• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

EU GDPR 시행, 국내 기업에 리스크이자 기회 2018.06.18

우리 기업들의 제품·서비스에 ‘Privacy by Design’ 내재화하는 계기가 됐으면

[보안뉴스= 정현철 한국인터넷진흥원 개인정보보호본부장] 유럽연합(EU)의 일반 개인정보보호법(GDPR : General Data Protection Regulation)이 지난 5월 25일 시행됐다. GDPR은 EU 회원국뿐만 아니라, EU 시민에게 재화나 서비스를 제공하는 기업이라면 그 사업장의 위치가 EU 지역이 아니라 할지라도 효력을 미치게 된다.

[사진=dreamstime]


GDPR은 법 준수 강제를 위해 강력한 무기를 장착했는데 바로 이 법을 위반하는 경우에 전례없이 무겁게 부과되는 과징금이 그것이다. 규정에 따라 많게는 전 세계 매출액 대비 4% 또는 2,000만유로 중 높은 금액을 과징금으로 부과할 수 있다. 이런 이유로 EU 시장에 진출했거나 진출을 꾀하는 세계 각국의 기업들은 GDPR을 큰 리스크로 받아들이고 있고 대응책을 마련하기 위한 노력을 집중하고 있다.

특히, 물리보안 제품이나 서비스는 개인의 영상정보나 생체정보를 처리하고, 민감한 개인정보를 다루는 경우가 많다. 이에 영상보안, 생체인식 등을 다루는 물리보안업체도 GDPR을 명확히 이해하고, 어떻게 대응할 것인지 관심을 가져야 한다. EU 회원국을 대상으로 제품수출 혹은 서비스를 제공하는 기업이라면, GDPR의 요구사항(위반해서는 안 될 사항)을 확인·분석해 글로벌 규범의 시행에 따른 리스크를 최소화해야 한다.

다시 말해 GDPR이 요구하는 보안사항을 확인해 수출하려는 제품과 서비스에 반영해 EU 시장 진출 시 개인정보보호 문제로 인한 불필요한 처벌이나 경제적 부담을 받지 않도록 해야 한다. 이를 위해서는 GDPR에서 정한 정보주체의 권리와 개인정보처리자로서의 책임을 이해해야 한다.

GDPR이 규정하는 대표적인 개인정보처리자의 책임은 대리인 지정, 개인정보 처리활동의 기록·유지, 기술적·관리적 조치 이행 및 영향평가 수행 등이다. 먼저, EU 지역 밖의 기업(개인정보처리자)은 책임 있는 개인정보 보호 및 정보주체의 피해구제를 위해 EU 지역에 ‘문서로 지정된 대리인’을 두어야 한다.

종업원 수 250명 이상의 기업은 개인정보책임관(DPO : Data Protection Officer)의 연락처, 개인정보 처리의 목적 및 보유기간 등 처리활동을 문서로 기록해 보유해야 한다. GDPR은 기업들에세 개인정보가 처리되는 제품이나 서비스를 개발하면서 기획단계에서부터 개인정보보호에 대한 인식을 가지라고 요구한다.

소위 ‘Privacy by Design and by Default’를 이행해야 한다. 이는 개인정보 처리로 인해 발생할 수 있는 위험성을 고려해 데이터 최소화, 목적 범위 내 처리 등의 개인정보보호 기본 원칙을 준수하고 안전성을 확보하기 위한 기술적·관리적 조치를 해야 한다는 것이다.

또한, 기업은 개인정보 처리로 인해 발생할 수 있는 정보주체의 권리와 자유에 대한 침해 예방을 위한 노력을 기울여야 한다. GDPR은 이를 위해 ‘개인의 권리와 자유에 높은 위험’을 초래할 가능성이 있는지를 해당 제품과 서비스 제공 이전에 철저히 점검할 것을 요구하는데 바로 ‘개인정보 영향평가’ 수행이다.

민감정보를 대량으로 처리하는 기업과 CCTV 등 공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 기업은 의무적으로 ‘개인정보 영향평가’를 수행해야 하며, DPO을 통해 ‘개인정보 영향평가’가 적절하게 이행됐는지 확인해야 한다.

기업 등 개인정보 처리자는 GDPR의 강화된 정보주체의 권리보장을 위한 정책을 구체적으로 체계화(시스템화)해야 한다. 예를 들어 정보주체의 삭제권(잊힐 권리)과 처리제한권, 개인정보 이동권 등의 이행을 위해 개인정보 처리 전 과정에 대한 관리와 통제가 이루어질 수 있는 시스템을 마련해야 한다.

GDPR이 시행과 함께 제품 구매 기업들은 GDPR 충족 여부가 제품이나 서비스 선택의 중요한 고려사항이 될 수 있다. 생체정보와 개인영상정보와 같은 민감 정보가 보호되지 않을 경우 시장에서 외면당할 것이다.

이런 이유로 물리보안업계가 GDPR에 관심을 가져야 하는 것은 매우 당연하다. 생체정보의 비식별화나 암호화, 패스워드 관리 등은 설계 시점부터 기본설정이 개인정보 보호정책을 반영하고 있는 기업이라면 EU 시장 진출 기회가 확대될 수 있다.

▲정현철 한국인터넷진흥원 개인정보보호본부장

더 나아가 관련 시스템과 제품들이 보안 기능뿐만 아니라 처리하는 개인정보에 대한 고지, 삭제, 이동 등 정보주체의 권리를 시스템적으로 이행할 수 있도록 내재화하고 있다면 EU 시장 진출은 더욱 용이할 수 있다.

GDPR이 우리 기업들의 제품이나 서비스에 ‘Privacy by Design’을 내재화하는 계기가 되었으면 한다. GDPR은 비즈니스 현장에서 기업에게 커다란 부담이 된다는 것은 부인할 수 없는 사실이다.

그러나 뒤집어 생각해보면 고객인 정보주체에게 신뢰를 얻을 기회다. 철저한 사전 준비가 돼 있다면 개인정보보호를 중시하는 EU 시장에서 진출을 확대할 수 있다. GDPR은 모르면 기업의 큰 리스크이지만 알고 실천하면 기업의 해외진출 경쟁력이 될 수 있다.
[글_ 정현철 한국인터넷진흥원 개인정보보호본부장(hcjeong@kisa.or.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>