적정성평가 통과, 국내 기업들의 GDPR 대응에 근본적 해결책 될 수 없어

[보안뉴스= 박태완 사이버보안 경영연구소 소장] 지난 몇일간 GDPR과 관련해 “일본이 GDPR 적정성평가를 통과했다”는 뉴스가 집중 보도됐다. 한국도 빨리 통과됐으면 매우 좋겠다는 기대와 함께 한편으로는 차라리 탈락되는 것이 중·장기적으로는 오히려 한국에게 더 도움이 되지 않을까 하는 생각도 해본다. 왜냐하면, 일부 한국기업에서는 적정성평가가 통과되기만을 기다리며, 설마라는 기대와 함께 GDPR 대응을 위한 필요한 활동들을 수행하지 않고 있다. 마치 이것을 통과하면, 우리 기업은 GDPR을 위해 무엇인가를 하지 않아도 되지 않는가 하는 막연한 기대를 하고 있기 때문이다.


이런 기대를 하게 되는 배경에는 현재 추진중인 EU-한국 GDPR 적정성평가에 대해 현업에서 관련 업무를 수행하고 있는 사람들에게는 적정성평가의 통과의 의미와 통과 후에 어떠한 일들이 자신들에게 일어날 것인지에 대한 구체적인 내용들이 명확히 드러나지 않고 있기 때문이다.

적정성평가 및 혜택 기업은?
GDPR에 의하면 유럽경제의 EEA(European Economic Area) 소속의 31개국을 제외하고 소위 제3의 국가(a third country)라고 하는 곳으로 개인정보를 이동시킬 시에는 조문에서는 3가지 방법을 언급하고 있다. 그것은 ‘제45조 적정성 결정에 따른 이전’, ‘제46조 적정한 안전조치에 의한 이전’, ‘제47조 의무적 기업규칙’ 3가지 방법 중 하나인 적정성평가를 받은 국가에게는 자유로운 이동이 가능하다. 그러나 적정성평가도 엄밀히 말하면, 모든 정보를 해당 국가에 있는 모든 기업에 자유로이 이동할 수 있다는 것을 의미하는 건 아니다.

예를 들면 캐나다의 경우 프라이버시보호법인 ‘PIPEDA’의 적용을 받는 기업에 한정해 적용되며, 미국의 경우에는 Privacy Shield Framework의 대상이 되는 기업만 해당된다. 즉 미국의 경우, FTC(연방통상위원회) 관할 기업 또는 US Department of Transportation 관할의 기업에만 적용되므로 은행, 금융기관, 통신회사들은 해당되지 않는다.

위와 같은 경우가 발생하는 이유가 GDPR 45조 2항에 의하면 적정성평가 시 (a)~(c)까지 3가지 요소들을 고려하게 되어 있다. 그중 첫 번째인 (a)의 고려사항이 ‘개인정보를 침해당한 개인정보 주체를 위한 행정적·사법적 구제책. 즉 법적인 체계가 마련되어 있냐는 것이다. 즉 적정성평가를 받기 위해서는 해당 국가의 GDPR에서 요구하는 비슷한 수준의 행정적·사법적 구제책이 법률에 명시되어 있어야 한다는 의미다.

이에 따라 국내에서는 정보통신망법으로 대응하고 있으며, 이로 인해 만약 적정성평가가 통과되더라도 정보통신망법 적용을 받는 정보통신사업자만 해당될 가능성이 매우 높다.

적정성평가를 받으면 기업은 해야 할 것이 줄어들까
적정성평가 통과는 개인정보를 이동시키는 국가도 유럽과 동등하게 개인정보 주체가 보호받을 수 있다는 전제 하에 주어지는 것이다. 즉, 적정성평가를 통과하면 유럽과 비슷한 수준의 개인정보 관리를 해야 할 의무가 우리 정부에게 주어지는 것과 같다. 따라서 정부는 이를 위하여 다양한 제도들을 만들어서 시행할 수밖에 없을 것이며 적정성평가는 4년마다 재평가를 받아야 하기 때문에 이를 유지하기 위해서라도 향후 정부가 시행할 제도들은 GDPR에 있는 요구사항들을 충족시키는 방향으로 시행될 것이다.

결론적으로 적정성평가를 받았더라도 기업 입장에서는 유럽 대상으로 비즈니스를 영위할 것이라면, 결국 GDPR에서 요구하는 사항들을 만족할 수 있도록 프로세스와 시스템들을 갖출 수밖에 없을 것이다. 정부가 서로 다른 2개의 제도를 유지하지 않는다면 잘못하면 순수 국내 기업들도 개인정보 관리를 유럽 수준에 맞춰 해야 할지도 모른다.

그렇다면 어차피 GDPR의 요구사항을 만족하도록 프로세스와 시스템들을 구비해야 한다면, 굳이 적정성평가가 통과되기를 기다릴 필요가 있을까? 통과되기를 기다리면 필요한 조치를 취하지 않아서 이미 5월 25일 발효된 법에 따라 처벌을 받을 가능성만 높아지는 것은 아닌지 생각해 봄 직하다.

적정성 평가 통과외 다른 방법은 없나
우선 아래의 질문에 대한 답변을 한번 생각해볼 필요가 있다.

Q 1, GDPR 적정성 평가를 통과하지 못하면, GDPR 대상이 되는 개인정보를 한국으로 가져올 수 없고 따라서 유럽 고객 대상으로 비즈니스를 할 수 없다(T/F).

Q 2, 만약 한국의 어떤 기업이 GDPR의 대상이 되는 개인정보를 GDPR의 요구사항들을 만족시키면서 개인정보를 처리·관리하고 있다면, 그리고 이것을 보여줄 수 있다면 적정성평가 통과와는 관계없이 다른 방법으로 개인정보를 한국으로 가져와서 처리할 수도 있다(T/F).

위의 첫번째 질문은 False이며, 두번째 질문은 True이다. 앞에서 언급한 대로 조문에 있는 3가지 방법 중 2번째와 3번째가 있다. 2번째의 경우에는 기본적으로 적정한 안전조치가 마련되어 있다면 이전이 가능하다는 것이다. 또한, 3번째도 기업이 기업전체에 걸쳐서 하나의 통일된 관리 방법으로 GDPR에서 요구하는 수준으로 개인정보가 관리된다면 해당 기업내에서는 자유로이 정보를 처리할 수 있다는 것이다. 물론 2번째와 3번째가 매우 힘들고 시간이 걸린다고 하지만, 한국 정부가 추진하고 있는 적정성평가도 이미 수년간에 걸쳐서 이루어지고 있다. 결코 이것이 몇달 만에 이루어질 수 있는 것은 아니라는 얘기다.

두 번째 사례로 GDPR 4장(조항 24~31)에는 Controller(개인정보처리자)와 Processor(수탁처리자)로 구분하여 각각의 역할과 책임을 정의하고 있다. 이 역할과 책임에 의하면 Controller가 계약을 통해 Processor에게 GDPR에서 요구하는 수준의 개인정보 관리를 요구하고 Processor가 이를 준수하고 이를 확인시켜 줄 수 있다면, Controller는 제3국에 있는 Processor에게 GDPR 대상 고객 정보의 처리를 위탁할 수 있다.

최근 몇몇 기업들은 Processor에 해당돼 이미 Controller와의 계약을 통하여 유럽의 개인정보들을 국내에서 처리하고 있다.

결론적으로 만약 유럽 고객의 개인정보를 활용해 비즈니스를 영위하고, 수익을 발생시키는 기업의 경우 GDPR에서 요구하는 사항이 너무 과하다고 생각되면 해당 서비스를 중지하면 된다.

그러나 유럽 고객이 비즈니스 성공에 중요하다면 GDPR를 만족하는 방향으로 프로세스와 시스템들을 변경해 비즈니스를 영위할 수 있는 방법들이 다양하게 존재한다. 또한, 적정성평가 통과가 도움이 되는 국내 기업도 있을 것이며, 도움이 되지 않는 국내 기업들도 있을 것이다. 결국 적정성평가 통과가 국내 기업들의 GDPR에 대한 근본적인 해결책이 될 수는 없다는 얘기다.

적정성평가가 국내 어떤 기업에 어떤 도움을 줄 수 있고, 통과된 후에는 어떠한 방법으로 적정성을 유지할 것인지, 정부에서는 대상 기업들이 어떤 준비를 미리 시작해야 하는지 보다 구체적인 정보들이 제공돼야 한다. 특히, 적정성평가 통과의 혜택을 볼 수 없는 기업군은 어떤 것들이 있는지 구체적으로 알려줌으로써 해당 사항이 없는 국내 기업들은 빠른 시일 내에 스스로 준비할 수 있는 계기가 마련돼야 한다.
[글_ 박태완 사이버보안 경영연구소 소장(taewan.park@gmail.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>