B2B는 임직원 정보 관리에 주목...B2C는 개보법에 없는 내용 우선 대응해야
GDPR 대응 컨설팅, 리스크가 큰 항목부터 하나씩 해결해야

[보안뉴스 원병철 기자] 유럽의 개인정보보호법이라 불리는 GDPR이 시행(5월 25일) 한 달여를 앞두고 있다. 유럽에 거주하는 사람들의 개인정보를 보유하고 활용하는 기업이라면 모두 저촉되는 GDPR은 위반시 벌금 2,000만 유로(약 263억 원대)나 해외 매출의 4%(예를 들면, 삼성전자의 올해 매출 240조 중 해외매출을 대략 80%로 잡으면 약 192조가 나오며, 여기서 4%를 산정하면 약 7조 6,000억 원이 나온다) 중 높은 금액을 과징금으로 부과할 수 있어 높은 관심을 받고 있다.


일각에서는 GDPR의 경우 유럽이 미국 등에 뒤지는 ICT 산업을 강화하기 위한 방안이며, 공포 마케팅일 뿐이라고 폄하하기도 하지만, 부과되는 과징금이 너무 커서 기업의 안위까지 흔들릴 수 있기 때문에 대책을 마련하는 것이 시급하다는 게 전반적인 평가다.

하지만 몇몇 대기업과 글로벌 기업을 제외하고는 아직 제대로 대등방안을 찾지 못하고 있는 것도 사실이다. 특히, GDPR이 유예기간을 거쳐 이제 막 시행하는 것인 만큼 EU 기업들도 명확한 대응을 보여주지 못하고 있으며, 국내 관련부처들도 지난해 들어서야 본격 대응하고 있기 때문이다.

이와 관련 GDPR 컨설팅을 하고 있는 SK인포섹 측은 “GDPR이 국내와 달리 포괄적이어서 구체적인 대응을 하기 어렵다”고 어려움을 토로했다. 특히, SK인포섹 서비스사업혁신팀 성경원 팀장은 “GDPR은 전문 173조, 본문 99조 등 내용도 방대할 뿐만 아니라 법체계도 국내와 달라서 어려운 점이 많다”며 “다행히 국내 개보법과 상이하지는 않아 글로벌 로펌과의 협업 등을 통해 적극 대응하고 있다”고 설명했다.

B2B 기업들을 위한 GDPR 대책
기업들이 GDPR에 대응하기 위해서는 가장 먼저 우리가 GDPR에 포함되는지를 알아볼 필요가 있다. B2B 기업의 경우 별도의 소비자 개인정보를 수집하는 경우가 없기 때문에 유럽에 자회사가 있는지, 관계사가 있는지를 먼저 확인해야 한다.

유럽에 자회사나 관계사가 있다면, 관련 임직원들의 개인정보가 어디에서 처리되는지를 확인해야 한다. 개인정보가 유럽 내부에서 처리되면 규정에 따른 철저한 관리감독만 하면 큰 문제는 없다. 하지만 이 정보가 한국에 있는 본사에서 처리된다면 이야기가 달라진다.

해외 임직원 정보가 국내에 유입되어 처리되면 ‘국외이전’이 되는데, 이러한 국외이전 이슈는 문제가 생길 경우 최고 수준의 과태료를 맞을 수 있는 항목이기 때문에 제일 조심해야 한다는 지적이다. 이 때문에 정말 부득이한 사항이 아니라면 가능한 한 해당 국가에서만 다루는 것이 제일 좋으며, 그렇지 못할 경우에는 EU가 인정하는 표준 계약을 통해 국외이전 이슈를 해소하는 것이 좋다.

B2C 기업들을 위한 GDPR 대책
소비자 혹은 이용자를 상대로 하는 B2C 기업의 경우 B2B 기업보다 좀 더 꼼꼼히 대응해야 한다. 관리하는 개인정보의 수가 기하급수적으로 증가하기 때문이다. 또한, 정보주체의 권리보장 차원에서 정보 열람권, 삭제권, 이동권, 반대할 권리 등에도 대응할 수 있어야 한다.

특히, 개인정보 이동권은 기존 국내에 없던 권리로, 기업 입장에서는 고객을 잃는 것과 같지만, 이 또한 철저히 준비해야 한다. 쉽게 예를 들면, 네이버의 고객이 다음에 가입하고 싶다며 네이버에 저장된 자신의 개인정보를 다음에 넘겨달라고 요청하면, 네이버는 특별한 사정이 없는 한 1달 이내에 고객의 개인정보를 다음에 넘겨줘야 한다.

게임이나 쇼핑몰에서 마케팅을 위해 고객 프로파일링(맞춤형 서비스를 위한 자동화된 고객 개인정보 속성 분석)을 한 기업은 고객이 원하지 않을 경우 자동화된 정보를 모두 삭제해야 하는 어려움도 있을 수 있다.

공통적으로 주목해야할 대책
B2B나 B2C에 관계없이 주의할 사항을 살펴보자. 우선, GDPR에 저촉되는 기업들은 무조건 GDPR에만 초점을 맞추지 말고, 해당 국가에도 주목해야 한다는 점이다. 사실 GDPR은 일반적인 사항이기 때문에 EU 소속 국가별로 관련법이 더 강할 수도 있다는 점을 주의해야 한다. 예를 들면, 같은 내용을 담고 있는 법이라 할지라도 GDPR과 독일의 법이 세부 요건 등에서 차이가 날 수 있다. 해당 국가의 법이 더 쉬울 수도 있고, 반대로 더 어려울 수도 있다.

또한, 실제 개인정보 유출사고나 정보주체의 침해신고 등이 발생할 경우 각 EU 소속 국가별로 대응할 필요는 없다. 국가별로 있는 ‘선임감독기구’ 중 1곳을 선택해 대응할 수 있기 때문이다. 성경원 팀장은 “국가별로 개인정보에 대한 시각이 달라 미묘한 차이가 있을 것”이라면서, “이 때문에 어느 국가의 선임감독기구를 선택하느냐도 중요한 이슈가 될 것”이라고 설명했다.

“궁극적으로는 컨설팅을 넘어서 GDPR 대응을 위한 시스템이 만들어져야만 한다고 생각합니다. 4차 산업혁명의 시대를 맞아 개인정보 활용이 중요해진 이 때, 이를 제대로 관리하고 보호할 수 있어야만 기업과 기관이 더 발전할 수 있다고 봅니다.”

변화하는 시대에 GDPR을 넘어 개인정보 관리와 보호를 위한 체계적인 시스템이 갖춰진다면 시장을 넘어 시대를 리딩할 기업과 기관으로 성장할 것이라는 성경원 팀장은 이번 GDPR을 시작으로 하나씩 대응하는 것이 중요하다고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>