GDPR 대상 기업 5곳 심층 인터뷰 결과 분석해보니
GDPR에 대한 막연한 두려움에 정부의 적극적인 개입 요구

[보안뉴스 원병철 기자] 유럽의 개인정보보호법이라 불리는 GDPR의 유예기간이 이제 한 달도 채 남지 않은 가운데, 많은 기업들이 GDPR에 대비하는 것과 별개로 막연한 두려움을 갖고 있는 것으로 조사됐다. 한국인터넷진흥원(KISA)은 GDPR의 적용대상이 되는 500개 기업을 대상으로 대응상황을 조사하고, 그중 5개 기업은 심층 인터뷰를 진행했다고 밝혔다. 다만 기업의 이름은 발표하지 않았다.


심층 인터뷰를 진행한 곳은 온라인 사업자 3곳과 금융업 1곳, 제조업 1곳으로 평균 10명 이상의 개인정보보호 담당인력을 운영 중이었다. KISA 윤재석 개인정보협력팀장은 “EU에 진출한 모든 기업은 GDPR 관련 TF를 운영하면서 개인정보보호 예산(평균 40억)의 40%를 GDPR에 쏟고 있었다”고 설명했다.

특히, 이들 기업들은 모두 현지 로펌과의 계약을 진행하거나 계획을 세우고 있는 것으로 알려졌다. 이는 우선 GDPR이 법이기 때문이며, 동시에 EU 회원국별로 GDPR과 다른 개인정보 관련법이 있을 수 있어 해당 국가의 법에 정통한 해당 국가 로펌을 선호하기 때문이다.

금융업 A사
KISA가 심층 인터뷰를 진행한 첫 번째 사례는 대기업인 금융업 A사로, EU 내에 법인이 있어 적극적인 GDPR 대응이 필요했다. A사의 정보보호 인력은 총 100명이며, 이중 개인정보보호 전담인력은 20여명이었다. 또한, 정보보호 예산은 약 100억 원이며, 이중 개인정보보호 예산은 40억 원이었다.

A사는 EU 진출기업으로 해외시장에 적극적으로 진출하기 위한 계획을 세웠다. 이에 따라 EU 시민의 개인정보를 대규모로 수집(온라인 7 : 오프라인 3)할 계획을 세우고 있었다. 특히, 개인정보는 국내 서버를 기반으로 현지 사업체의 서버와 국내 인프라센터에서 처리할 계획이어서 대처방안이 필요했다.

2016년 말부터 GDPR 준비에 들어간 A사는 총 15억 원의 예산을 투자했으며, 개인정보보호 인력을 중심으로 신규 추가 채용과 전문가를 영입해 TF를 구성했다. 또한, EU 현지 로펌과 계약을 통해 해결방안을 마련하고 있으며, DPO의 경우 현지 로펌 대표를 활용하는 방안을 논의 중이다.

또한, GDPR과 관련한 비식별화 조치, 침해사고 발생 시 대응 프로세스 등을 정책에 반영하고, 개인정보 역외이전을 대비한 행동강령(침해사고 발생시 조치, 개인정보영향평가 등)도 준비하고 있다.

온라인 사업자 B사
온라인 사업을 진행하는 대기업 B사도 EU 내에 법인을 보유하고 있다. 전체 보안인력의 20%가 개인정보보호 전담인력이며, 전체 보안예산의 10%가 개인정보보호 예산으로 사용되고 있다. EU에 있는 자회사 법인이 있으며, EU 시민의 개인정보는 온라인으로 수집하고 있다. 다행이 현지 법인의 직원 개인정보는 현지에서 관리하고 있다.

대략 5년 전부터 GDPR 준비를 시작했으며, 거의 완료한 것으로 알려졌다. 기본적으로 개인정보보호 인력이 GDPR을 준비했고, 보안과 서비스, 기획과 변호사 등으로 이뤄진 TF를 운영했다.

특히, B사는 외부 컨설팅 없이 자체적으로 GDPR을 준비한 것으로 알려졌는데, GDPR을 지속적인 성장과 유지관리를 위해 꼭 필요한 것으로 보고 회사차원에서 추진했다고 한다. 이 때문에 GDPR 관련 전사교육은 물론 GDPR 정책을 각 조직에 배포해 적용하게 했다고 KISA 측은 설명했다.

온라인 서비스 C사
온라인 서비스를 하고 있는 대기업 C사 역시 EU에 법인을 보유하고 있다. 개인정보보호 전담인력은 2명이지만 보안업무와 겸업하는 인력이 4~5명 더 있는 상황이다. GDPR 준비는 3명이 맡고 있으며, 유럽 현황에 정통한 법무법인을 통해 대응하고 있다. GDPR 준비 예산으로 1억원을 편성했으며, 대부분 법무법인에 지급될 것으로 알려졌다.

C사는 EU 진출기업이긴 하지만 서비스 이용자는 대부분 한국 고객이며, GDPR 준비가 되면 개인정보 수집방안을 마련해 실행할 계획이다. 특히, 개인정보 역외이전 이슈에 대비해서는 대리인과 컨트롤러를 지정해서 EU 승인을 받는 표준계약서로 풀어나가는 방향을 고려하고 있다.

온라인 사업자 D사
B사와 같은 대기업 온라인 사업자인 D사는 정보보안팀에서 개인정보보호를 담당하고 있으며, 개인정보는 모두 온라인에서만 수집하고 있다. EU에 진출한 D사가 보유하고 있는 개인정보 규모는 약 150만 명으로 글로벌 서비스를 준비하고 있기 때문에 더 늘어날 가능성이 높다.

GDPR 준비는 지난 2017년 하반기에 착수해 실질적인 대응은 올해 상반기부터 진행됐다. EU 법인 내 GDPR 준비인력 1명과 서비스를 운영할 TF팀(개발과 보안인력으로 구성)을 조직했다. 또한, 현지 로펌을 통해 자문을 받고 있으며, C사와 마찬가지로 약 1억 원의 예산을 책정했다.

개인정보 역외이전과 관련해 현재 제공 중인 서비스 때문에 개인정보 수집을 중단하기 어려운 상황인데다, 현지 개인정보를 국내 법인이 관리차원에서 수집할 수 있어 대응방안을 모색하는 것이 필요한 상황이다.

제조업 E사
제조업을 하는 대기업 E사는 개인정보보호 조직을 별도로 운영하고 있으며, 전담인력도 10명에 달한다. IT 예산 1,000억 원 정보보호 예산은 5%(50억) 미만으로 높은 편이다. EU에서 수집하는 개인정보의 경우 통합적인 관리(현지 CS 대응 수준이나 사례 등)가 필요한 경우 본사에서 수집해서 GDPR 대응이 시급하다.

2016년부터 GDPR에 대응해 왔으며, GDPR 대응 TF팀을 구성하고 로펌과 계약해 대응하고 있다. 특히, 사내 개인정보보호 정책을 GDPR에 맞게 수정하고 배포했으며, EU 내 직원들을 대상으로 온·오프라인 교육을 모두 실시했다.

윤재석 개인정보협력팀장은 이번 조사를 통해 기업들이 점차 사내 정보보호 정책을 GDPR 기준에 맞게 전환하고 있지만, GDPR에 대한 막연한 두려움과 법률적 해석의 어려움 등으로 GDPR 대응을 힘들어하고 있다고 설명했다. 특히, 기업들은 GDPR 교육과 질의에 대해 신속하게 문의하고 상담할 수 있는 정부차원의 상담창구의 필요성을 제기하고 있다고 강조했다. 또한, 기업별로 개인정보 역외이전 이슈에 대해 준비하고 있지만, 국가 차원의 대응을 요구하는 상황이라고 설명했다.

한편, KISA는 EU 시장에 이미 진출했거나 의사가 있는 기업 500여 곳을 조사해 GDPR 대비 우리 기업의 준비현황과 향후 계획을 파악하겠다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>