유럽 일반 개인정보보호법(GDPR) 대비 위해선 데이터 거버넌스 체계 마련해야

[보안뉴스= 박경동 베리타스코리아 글로벌 서비스 상무] 전 세계 개인정보보호법 중 가장 포괄적이며 제재 강도가 높은 법으로 꼽히고 있는 ‘유럽 일반 개인정보보호법(GDPR: General Data Protection Regulation)’이 2018년 5월 25일 시행을 앞두고 있다.


유럽연합(EU)이 회원국 국민의 개인정보보호 권리를 강화하기 위해 제정한 GDPR은 EU 거주 시민의 개인정보를 처리하는 모든 개인정보 처리자에게 적용되며, 기존 개인정보보호 지침과 달리 그 자체로 EU의 모든 회원국들에게 직접적인 법적 구속력을 가진다는 측면에서 시행에 따른 영향이 매우 클 것으로 보인다.

특히, EU 내 사업장이 있는 기업뿐만 아니라 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등 정보주체의 행동을 모니터링하는 기업까지 포함되기 때문에 EU 시장을 대상으로 비즈니스를 계획하는 우리 기업들도 예외가 아니다.

GDPR은 신용카드, 금융 및 의료 정보를 포함한 개인정보가 저장되거나 이전되는 위치 및 방법, 정보에 접근할 시 적용되는 정책 및 감사에 관한 철저한 관리감독을 요구한다. 특히, 개인정보 처리 원칙, 동의요건, 국외이전 등과 관련해서 규정을 심각하게 위반했을 경우에는 최대 2천만 유로(한화 약 245억 원) 또는 전 세계 연간 매출액의 4% 중 높은 금액으로, 그 외의 일반적인 위반의 경우에는 전 세계 연간 매출액의 2% 또는 1천만 유로 중 높은 금액으로 과징금을 부과 받게 되는 등 엄중한 처벌을 받게 되기 때문에 기업들은 GDPR 시행에 맞춰 대비할 수 있어야 한다.

GDPR에 따르면 기업은 개인정보 처리 활동에 대한 문서 기록을 보관하고 감사 등 컴플라이언스를 입증할 수 있는 방법을 마련해야 하며, 개인정보는 본래 데이터를 수집한 목적에 필요한 기간을 초과하여 보관할 수 없다. 그리고 정보주체의 권리가 강화되어 개인정보를 보관해야 할 합당한 이유가 없을 경우, 정보주체는 해당 데이터의 삭제 또는 제거를 요청할 수 있다. 또한, 기업은 개인정보 침해인지 후 72시간 이내에 감독기구에 보고해야 하며, 정보주체에게도 지체 없이 알려야 한다.

베리타스가 한국을 포함한 전 세계 기업 비즈니스 의사결정권자들을 대상으로 GDPR 대비 현황에 대해 조사한 ‘베리타스 2017 GDPR 보고서’에 따르면, 국내 응답자의 61%가 기한 내 GDPR 규정 준수를 위한 대비를 마칠 수 있을지에 대해 우려하고 있는 것으로 나타났다. 또한, 국내 응답자의 93%가 GDPR을 준수하지 않을 경우 비즈니스에 심각한 악영향을 미칠 수 있다고 응답했으며, 13%는 비즈니스 중단에 이를 수 있을 것으로 본다고 답했다.

GDPR 미준수로 인해 발생할 수 있는 부정적인 결과에 대해서는 국내 응답자 중 23%가 GDPR 위반으로 인한 과징금 징수가 인원 감축과 잠재적 정리 해고로 이어질 수 있다고 답했다. 또한, 21%는 미디어 및 SNS 상의 부정적인 노출로 인해 고객을 잃을 수 있다고 우려했고, 18%는 브랜드 가치가 하락할 것이라고 응답해 GDPR 위반 사실이 외부에 공개될 경우 브랜드 이미지에 미칠 부정적인 영향에 대해 우려를 나타냈다.

GDPR이 제시하고 있는 수많은 새로운 규정과 요건에 대응하기 위해서는 어떻게 대비해야 할까? 기업들은 GDPR의 주요 원칙을 고려한 보다 효과적인 데이터 관리 및 데이터 거버넌스 체계를 마련할 필요가 있다.

기업들은 GDPR 진단 컨설팅을 통해 각 기업의 GDPR 대비 현황을 점검하고 기존 프로세스를 보완 및 개선해 나가야 한다. 또한, GDPR 규정에 따라 기업들은 개인정보에 대한 △위치 파악 △검색 △최소화 △보호 △모니터링 역량을 갖출 수 있도록 대비해야 한다.

첫째, 개인정보의 위치를 파악할 수 있어야 한다. GDPR 준수의 중요한 첫 단계는 기업이 보유한 모든 개인정보가 어디에 위치해 있는지 종합적으로 파악하는 것이다. 모든 개인정보가 어디에 저장되고 누가 접근할 수 있으며 얼마나 보존되는지, 어디로 이동되는지에 대한 데이터 맵을 구축하는 것은 기업이 어떻게 개인정보를 처리하고 관리하는지 이해하는데 필수적이다.

둘째, 개인정보를 손쉽게 검색할 수 있어야 한다. EU 거주시민은 본인 정보 접근 요청(Subject Access Request, SAR)을 제출함으로써 기업이 보유 중인 본인의 모든 개인정보 조회를 요청할 수 있다. 또한, 사실이 아닌 개인정보에 대한 수정, 이동 혹은 삭제를 요청할 수 있다. 기업은 이러한 개인의 요청을 시의 적절하게 처리하지 못할 시 GDPR에 의거해 처벌받을 수 있다.

셋째, 보유하는 개인정보의 양을 최소화해야 한다. GDPR의 주요 원칙 중 하나인 데이터 최소화는 기업이 저장된 개인정보의 전체 양을 줄이는데 있다. 이를 실현하기 위해서는 원래 의도한 목적에 부합하는 기간 동안만 개인정보를 보관해야 한다. 시간이 지나면 데이터가 자동 만료되는 보존 정책을 수립하고 시행하는 전략이 필요하다.

넷째, 개인정보 손실, 손상 및 유출을 방지 위한 적합한 데이터 보호 툴을 갖춰야 한다. GDPR에 따라 기업은 모든 데이터 수집 및 처리 활동에 있어 데이터 보호를 염두에 두고 통합했음을 입증할 수 있는 기술적 및 조직적 방안을 시행해야 하는 일반적인 의무를 지닌다.

다섯째, 실시간 개인정보 모니터링이 필요하다. GDPR은 모든 기업이 특정 유형의 데이터 침해를 감독 당국과 경우에 따라서는 정보주체에게 보고하는 의무를 명시하고 있다. 따라서 기업은 예기치 못하거나 특이한 파일 접근 패턴 등의 침해 움직임이 있는지 감시하고 신속한 보고 절차를 갖춰야 한다.

선도적인 비즈니스 리더들은 이미 주요 이해관계자, 담당 부서, 비즈니스 기능을 연계해 프로세스, 정책, 절차를 전반적으로 검토하고 GDPR 규정에 맞게 재정비하는 작업을 추진하고 있다. GDPR에서 요구하는 개인정보에 대한 가시성 및 제어 기능을 강화함으로써 과징금이나 그 외의 법적 처분, 기업 명성 및 브랜드 이미지 실추와 같은 잠재적인 컴플라이언스 리스크를 완화할 수 있다.

더 나아가 정보 거버넌스에 대한 통합적인 관리체계를 갖춤으로써 방대한 비정형 데이터를 가용성 및 편의성을 보유한 정보 자산으로 바꾸고 스토리지를 최적화해 비용은 줄이고 효율성을 높이며 리스크 및 컴플라이언스 현황을 정확하게 파악할 수 있다. 이처럼 기업들은 능동적인 GDPR 대응을 통해 개인정보보호뿐만 아니라 비즈니스 민첩성을 높이고 IT 혁신을 이뤄나가는 기회로 삼아야 할 것으로 보인다.
[글_ 박경동 베리타스코리아 글로벌 서비스 상무]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>