력 : 2019-03-19 15:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한국CISO협의회 제91차 CISO포럼 개최...네이버 이진규 CISO/DPO GDPR 강연
GDPR 시행에 따른 여러 움직임들, 예상과는 달랐던 결과도 많아...EU 가이드 기다려야


[보안뉴스 원병철 기자] 유럽연합(EU)의 개인정보보호규정인 GDPR(General Data Protection Regulation)이 본격 시행된 지 벌써 10개월이 지났지만, 시행 초기 혼잡했던 상황과는 달리 지금은 소강상태를 보이고 있다. 하지만 유럽과 미국을 중심으로 GDPR은 고발과 조사 등 첨예한 대립을 보이고 있다.

▲한국CISO협의회 제91차 CISO포럼 모습[사진=보안뉴스]


국내 CISO 대표 단체인 한국CISO협의회(회장 최동근)는 19일 열린 ‘한국CISO협의회 제91차 CISO 포럼’에서 GDPR 발효 이후 국내외서 발생한 사건들을 통해 CISO 참고해야할 사항들을 정리하는 시간을 마련했다.

최동근 회장은 개회사에서 “지난 3월 초 세계보안엑스포 2019 개막식에 다녀왔는데, 외국인이 많은 것이 눈에 띄었다”면서, “그만큼 한국 보안제품의 성능이 세계인들에게 인정받고 있는 것이라고 생각한다”고 말문을 열었다.

▲개회사를 하는 최동근 한국CISO협의회 회장[사진=보안뉴스]

“곧 춘분인데, 춘분은 낮과 밤의 길이가 같은 것을 의미합니다. 우리 CISO들도 하는 일과 성과가 같았으면 좋겠습니다. 사고가 발생하면 성과가 물거품 되는 것이 안타깝습니다. 다만, 하늘은 견딜 만큼의 시련을 준다는 말이 있듯, 이 자리에 계시는 회원들이 겪으시는 일 또한 견딜 수 있는 일이며, 이러한 경험을 바탕으로 좋은 성과를 이룰 것이라고 생각합니다.”

이어 과기정통부 오용수 정보보호정책관이 인사말을 전했다. 오용수 정책관은 미국 샌프란시스코에서 열린 RSA 콘퍼런스에 다녀왔다면서 “미국에서 재난과 사이버위협에 있어 컨트롤타워가 단일화된 것이 가장 인상 깊었다”고 소감을 밝혔다. 아울러 “우리나라도 곧 5G 시대가 열리는데, 스마트시티와 자율주행차, 스마트홈 등 미래사회에 발생될 수많은 위협의 대비해야 한다”고 설명했다.

GDPR 시행 이후 발생한 7개의 주목할 만한 변화들
국내에서 GDPR 이슈에 가장 적극 대응하는 기업 중 한 곳인 네이버의 이진규 CISO 겸 DPO는 ‘GDPR의 적용 이후 발생한 사건들(After The Application of The GDPR)’이란 제목으로 그동안 발생했던 사건과 주요 이슈들을 소개했다. 아울러 이러한 일련의 사건들에서 우리 기업, CISO들이 주목할 점에 대해 설명했다.

우선, 이진규 CISO는 GDPR 적용 1개월 경과 시점에서 발생한 사건들을 소개하고, 과연 이 사건들이 지금까지도 유효한가를 설명했다. 첫 번째는 컴플레인(Complaints)의 폭주다. 오스트리아에서는 128건의 컴플레인과 500개의 질문이 접수됐으며, 프랑스에서는 전년대비 컴플레인이 50% 증가했다.

▲인사말을 전한 오용수 과기정통부 정보보호정책관[사진=보안뉴스]

두 번째는 일반적인 생각과는 반대로 구글(Google)과 페이스북(Facebook)의 지배력이 오히려 확대된 점이다. 이는 광고에서 확인할 수 있었는데, 구글은 1,200만 건의 DBM 광고 계약을 갱신했으며, EU 광고주의 95%가 구글에 광고를 집행했다. 이는 구글과 페이스북과 같은 대형 사이트만이 GDPR에 제대로 대응할 수 있을 것이라고 사람들이 판단한 결과로 보인다.

세 번째는 미국의 반발(the Inevitable US Pushback)이다. 특히, 미국 법집행기관의 반발이 있었는데, 그 이유는 GDPR이 글로벌 무역을 감소시키는 동시에 국제 법집행기관들의 정보공유에 장벽을 형성할 것이라는 판단 때문이었다.

네 번째는 EU 일부 회원국조차 GDPR 대응에 뒤쳐졌다는 점이다. 실제 12개 EU 회원국만이 GDPR 시행법(Implementation Law)을 채택했으며, 16개 회원국은 여전히 법률 입안중이다.

다섯 번째는 웹사이트 배너의 증가다. 이는 GDPR 적용 직전 기존의 동의를 재확인(Re-Confirm)하는 배너가 증가했기 때문이며, 나아가 현재는 쿠키(Cookie) 등의 배너가 뒤를 잇고 있다.

여섯 번째는 ‘Freemium’ 실험이 증가했다는 점이다. Freemium은 원래 기본 기능은 무료로 제공하되 고급 기능은 유료로 제공하는 가격전략을 말하지만, 여기서는 사용자의 ‘개인정보’를 제공하는 것에 동의하면 고급 기능을 제공하고 그렇지 않으면 기본 기능만 제공하는 것을 의미한다.

마지막 일곱 번째는 GDPR이 국가 수준의 글로벌 기준으로 자리 잡기 시작했다는 점이다. 일본과 아르헨티나, 캐나다와 한국 등 국가들은 GDPR에 맞춰 국내 법제를 개정했거나 개정하고 있다.

▲GDPR 강연을 진행한 이진규 네이버 CISO/DPO[사진=보안뉴스]

예상했던 다양한 컴플레인 발생...DPO 내부 임명 등 예상과 다른 결과도 보여
이러한 7개의 변화 중 실제로 실현된 사건들도 많았다. 먼저 다양한 컴플레인이 발생했다. 프라이버시 단체 ‘noyb’를 이끌고 있는 맥스 슈램(Max Schrems)은 GDPR 시행 48분 만에 바로 구글을 고발했는데, 크게 두 가지를 문제 삼았다. 첫 번째는 동의방식의 문제로, 이용자가 이용약관(Tems of Service)에 동의하는 경우 여기에 포함된 개인정보의 처리(Privacy Policy)까지 동의하는 구조와 스마트폰의 다양한 센서로 인해 수집되는 정보에 민감정보가 포함되는 것을 지적했다. 두 번째는 구글이 스마트폰 OS 시장의 85%를 점유함으로써 정보주체의 선택권이 제한되는 것을 문제 삼았다. 맥스 슈램은 요청사항으로 개인정보 처리 활동 금지와 효과적인 벌금의 부과를 내세웠다.

프랑스의 Digital Rights 단체인 ‘La Quadrature du Net(LQDN)도 구글, 페이스북, 애플, 아마존, 링크드인 등 5개 기업을 대상으로 컴플레인을 접수했는데, 무엇보다 중요한 것은 LQDN이 다른 기관이나 사람들이 자신들이 만든 컴플레인(양식)을 자유롭게 복사해 고발에 활용할 수 있도록 했다는 점이다. 실제로 LQDN의 양식 공개이후 컴플레인이 엄청나게 늘었다고 이진규 CISO는 설명했다.

이어 2018년 10월에는 포르투갈에서 최초의 GDPR 벌금이 부과됐다. 포르투갈 DPA(CNPD)가 The Hospital do Barreiro라는 병원을 대상으로 40만 유로(한화 약 5억원)의 벌금을 부과했는데, 의사만 접근 가능한 임상정보 저장소에 내부 직원들 계정도 생성되어 접근이 가능한 문제를 지적했다. 문제는 병원에서 조사에 비협조적으로 나오면서 벌금이 높아진 역효과를 냈다는 점이다. 이진규 CISO는 이번 사건을 통해 GDPR 조사에 대한 협조가 중요함을 알 수 있다고 설명했다.

“일부 기업에서는 유럽 IP를 차단해 아예 GDPR과 연관되는 것을 막는 경우도 있는데, 이는 EU 시민들에 대한 차별적 행위로 판단될 가능성이 있습니다. EU에서 GDPR과 관련된 가이드가 계속해서 나오는 만큼 관련 기업과 CISO들은 조금 더 생각하고 준비하셔야 할 것입니다. 또한, 기대와 다른 변화도 있는데, 예를 들면 DPO를 보통 외부에서 지정할 것으로 예상됐는데 실제 조사에 따르면 내부에서 DPO를 지정한 곳이 91%, 외부에서 DPO를 지정한 곳이 9%에 불과했습니다.”

네이버 역시 이진규 CISO가 DPO를 겸직하고 있으며, 기존 개인정보보호팀과 법무팀이 별도의 긴급대응반을 꾸리고 현지의 법무법인과의 계약을 통해 현장 대응을 강화했다고 설명했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향