배순한 프로스트앤드설리번 연구원 

 

▲ 2017년 7월 미국 라스베이거스 블랙햇 보안 콘퍼런스에 전시된 보안 기기의 화면에 데이터 도난 경고가 표시돼 있다. 개인의 정보 결정권과 기업의 데이터 관리의무를 대폭 강화한 유럽연합 개인정보보호법이 2018년 5월 시행된다. REUTERS

현재 유럽에 적용되는 ‘개인정보보호지침’(Direct -ive)은 회원국에 단순히 지침만 제시하는 수준이다. 하지만 새로 도입되는 유럽연합(EU) 개인정보 보호법(GDPR·General Data Protection Regulation)은 정보 주체의 개인정보 자기결정 권 한을 대폭 확대한다는 취지를 담았다. 이 법은 모든 회원국에서 직접적인 법적 구속력을 갖는다. 유럽연합에 사업장을 두거나 유럽 거주 시민의 개인정보를 처리하는 모든 기업에 적용된다. 이 법이 국내뿐 아 니라 전세계의 관심을 받는 이유기도 하다. 법 적용 범위 확대로 유럽 지역에서 사업을 하려는 각국의 개인정보 보호 규제가 한층 심화될 가능성이 높다.

 

2018년 5월 시행될 법의 주요 내용은, 개인의 자기 결정 권한 강화를 위한 소비자 권리의 명확화와 기업의 데이터 활용 자율성과 책임 강화다. 먼저, 개인정보 동의 요건이 강화됐다. 정보 주체가 자율적이고 실질적인 결정권을 가진 가운데 동의할 수 있도록 △ 동의 거부에 따른 불이익이 없도록 하고 △동의는 쉽게 철회할 수 있어야 하며 △동의 절차는 이용약관과 분리하도록 했다. 침묵이나 부작위, 기본 설정 등을 통한 수동적 동의 획득은 유효한 동의로 보지 않고, 동의 조건을 읽었음을 확인하는 수준으로는 요건을 충족하지 못하도록 해 정보 주체의 주도적이고 명시적인 의사표시를 의무화했다. 서비스 제공에 필요하지 않은 정보의 동의 요구는 인정되지 않는다. 또한 기업이 정보 주체에게 제공해야 할 정보의 대상과 시기, 개인정보의 열람권과 정정권도 명문화했다. 이와 함께 ‘잊힐 권리’가 추가됐다. 정보 주체가 요구하거나 해당 정보가 더 이상 필요 없을 때는 개인정보를 삭제해야 한다.

 

기업은 법 준수를 입증하기 위해 개인정보 처리자의 책임 아래 개인정보 처리 활동을 문서로 기록해야 한다. 문서 내용에는 처리 목적, 개인정보 수령인의 범주, 보유 기간, 기술적 보안 조처 내용 등이 포함돼야 한다. 또한 기업이 제품 개발에서 판매까지 모든 단계에 걸쳐 ‘개인정보 보호 중심 설계’를 적용하도록 권고한다. 위험도가 높은 개인정보는 처리 이전에 영향 평가를 해야 하고, 민감 정보 처리 등에는 정보보호 처리자를 의무화했다. 법의 실효성 확보를 위해 제재도 강화했다. 법을 심각하게 위반하면, 전 세계 연매출액의 4% 또는 2천만유로(약 260억원)의 과징금이 부과될 수 있다. 매출액 국내 상위 10대 기 업의 연평균 매출이 66조원임을 고려하면 과징금은 최대 2조7천억원에 이른다.

 

법에는 기업의 개인정보 활용을 보장하는 내용도 담겼다. 우선 정보 주체에게 개인정보의 이전을 요청할 권리를 부여해 스타트업 등 소규모 업체의 정보 접근성을 높였다. 기업이 정보 주체에게 언제 무엇을 알려줘야 하는지, 정보 주체는 어떤 경우에 권리를 행사할 수 있는지 등을 구체적으로 규정해 불확실성을 완화했다. 개인정보 이용의 핵심인 가명화(비식별화) 개념을 명확히 하고, 개인을 알아볼 수 없도록 처리한 정보는 적용 대상에서 제외해 기업의 자유로운 활용을 가능케 했다.

 

▲ 유럽연합 집행위원회 고위 관계자들이 2017년 9월 벨기에 브뤼셀에서 기자회견을 열어 사이버 보안과 데이터 관리 정책을 설명하고 있다. 유럽연합은 역외 기업들도 새 개인정보보호법의 적용을 받도록 했으며, 위반에 따른 제재 수위를 크게 높였다. REUTERS

법 시행을 앞두고 한국에서도 대책 마련에 나섰다. 행정안전부는 한국인터넷 진흥원(KISA)과 함께 2017년 4월부터 우리 기업들을 위한 안내서를 발간하고 설명회도 열었다. 하지만 이 법이 한국의 개 인정보보호법과 많은 차이가 있어 대비에 난항을 겪고 있다. 업계에서도 일부 대 기업을 제외하고는 적극적인 움직임을 보이지 않고 있다. 프로스트앤드설리번 조사에서, 국내 응답자의 61%는 법 시행 전에 규정 준수를 위한 대비를 마치지 못할 것이라고 했다. 응답자의 40%는 실시간으로 데이터베이스를 모니터링하는 프로그램이 없어 관리가 불가능하다고 말했고, 29%는 관련 데이터의 정확한 식별이나 위치 파악이 어렵다며 우려를 나타냈다. 기업의 책임은 커졌지만 인식과 기술적 준비는 갖춰지지 않은 상황이다.

 

법의 핵심 요건에 대응하려면 종합적인 데이터 관리 시스템의 기반을 마련해야 한다. 우선 앱, 제품, 서비스의 기본 설정을 ‘개인정보보호 적용 설계’로 하는 것이 필수다. 새로운 제품·서비스를 구매하거나 기존 제품·서비스에 새 기능을 추가할 때, 사용자가 별도 조처를 하지 않아도 자동으로 설정돼야 한다. 특히 위치 기반 서비스, 센서 기술, 원격의료, 대용량 데 이터 분석 등의 주요 앱은 반드시 점검해야 한다. 또한 고도화된 침입 대응 솔루션이 필요하며, 개인정보 데이터 처리 작업의 적절한 제어 수단을 구현해야 한다. 조직 차원에서 데이터 처리 작업을 그룹화하고 데이터 보호 영향 진단을 해야 하며, 규정 위반과 데이터 보안 침해를 추적해 데이터 보호 기관에 통지하는 체계를 갖춰야 한다.

 

성공적인 대응 준비 사례는 글로벌 정보통신기술 업계에서 찾을 수 있다. 미국 아이비엠(IBM)은 고객에게 제공하는 것과 동일한 준비 프로그램을 자체 구현하고 있다. 데이터 사용을 일련의 작업 흐름으로 나눈다. 여기에는 데이터 컨트롤러로 제공되는 내부 서비스, 데이터 프로세서로 고객을 위해 수행하는 작업, 그리고 이 둘을 결합하는 공통 서비스가 포함된다. 아이비엠은 새로운 데이터 주체의 권한 보장 의무를 이행할 수 있도록 내부 정책과 절차를 강화했다. 프라이버시 위험 영향 평가와 다양한 유형의 데이터를 식별하고 범주화하려는 경로 프레임워크도 개발했다.

 

델EMC는 2016년 9월 합병된 델과 EMC의 모든 데이터 시스템과 프로세스를 대상으로 감사를 벌였다. 이 회사는 워크데이(Workday)의 인적자원관리 (HCM) 소프트웨어를 모든 인적자원 정보의 중앙 데이터관리 플랫폼으로 도입했다. 이 소프트웨어를 통합하면 데이터 사용 책임과 관행을 설정하는 방법이 제공되며, 단일 관점에서 추적할 수 있다. 호텔 체인 ‘요텔’은 사용자가 데이터를 제어할 수 있도록 명시적 절차를 도입했다. 사 내 웹 사이트 등의 채널을 정비하고 일관된 데이터 관리 정책을 제공한다. 또 고객 센터를 통해 통신과 마케팅 환경설정을 고객 스스로 관리할 수 있게 했다.

 

새로 시행되는 법의 핵심 요건에 대응하려면 종합적인 데이터 관리 시스템의 기반을 마련해야 한다. 대부분 기업들이 도입 중인 관련 솔루션은 적어도 다음의 기능과 요건을 충족할 필요가 있다.

 

먼저, 광범위한 수집과 효율적 관리가 가능해야 한다. 법이 요구하는 데이터 정확성, 사용자 동의, 보관 기간 문제를 해결하려면 속성 정보를 담은 메타데이터도 함께 보관해야 한다. 메타데이터를 생성· 보관·관리하는 저장 기술을 사용하면 데이터베이스 없이도 많은 콘텐츠와 데이터를 간편하게 저장하고 효율적으로 활용할 수 있다. 둘째, 개인정보를 손쉽고 빠르게 검색할 수 있어야 한다. 정보 주체가 자기 정보의 조회를 요청하면, 기업은 사용 내역을 모두 공개해야 하므로 신속하고 적절하게 응답하는 저장 시스템이 필요하다.

 

셋째, 개인정보의 완벽한 보호와 보안이 가능해야 한다. 유럽의 개인정보보호 법은 개인정보 보호를 위한 기업의 적절한 기술적·조직적 조처를 요구한다. 홍콩과 오스트레일리아를 비롯한 아시아·태 평양 국가들도 오래전부터 무단 접근 방지 조처를 요구해왔다. 최근 중국과 인도는 정보 보안을 위해 더 엄격한 방식을 개발하고 있다. 넷째, 보유한 개인정보가 원본이며, 정확하고 변경되지 않았다는 사실을 입증할 수 있어야 한다. 특히 파일 데이터에 발생하는 시스템이나 운영체제 등의 논리적 오류로 인한 손상까지 주기적으로 체크하고 복구하는 기능을 제공 해결함 없음을 보장해야 한다. 마지막으로, 효과적인 개인정보 보존과 삭제 시스템을 마련해야 한다. 법은 보존 기간의 제 한을 규정하고 있다. 개인정보의 완벽한 삭제와 입증이 가능해야 한다.

 

기업들이 새 법에 제대로 대응하기 위해 사내 솔루션과 일관된 정책을 마련하는 것도 중요하지만, 무엇보다 필요한 것은 향후 우리 기업에 끼칠 영향과 그 중요성을 직시하는 것이다. 시행이 임박한 현시점에서 세부 가이드라인이 속속 발표되는 만큼 해당 내용을 적시에 파악하고 준비 항목을 꼼꼼히 점검해야 한다.

 

법 제정의 주된 이유 가운데 하나는, 통일된 정보보호 체계를 구축해 유럽연합을 ‘디지털 단일시장’으로 만드는 것이다. 그만큼 새 법 시행이 유럽연합 역내 기업은 물론 역외 기업에 줄 긍정적 효과도 클 것으로 기대된다. 우선 국가별로 상이한 규정 때문에 소모한 비용이 크게 줄어들 전망이다. 모든 기업이 단일법의 적용을 받아 연간 230억유로(약 30조원)의 비용 이 절약될 것으로 유럽연합은 예상한다. 아울러 초기에 적극 대응하는 기업은 유럽연합 시장에서 소비자 신뢰는 물론 시장 선점 기회도 확보할 수 있을 것이다.

 

유럽의 개인정보보호법 시행을 계기로 국내 기업의 개인정보 활용 환경을 살펴보고 정책적 보완 과제를 고민할 필요도 있다. 국내 관련 법은 개인정보 보호가 엄격해 기업의 정보 수집과 활용에 제약이 크다. 그래서 빅데이터 기반 혁신 기업이 나오기 어렵다는 게 전문가들의 지적이다. 식별 가능성이 조금이라도 있으면 개인정보로 간주하는가 하면, 건건이 사전 동의를 요구하는 등 과도한 규제가 혁신을 막고 있다는 것이다. 개인정보는 보호하되, 기업의 정보 활용을 선진국 수준으로 보장해주는 균형 있는 개인정보보호 법을 마련해야 할 것이다.