01. EU개인정보 썸네일

Frost & Sullivan / 배순한


 

오늘날 우리는 어디서나 있고, 누구에게나 존재하는 삶을 살아가고 있다. 모든 것이 연결되어 살아가고 있다. 일반적인 우리의 생활은 주변 사람들과의 관계와 다양한 기기들과의 상호작용의 연속이며, 그 흔적으로 수많은 데이터가 생성된다. 우리가 의식을 하든 의식하지 못하던지 간에 생성된 데이터는 어느 유통사 혹은 카드사의 데이터 서버나 누군가의 SNS에 저장되고 있을 것이다. 그리고 이와 같은 데이터들은 수집, 분석되어 새로운 서비스 혹은 제품으로 개발되어 우리들의 일상생활에 긍정적인 영향을 미칠수도 있지만, 개인과 산업 정보의 유출은 범죄로 이어지는 사고가 발생 할 수도 있다. 오늘날 정보유출 사고는 수많은 경로를 통해 이뤄지기 때문에 어느 특정 경로만을 지켜서 해결되는 문제가 아니다. 다시 말해, 클라우드, 모바일 및 IoT 등과 같은 기술로 인해 개별 산업 및 서비스들간의 경계가 불 분명해지고 기술간 융합된 서비스가 새로운 수익을 창출하고 있는 상황에서, 물리적으로 내부보안에만 의존해 개인정보 유출을 막는 것으로 보안 담보한다는 것은 어불성설이다. 그렇다고 데이터 활용의 자유도를 높일 수도 없다. 이는 데이터 통제와 관리가 약화되어 데이터 유출 사고가 일어나기 쉽기 때문이다. 사회와 산업 전반에 클라우드 서비스와 시스템이 구축되고 있는 시점에서 반드시 해결해야 하는 딜레마 인것이다.

데이터는 어디에나 존재해야 하고, 어디에서나 활용할 수 있어야 하는 현실에서 명확한 데이터 관리정책이 필요하다. 또한 개인정보보호 수준을 평가하고, 소송이 발생했을 때를 대비하며, 백업, 복구, 암호화, 가명화 등의 요구에도 만족할 수 있어야 한다. 이와 같은 현실을 반영하듯이, 지난 2016년 4월 채택되어 2년여의 유예기간을 두었던 ‘EU 개인정보보호법(GDPR, General Data Protection Regulation)’이 시행되고 있는 실정이다.

현재까지 유럽에 적용되고 있는 ‘개인정보보호지침(Directive)’은 유럽연합(EU) 회원국에게 단순히 개인정보보호의 지침만을 제시하는 수준이었다. 하지만 새로 적용되는 GDPR은 기업의 자유로운 데이터 활용을 허용하되 정보 주체의 개인정보에 대한 자기결정 권한을 대폭 확대한다는 취지이다. 이 법안은 모든 EU회원국에 대해 직접적인 법적 구속력을 지니며, EU에 사업장을 보유하거나 유럽 거주 시민의 개인정보를 처리하는 모든 기업에 적용된다. GDPR이 국내뿐만 아니라 전 세계의 관심을 받는 이유가 여기에 있다. 동 법의 적용 범위가 확대되어 EU 역외기업들도 대상이 되도록 광범위하게 규정했고, 법의 실효성 확보를 위해 제재의 수준도 높였기 때문이다. 특히 GDPR의 적용 범위가 점차 확대됨에 따라 유럽 지역에서 비즈니스를 고려하는 각국의 개인정보보호 규제가 한층 심화될 가능성이 높다. 따라서 GDPR에 대한 정확한 이해와 효과적인 대응책 마련이 시급하다. 특히 클라우드 서비스 사업자들의 면밀한 대응책 마련이 요구되는 시점이다.

GDPR은 주요 내용은 앞에서 언급한 바와 같이 개인의 자기결정권한 강화를 위한 소비자 권리의 명확화와 기업의 데이터 활용의 자율성과 책임성 강화 이다.



소비자 권리 명확화


GDPR에서는 개인정보 동의요건이 강화됐다. 즉 정보주체가 동의에 자율적이고 실질적인 결정권을 가질 수 있도록 동의 거부에 따른 불이익이 없도록 하고, 동의는 쉽게 철회할 수 있어야 하며 동의절차는 이용약관으로부터 분리되도록 했다. 또한 침묵(silence)이나 부작위(inactivity), 디폴트세팅(default setting) 등을 통한 수동적 동의 획득은 유효한 동의로 보지 않은 한편, 동의 조건을 읽었음을 확인하는 수준으로는 동의요건을 충족하지 못하도록 해 정보주체의 주도적이고 명시적인 의사표시를 의무화했다. 그리고 동의는 명확하고 간결하며 이해하기 쉬운 평범한 문구로 고지되어야 하며, 서비스 제공에 필요하지 않은 정보의 처리에 동의를 요구하는 것은 동의로 인정되지 않는다. 또한 정보주체의 ‘정보를 제공받을 권리(Right to be informed)’를 보장하기 위해 기업이 제공해야 할 정보의 대상과 시기를 명문화했다. 정보 주체로부터 직접 수집한 정보에 대해서는 수집 주체, 수집 목적, 보유 기간 등을 정보 취득 시점에 즉시 제공해야 하며, 직접 수집하지 않는 정보에 대해서는 정보 취득 후 합리적인 기간 내(최대 1개월)에 제공해야 한다. 개인정보에 대한 열람권(Right of access)과 정정권(Right to rectification)도 명문화했다. 정보주체는 개인정보의 처리가 어떻게 이루어지는지 확인하기 위해 열람을 신청하고, 개인정보가 부정확하거나 불완전하다면 정정을 요구할 권리를 부여했다. 이러한 요구가 있는 경우 기업은 개인정보 사본을 지체 없이 무상으로 제공하거나 요구 사항을 정정해야 한다. 정보주체의 삭제권(잊힐 권리, Right to be forgotten)도 새로 추가됐다. 기업은 정보주체가 개인정보의 삭제를 요구한 경우뿐 아니라, 해당 정보가 더 이상 필요하지 않은 경우나 법률 준수를 위해 삭제가 필요한 경우 등에도 해당 개인정보를 삭제해야 한다.



기업의 자율성과 책임성 강화


기업은 GDPR 준수 입증을 위해 개인정보처리자의 책임하에 개인정보처리 활동을 문서로 기록해야 한다. 문서의 내용에는 처리의 목적, 개인정보 수령인의 범주, 보유 기간, 기술적 보안조치에 관한 내용 등이 포함되어야 한다. 또한 GDPR은 기업이 제품 개발에서 판매까지 모든 단계에 걸쳐 ‘개인정보보호 중심 설계(Data protection by design and data protection by default)’를 권고하고 있다. 개인정보 영향 평가(Data protection impact assessment)와 DPO(Data Protection Officer)의 지정도 중요한 이슈다. 기업은 위험도가 높은 개인정보 처리 이전에 예상되는 영향 평가를 실시해야 하고, 민감정보 처리를 핵심 활동으로 하는 경우 등에는 DPO를 의무화하고 있다. 법의 실효성 확보를 위해 제재도 강화됐다. 법을 심각하게 위반한 경우 전 세계 연간 매출액의 4% 또는 2천만 유로의 과징금이 부과될 수 있다. 매출액 국내 상위 10대 기업의 연평균 매출이 66조 원임을 감안하면 최대 2.7조원의 과징금이 발생할 수 있는 만큼 철저한 대비가 필요한 부분이다. 이번 GDPR 개정에는 기업의 개인정보 활용을 보장하기 위한 내용도 담겼다. 우선 정보주체가 개인정보의 이전을 요청할 수 있는 권리를 부여하여 스타트업 등 소규모 업체의 정보 접근성을 제고했다. 또한 GDPR은 기업이 정보주체에게 언제, 무엇을 알려줘야 하는지, 정보주체는 어떤 경우에 권리를 행사할 수 있는지 등을 구체적으로 규정해 기업의 정보보호와 활용에 대한 불확실성을 완화하였다. GDPR은 개인정보 이용의 핵심인 가명화(비식별화)개념을 명확히 하고, 개인을 알아볼 수 없도록 처리한 정보는 GDPR 적용 대상에서 제외했다. 즉, 규정대로 처리한 정보는 개인정보로 간주되지 않아 기업의 자유로운 활용이 가능해진 것이다.



GDPR 준수 대응현황


GDPR 시행에 대응하기 위해 국내에서도 대책 마련에 나섰다. 행정자치부는 한국인터넷진흥원(KISA)과 함께 작년 4월부터 우리 기업을 위한 유럽개인정보보호법 안내서’를 발간하고,‘ 유럽 개인정보보호법 설명회’를 개최하면서 GDPR에 대한 인식 확산과 대응에 많은 노력을 기울이고 있다. 하지만 정보 주체 중심의 실질적인 보호체계를 요구하는 GDPR은 한국의 개인정보보호법과 많은 차이가 있어 준비에 난항을 겪고 있다. 산업계에서도 일부 대기업을 제외하고는 GDPR에 대해 적극적으로 준비하는 움직임을 보이지 않고 있다. Frost & Sullivan이 올해 발표한 조사에서 국내 기업 GDPR 준비 현황을 살펴보면, 국내 응답자의 61%는 올해 5월 내에 GDPR 규정 준수를 위한 대비를 마치지 못할 것이라고 답했다. 응답자의 40%는 실시간으로 DB를 모니터링하는 툴이 없어 관리가 불가능하다고 답했으며, 29%는 관련 데이터를 정확하게 식별하거나 위치 파악이 어렵다고 우려를 표했다. 기업의 책임은 커졌지만 GDPR에 대한 인식과 기술적 준비도 갖춰지지 않은 상황이다.

GDPR의 핵심 요건에 대응하기 위해서는 종합적인 데이터 관리 시스템의 기반을 마련해야 한다. 먼저 GDPR 준수를 위해서는 애플리케이션, 제품, 서비스 기본 설정을 ‘개인정보보호 적용 설계(Privacy by Design)’로 하는 것이 필수다. 만일 고객이 새로운 제품이나 서비스를 구매해 이용할 경우, 혹은 이미 구입한 제품이나 서비스에 새로운 기능을 추가하는 경우 사용자가 별도 조치를 하지 않아도 개인정보 설정이 자동으로 적용돼야 한다. 특히 위치기반서비스, 센서기술, 원격의료, 대용량 데이터 분석 분야 등의 주요 애플리케이션은 반드시 검토가 필요하다. 또한 고도화된 침입대응 솔루션이 필요하며, 개인정보 데이터 처리 작업에 대한 적절한 제어수단을 식별하고 구현해야 한다. 또한 조직 차원에서 데이터 처리 작업을 그룹화하고 데이터 보호 영향 진단을 수행해야 하며, 데이터 보호 기관에 규정 위반과 데이터 보안 침해를 추적, 통지할 수 있는 체계를 갖춰야 한다. 성공적인 GDPR 대응 준비 사례는 글로벌 ICT기업에서 찾아 볼 수 있다. 먼저 IBM은 자체 운영으로 고객에게 제공하는 것과 동일한 GDPR 준비 프로그램을 구현하고 있다. 데이터 사용을 일련의 작업 스트림으로 나누고 있다. 여기에는 데이터 컨트롤러로 제공되는 내부 서비스, 데이터 프로세서로서 고객을 위해 수행하는 작업 및 이 둘을 결합하는 공통 서비스가 포함된다. 각 작업 흐름은 발전을 거쳐 문서로 정리되고 있다. 또한 IBM은 새로운 데이터 주체 권한 보장 의무를 이행할 수 있도록 내부 정책과 절차를 강화했으며, 프라이버시 위험 영향 평가와 다양한 유형의 데이터를 식별하고 범주화하기 위한 경로 프레임워크를 개발했다. 델EMC는 2016년 9월 합병된 델과 EMC를 통합하여 GDPR 준비를 위해 모든 데이터 시스템 및 프로세스를 대상으로 감사를 시행했다. 이 회사는 워크데이의 인전자원관리(HCM) 소프트웨어를 모든 HR 정보의 중앙 데이터 관리 플랫폼으로 도입했다. 이 소프트웨어를 통합하면 데이터 사용에 대한 책임과 관행을 설정하는 방법이 제공되며, 이제는 단일 관점에서 추적할 수 있다. GDPR은 데이터 주체에 대한 일련의 새로운 권리를 도입한다. 이와 관련하여 호텔 체인 요텔(Yotel)은 사용자가 데이터를 제어할 수 있도록 명시적인 절차를 도입하여 대응했다. 사내 웹 사이트를 비롯한 기타 통신 채널을 새로 정비하고 데이터 관리에 대한 일관된 정책을 제공하고 있으며, 고객을 위한 마케팅 환경설정 센터를 제공하여 통신과 마케팅 환경 설정을 고객 스스로 관리할 수 있게 하였다.

이제 GDPR로 기업은 개인 데이터가 무엇인지, 민감한 개인 데이터가 무엇인지 정확히 알고 신경 써야 한다. 정보에 대한 추가적인 데이터 보호 의무를 가지게 되었다.



GDPR 대응 솔루션의 핵심 요건


GDPR의 핵심 요건에 대응하기 위해서는 종합적인 데이터 관리 시스템의 기반을 마련해야 한다.이를 위해서 대부분의 기업들은 데이터 관리 및 ICT 서비스 기업들이 제시하는 솔루션을 도입하고 있는 추세이다. 하지만 그러한 솔루션은 최소한 다음과 같은 기능과 요건을 충족시켜야 할 것이다.

먼저 개인정보를 광범위하게 수집하고 효율적으로 관리할 수 있어야 한다. GDPR이 요구하는 데이터 정확성, 사용자 동의, 보관 기간 문제를 해결하기 위해선 데이터뿐 아니라 그 속성 정보를 담은 메타데이터를 함께 보관해야 한다. 이러한 메타데이터를 생성, 보관, 관리하는 스토리지 기기술 사용할 때 검색과 분석이 쉽지 않은 비정형 데이터에 정형성을 부여하게 돼, 데이터베이스 없이도 많은 양의 콘텐츠와 메타데이터를 간편하게 저장하고 효율적으로 활용 할 수 있다.

둘째, 개인정보를 손쉽고 빠르게 검색할 수 있어야 한다. GDPR은 기업이 보유 중인 정보에 대해 액세스와 가용성을 보장하도록 요구한다. 정보 주체가 자신의 정보 조회를 요청할 경우, 기업은 전 시스템에 걸쳐 사용된 내역을 모두 공개해야 하기 때문에 신속하고 적절하게 응답할 수 있는 스토리지 시스템이 필요하다. 스토리지에서 메타데이터 쿼리 매커니즘, 콘텐츠 검색 및 인덱싱 옵션 기능을 제공하는 솔루션을 사용한다면 빠른 검색이 가능하고, 다양한 업계 표준 프로토콜을 통해 저장된 데이터에 액세스할 수 있을 것이다.

셋째, 개인정보의 완벽한 보호와 보안이 가능해야 한다. GDPR은 기업이 개인정보의 보호를 위해 적절한 기술적, 조직적 조치를 취할 것을 요구한다. 홍콩 및 호주를 비롯한 아시아태평양 국가들도 오래 전부터 무단 액세스 방지 조치를 요구해 왔으며, 최근 중국이나 인도는 정보 보안을 위해 기술 차원에서 보다 엄격한 방식을 개발하고 있다.

넷째, 개인정보의 무결성과 진본성을 보장할 수 있어야 하며, 보유한 개인정보가 정확하고 변경되지 않았다는 사실을 입증할 수 있어야 한다. 특히 파일 데이터의 경우 파일시스템이나 운영체제 등의 논리적 오류로 인한 파일 손상이 간혹 발생하는 경우가 있는데, 이러한 논리적 데이터 훼손까지도 주기적으로 체크하고 이를 복구하는 기능을 제공해 파일 데이터의 무결성을 보장할 수 있어야 한다.

마지막으로 효과적인 개인정보 보존 및 삭제 시스템을 마련해야 한다. GDPR은 보존 기간의 제한을 규정 하고 있으며, 이는 엄격한 규제 환경과 민감한 데이터의 증가로 모든 비즈니스에서 요구되는 사항이다. 또한 개인정보의 완벽한 삭제가 가능해야 한다. 정보 주체가 정보 삭제를 요청하면 기업은 모든 시스템에서 정보를 영구적으로 삭제하고 이를 입증할 수 있어야 한다.



GDPR 대응 과제


기업들이 GDPR 대응을 위해 사내 솔루션과 일관된 정책을 마련하는 것도 중요하지만, 무엇보다 중요한 것은 GDPR이 향후 우리 기업에 미치는 영향과 중요성을 직시하는 것이다. GDPR 및 관련 가이드라인을 명확히 숙지하는 것이 실질적인 대응의 첫 단계가 될 것이다. 시행일까지 임박한 현 시점에서 세부 가이드라인이 속속 발표되고 있는 만큼 해당 내용을 적시에 파악하고 기업별로 무엇을 준비할지 꼼꼼히 점검해 나가야 할 것이다. 특히 GDPR 제정의 주된 이유 중 하나가 통일된 정보보호 체계를 구축해 EU를 ‘디지털 단일시장(DigitalSingle Market)’으로 만드는 것인 만큼 GDPR 시행이 EU 역내 기업은 물론 역외기업에게 줄 긍정적인 효과도 클 것으로 기대된다. 우선 그간 EU 내 국가별로 상이한 개인정보보호 규정에 대응하기 위해 소모된 비용이 크게 줄어들 것으로 예상된다. 이와 관련해 EU는 GDPR이 시행되면 모든 기업이 단일법에 적용 받게 되면서 연간 총230억 유로의 비용이 절약될 것으로 예상하고 있으며, 법적 확실성도 확보할 수 있을 것이다. 아울러 초기에 GDPR에 적극적으로 대응하는 기업의 경우 EU 시장에서의 소비자 신뢰 확보는 물론, 여타 기업이 머뭇거리는 사이 EU 시장선점 기회까지 기대할 수 있을 것이다.

이번 GDPR 개정을 통해 국내 기업이 처한 개인정보 활용 환경을 살펴보고 정책적인 보완과제가 무엇인지도 고민할 필요가 있다. 국내 관련 법은 ‘개인정보보호’가 엄격해 기업이 개인정보를 수집하고 활용하는데 제약요인이 되고 있다. 이 때문에 빅데이터를 기반으로 하는 혁신기업이 나오기 어렵다는 게 전문가들의 지적이다. 개인에 대한 정보를 가공해 특정인임을 알아볼 수 없게 처리해도 식별 가능성이 조금이라도 있으면 개인정보로 간주하는가 하면, 개인정보를 수집·이용할 때마다 건건이 사전동의를 요구하는 등의 과도한 규제가 혁신적인 사업의 출현을 막고 있다는 것이다. 개인정보는 보호하되, 기업의 개인정보 활용을 선진국 수준으로 보장해 주는 균형 있는 개인정보보호법이 마련돼야 할 것이다.