Home > 전체기사
프랑스서 영상 감시와 관련된 첫 GDPR 벌금형 내려지다
  |  입력 : 2019-08-12 17:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
프랑스, 원래 영상 감시에 민감한 나라였으나 실제 법 집행은 저조
한 번역 회사, 직원들을 감시해오고 시정 명령 무시해 2만 유로 벌금


[보안뉴스 문가용 기자] 프랑스에서 한 작은 기업이 GDPR 감독기구인 CNIL로부터 꽤나 큰 GDPR 벌금형을 받았다. 직원들의 행동을 영상으로 감시해왔으며, 그 사실을 당사자들에게 알리지도 않았으며, 심지어 암호화 기술도 적용하지 않은 채 자료를 보관해왔기 때문이다. 영상 감시 문제로 인해 발생한 첫 GDPR 벌금이라는 점에서 이목을 끌고 있다.

[이미지 = iclickart]


사실 프랑스에서는 GDPR 이전부터 유독 영상 감시에 관한 규정이 엄격했었다. 공공재가 촬영되는 곳에 개인용 카메라를 설치하는 게 무조건적으로 금지된 곳, 회사에 의한 직원들의 감시가 금지된 곳이 바로 프랑스다. 유럽 국가 중에서도 영상 감시에 민감하게 반응했던 나라에서, GDPR 첫 영상 감시 관련 벌금형이 나온 것은 우연이 아니다.

그러나 법이 매우 엄격했음에도 실제로 영상 감시와 관련된 규정에 의거한 판결이 집행된 사례는 그리 많지 않았다. GDPR이 시행되기 전인 2017년 한 해 동안 영상 감시 규정 위반으로 벌금형을 받은 회사는 단 하나였다. 벌금도 1000유로, 즉 1100달러 정도에 그쳤다. 2018년에는 단 한 곳도 영상 감시 규정 위반으로 유죄 판결을 받지 않았다.

심지어 이번 GDPR 판결을 내린 CNIL은 민원이 제기가 되어야만 조사를 시작하는 것을 방침으로 삼아온 기관이었다. 능동적으로 문제점을 찾아서 해결하는 곳이 아니었다는 것이다. 그렇기 때문에 유독 영상 감시에 민감했던 프랑스에서도 이번 GDPR 판결은 꽤나 충격적일 수 있다.

이 영광스러운(?) 업적을 기록한 회사의 이름은 파리의 번역 전문 회사인 유니옹트라(Uniontrad)다. 9명으로 구성된 작은 규모의 회사다. 2017년 총 수익이 100만 달러였으며, 영업 손실은 11만 달러였다. CNIL에 의하면 “유니옹트라에서 직원 감시에 대한 제보가 2013년부터 8차례나 접수됐고, 이에 조사를 시작했다”고 한다. “회사로 직접 문의를 보냈지만 아무런 답장이 없었습니다.”

CNIL의 첫 번째 수사는 2018년 2월에 시작됐다. 이 때 다음과 같은 사실을 밝혀낼 수 있었다.
1) 여섯 개의 책상과 한 개의 장을 촬영할 수 있는 카메라가 한 대 있었다. 이 카메라에 대해 직원들은 아무런 통보를 받지 못했다.
2) 촬영된 영상은 회사 내규에 명시된 것보다 긴 시간 동안 저장됐다.
3) 회사의 정보와 이메일 편지함을 안전하게 보호하기 위한 장치가 무용지물이었다.

같은 해 7월 CNIL은 위의 문제들을 전부 해결하라고 시정 명령을 내렸다. 기한은 두 달. 유니옹트라는 9월에 ‘모든 문제가 해결됐다’는 내용의 편지를 CNIL로 보냈고, 이에 CNIL은 10월에 확인을 위한 수사를 시작했다. 그리고 다음과 같은 사실을 추가로 발견했다.

1) 직원들을 촬영하던 카메라는 여전히 같은 작업을 수행하고 있었다. 2월의 수사에서 아무런 변화가 없었다.
2) 영상 감시와 관련된 정보는 여전히 직원들에게 통보되지 않았다. 원래는 촬영과 저장의 목적, 기간, 담당자가 명시되어야 했다
3) 비밀번호를 반드시 사용하라는 정책은 도입되지 않았다. 직원들 그 누구도 회사 컴퓨터에 비밀번호를 걸어두지 않고 있었다.

유니옹트라는 “보안 카메라에 마스킹 테이프를 붙였고, 촬영 중이라는 안내판을 달았으며, 비밀번호 정책을 수립했으므로 법을 어기지 않은 것”이라고 주장했다. 그러나 이러한 주장을 접수한 CNIL이 조사했을 때, 문제의 카메라로 한 개의 책상이 꾸준하게 촬영되고 있었다. 게다가 시정 기한 두 달을 주었음에도 아무런 변화가 없었고, 사실상 감독 기관의 명령을 무시한 것이므로 뒤늦은 조치를 취했어도 벌금형은 피할 수 없었다고 CNIL은 설명했다.

CNIL은 “유니옹트라가 다음 네 가지 GDPR 조항들을 위반했다”고 말했다.
1) 5조 1항 : 개인정보의 수집과 처리는 항상 목적에 부합하고, 목적 안에서만 이뤄져야 한다. 이른 바 데이터 최소화의 법칙.
2) 12조 : 정보 주체의 권리를 행사함에 있어 정보, 통신, 양상의 투명성이 지켜져야 한다.
3) 13조 : 개인정보를 수집할 때는 정보의 주체에게 해당 사실을 알려야 한다.
4) 32조 : 데이터를 처리하는 과정 중, 데이터 보호가 끊임없이 이뤄져야 한다.

GDPR 83조에 의거했을 때 유니옹트라에는 최대 2천만 유로(약 2250만 달러) 혹은 총 수익의 4%에 달하는 벌금형 중 높은 것으로 내려질 수 있었다. 처음에는 75000 유로(약 85000 달러)를 생각했었다고 한다. 이는 규모에 비해 파격적으로 높은 금액으로, CNIL은 “유니옹트라로부터 사실상의 협조나 시정 노력을 전혀 발견할 수 없었다”고 발표했다.

그러나 유니옹트라는 “GDPR 83조에 명시된 것과 같은 적절한 금액이 아니”라고 주장했으며, CNIL도 이를 받아들였다. 그리고 최종 벌금을 2만 유로(약 22500 달러)로 대폭 낮췄다. 대신 이 사건을 일반 대중에게 공개한다는 내용이 덧붙었다. 보도로만 소식을 접하면 2만 유로가 그리 크지 않은 금액일 수 있지만, 유니옹트라와 같은 작은 규모의 회사에는 치명적일 수 있다.

2만 달러는 CNIL이 2011년부터 집행해온 영상 감시 관련 벌금형 중 가장 높은 금액이라고 한다. 그러나 프랑스 여러 매체들은 “유니옹트라에 기회는 충분히 있었다”고 분석하는 편이다. 첫 조사 후 두 달 동안 CNIL이 요구한 대로 조치를 취했더라면 벌금이 이렇게까지 커지지 않았을 거라는 것이다. 그러므로 GDPR이 아직은 ‘계도 기간’에 있는 것이라는 이야기들이 나오고 있다.

영상 감시 전문 매체인 IPVM은 CNIL에 직접적으로 “이제 영상 감시 분야에 대한 규정 시행 강도를 높이는 것인가”라고 물었다고 보도했으며, “아니다”라는 답장을 받았다고 기사에 명시했다.

3줄 요약
1. 프랑스의 한 번역 회사, 직원들을 영상으로 감시하다가 GDPR 감독기관에 걸림.
2. CNIL은 첫 조사 후 두 달의 기간을 주며 시정하라고 명령. 그러나 번역 회사는 무시.
3. 이에 CNIL은 2만 유로라는 벌금형을 내림. 원래는 75000 유로였지만 회사 규모가 작아 깎아준 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향