4차산업혁명의 관문인 유럽 개인정보슈퍼규제(GDPR) 25일 발효…글로벌 기업들 초긴장

 25일 4차산업혁명의 관문이라 할 수있는 유럽 개인정보보호법(GDPR) 발효를 앞두고 유럽 시장을 공략하는 한국 기업의 위기감이 높아지고 있다. 동시에 GDPR을 선제적으로 잘 대비한 기업의 경우 규제 비용을 줄이고 글로벌 시장에 진출할 수 있어 기회라는 분석도 나오고 있다. GDPR의 취지가 유럽의 디지털 단일 시장을 조성하는 데 있고 GDPR이 글로벌 개인정보보호 스탠다드가 될 경우 GDPR만 잘 지키면 유럽은 물론 글로벌 진출도 용이할 수 있기 때문이다.

약 248억원(2000만 유로)에 달하는 최대 과징금도 GDPR 준수 노력과 위배 시 경감 조치 과정을 감안해 11개 기준으로 세부적으로 평가하기 때문에 과징금 리스크에 대한 지나친 공포를 가질 필요는 없다는 지적이다. 또 연내에 EU 집행위원회가 한국을 GDPR 적정성 국가로 평가할 경우 한국 기업은 GDPR을 잘 준수하는 조건 하에 유럽 밖으로 개인정보의 자유로운 이동권도 보장받을 수 있다는 기대감이 커지고 있다.

EU는 GDPR 시행을 앞두고 EU 회원국마다 달랐던 기업들의 개인정보 취급 규정을 하나로 통일할 예정이다. EU는 2012년 처음 관련 법안이 EU 의회에 상정된 후 2016년 공식 도입을 결정했고 현재까지 관련 세부 조항을 조율해왔다. 수년에 걸친 작업 끝에 탄생한 만큼 그 실효성은 강력해질 전망이다.

■ EU 개인정보법 강화 파장

구글 페이스북 등 인터넷 기업은 물론 제3자 개인정보를 다루는 기업들에 '저승사자'로 불리는 메가톤급 규제인 개인정보보호법(GDPR)이 오는 25일부터 유럽에서 시행된다. 이 법이 시행되면 기업이 얻은 개인정보를 본인의 동의 없이 돈벌이에 이용할 경우 최대 연간 매출액의 4% 벌금이 부과된다.

최근 미국 대선과 영국 등지에서 개인정보 유출로 곤욕을 치른 페이스북처럼 유사한 사례가 발생할 경우 아예 기업 문을 닫아야 하는 상황까지 발생할 수 있다. GDPR의 시작은 유럽이지만 전 세계로 파급되는 것은 시간문제다. 미국 아시아 등 전 세계가 개인정보 유출로 몸살을 앓고 있기 때문이다. 그동안 개인정보보호에 등한시했던 글로벌 기업들로서는 전전긍긍하고 있다. 이 법의 적용 범위가 정보기술(IT), 금융, 자동차 등 개인정보를 취급하는 전 산업 분야로 폭넓어 세계 각국 정부와 기업들이 잔뜩 긴장하고 있다.

GDPR가 시행되면 EU 시민들의 개인정보를 취급하는 모든 기업은 개인정보를 수집해 활용할 때 반드시 사용자 동의를 얻어야 한다. 예를 들면 기업은 개인의 동의를 받아야 개인정보를 보관•처리할 수 있게 되는데, 개인정보는 처리 목적에 필요한 기간을 초과해 보관할 수 없으며 사용자의 요청이 있으면 개인정보 사용 동의 방침을 철회하거나 데이터를 삭제해야 한다.

처벌 수위도 매우 강력하다. GDPR에 위배되는 행위를 한 기업은 최대 연간 매출의 4% 혹은 2000만유로(약 260억원)를 벌금으로 내야 한다. EU는 GDPR가 적용될 수 있는 기업들의 범위를 매우 넓혔다. 사실 개인정보는 쉽게 추적할 수도 없고, 취급하는 기업도 많기 때문에 그 범위를 규정하기가 매우 까다로웠다. 하지만 GDPR는 적용 범위를 세분하는 대신 아예 대폭 확대한 것이 특징이다.

GDPR는 EU 회원국에 본사•지사를 두고 있는 모든 기업과 EU에 물리적으로 진출해 있지 않은 기업이라도 EU 시민들의 개인정보를 취급하는 모든 기업을 적용 범위에 포함했다. EU를 탈퇴할 예정인 영국도 포함된다. 주요 대상은 개인정보를 기입해야만 서비스 이용이 가능한 IT 기업들이나 글로벌 은행들이 될 전망이다.

EU는 디지털 시장이 거대해지고 시장 내에서 개인정보가 어떻게 유통되는지에 대한 통제가 어려워진 만큼 이번 GDPR 도입을 통해 개인정보 취급을 하나로 통합하는 원스톱 시스템 구축을 목표로 하고 있다. 이를 통해 EU 회원국들은 물론 세계의 여러 국가들이 GDPR와 비슷한 법안을 제정할 수 있기를 기대하고 있다.

또 일반 사용자들이 자신의 개인정보 활용 내역을 직접 보고, 관리할 수 있는 통제권을 더 많이 부여할 수 있다는 점에 주목했다. EU 규제당국은 기업이 소유한 △개인정보의 위치 파악 △검색 △보호 △모니터링 등 막강한 권한을 얻게 된다. 이에 따라 EU에 지사를 두고 있는 글로벌 기업이 자국 본사로 EU 시민들의 개인정보를 이송하길 원하는 경우 무조건 EU 당국의 승인을 받아야 한다. 가령 유럽에 진출한 삼성전자나 현대자동차가 한국 본사로 유럽 고객의 개인정보를 보내기 전 반드시 EU 당국의 승인을 받아야 한다. 이는 '적정성 평가(adequacy decision)'라고 불리는데, 국가 차원에서도 승인 요청이 가능하다. 한국의 경우 1년 전 신청했으나 아직 답변을 못 받은 상태다.

그동안 글로벌 기업들은 가입 시 사용자의 개인정보나 데이터 사용 내역을 어떻게 활용하는지 제대로 명시하고 있지 않다는 비판을 받아왔다. 이 때문에 '교묘한' 방식으로 비판의 화살을 돌리려는 여러 시도를 해왔다. 구글은 최근 발표한 1분기 실적보고에서 "GDPR에 제대로 대비하고 있다"며 투자자들을 안심시키려는 입장을 보였다. 하지만 EU는 GDPR의 엄격한 적용을 예고한 상태다. '꼼수'는 절대 용납할 수 없다는 입장이다. 더욱이 이 제도는 페이스북 같은 대형 기업에만 해당되는 것이 아니어서 이를 마련할 준비가 돼 있지 않은 기업들의 경우 사용자 데이터 보호 및 모니터링 과정을 공개하는 시스템을 아예 새로 만들어야 해 기업들로서는 곤혹스러운 상황이다.

한편 GDPR가 오는 25일부터 시행되면 그중 GDPR가 규정한 데이터보호책임자(Data Protection Officer•DPO) 고용 문제는 기업이 시급하게 해결해야 할 과제 중 하나다. GDPR가 개인 정보 감시•처리 사업을 중점으로 하는 모든 기업에 DPO 고용을 의무화했기 때문이다.

배경이 EU라는 점에서 GDPR가 한국 IT기업에 미치는 영향은 구글ㆍ페이스북 등 글로벌 IT기업보다는 제한적일 것으로 보인다. 그럼에도 의외의 곳에서 치명적 상황에 처하지 않기 위해선 면밀한 대비가 필요하다. 윤재석 한국인터넷진흥원(KISA) 개인정보협력팀장은 "각 사는 개인정보 처리가 어떻게 진행되는지, 민감 정보는 얼마나 포함하는지 등 개인정보에 관한 현황을 세밀히 파악해 GDPR 기준과 비교해볼 필요가 있다"고 말했다.

■ 절차와 대응

우선 GDPR에 따라 기업들은 '개인정보 보호 책임자(DPOㆍData Protection Officer)'를 의무적으로 고용해야 한다. 유럽뿐 아니라 전 세계적으로 관련 규제가 강화되는 추세인 만큼 이 같은 가시적 대책은 빨리 세울수록 좋다는 게 윤 팀장의 조언이다. 김선희 법무법인 율촌 변호사 역시 리스크 대응 방안의 첫 번째로 현황 파악을 주문했다. 그는 "개인정보의 목록과 흐름, 보안 관리 현황을 점검하고 GDPR 기준과 비교해 미흡한 부분을 중심으로 리스크를 평가해볼 필요가 있다"고 말했다. 그러면서 "GDPR 담당 조직 및 인원을 재정비하고 동의서, 계약서, 개인정보처리방침 등을 보완해나가면 된다"고 했다.

GDPR에 대해 과도한 두려움을 느낄 필요도 없다. GDPR 위반 때도 무조건 과징금부터 부과되는 건 아니다. 경고(warning)→견책(reprimand)→정지(suspension)→벌금(fine)과 같이 단계별 조치가 이뤄진다. 이진규 네이버 DPO는 "과징금이 상당 수준인 것은 맞지만, 공포감에 휩쓸리기보다는 내부 절차 등을 점검해 이용자 개인정보 보호 수준을 향상시킬 기회로 삼는 것이 중요하다"고 말했다.

KISA는 'EU 적정성 평가'를 연내 완료해 기업 부담을 최소화한다는 계획도 내놨다. EU 적정성 평가란 EU가 제3국의 개인정보 보호 수준이 적정한지 평가하는 제도다. 한국이 이 평가를 통과하면, 한국 기업은 앞으로 별도 규제 없이 개인정보를 EU에서 역외이전하는 것이 가능해진다. 권현준 KISA 개인정보정책단장은 "올해 EU 적정성 평가를 받으면 한국이 세계 첫 사례가 될 것"이라며 "개별 기업이 EU(에서) 개인정보를 국외로 이전하기 위해 들이는 비용과 시간을 최소화할 수 있다"고 말했다.

유럽시장 진출을 계획하는 스타트업이나 중소기업을 위한 지원책도 마련 중이다. KISA는 이들을 대상으로 한 'GDPR 가이드라인과 체크리스트'를 만들어 제공할 계획이다. 한편 GDPR가 글로벌 기준으로 자리 잡을 가능성도 배제할 수 없다. 미국ㆍ유럽 소비자 단체 '대서양소비자소통'은 지난달 9일 "GDPR는 정보 보호에 견고한 기반을 제공한다"면서 "이용자가 어디에 있든 이 규정으로 보호받아야 한다"고 밝히기도 했다.

■ 규제비용 1/28 줄고 시장 확대

GDPR은 EU 28개국에 일괄 적용된다. 기업이 GDPR 대응 시스템을 완비해놓으면 EU 어떤 국가에 진출해도 하나의 개인정보보호 규제를 지키면 되는 것으로 규제비용이 28분의 1로 줄고, 시장은 28개국으로 확대된다는 의미다.

이는 GDPR의 취지가 개인정보 보호 수준을 높이는 동시에 '유럽의 단일한 디지털 마켓' 내에서 활용도 자유롭게 하자는 데 있기 때문이다. 특히 GDPR은 개인정보와 가명정보, 익명정보를 분리하고 가명정보, 익명정보는 상업적 통계와 연구목적으로 활용할 있도록 법적으로 명시하기도 했다. 이를 통해 4차 산업혁명의 '원유'라고 불리는 빅데이터 산업의 패권을 유럽이 쥐려고 하는 것이 아니냐는 분석이 제기되기도 했다.

하지만 국내.외 GDPR 전문가들은 빅데이터, 5G 시대에 중국, 러시아 등이 개인정보보호 강화 추세로 가고 있어 GDPR 시스템만 구축해도 글로벌 규제 비용은 크게 줄일 수 있다고 판단하고 있다.

업계의 한 관계자는  "GDPR은 결국 하나의 글로벌 스탠다드의 기준으로 적용될 것"이라며 "국가마다 다른 규제를 맞춰야 하는 불편함이 줄면 사업자 기준에서 엄청난 규제 비용이 줄어들기 때문에 오히려 기회가 될 수 있다"고 내다봤다. 이를 테면 게임사는 200개 국가에서 동시 출시를 하는데 앞으로는 유럽, 미국 등의 가입자를 동일한 개인정보보호 기준으로 보호할 수 있다는 의미라고 이 변화사는 설명했다. 그는 "아직 GDPR을 완전히 준비한 한국 기업도 대기업 등 소수로 GDPR 대응이 기업의 경쟁력으로 이어질 것"이라고 덧붙였다.

■ 과징급 합리적 부과 기대

세계 매출액의 4% 또는 약 248억원 중 높은 금액에 달하는 최대 과징금도 '심각한' 수준의 개인정보 유출 사고에 해당하는 것으로 과도한 리스크로 받아들일 필요는 없다는 분석이다.

GDPR 과징금 부과 기준에 따라 의도성, 태만, 과거의 위반 여부, 협조 수준 등 GDPR을 준수하려는 의지와 노력, 위배 시 이를 해결하고 경감하기 위한 조치를 얼마나 했는지 과정을 종합적으로 평가해 항목별로 상중하로 나눠 부과한다는 것이다.

과징금 부과 11가지 기준을 살펴보면 △위반의 의도성과 태만 여부 △컨트롤러 또는 프로세서가 이전에 범했던 법규 위반 여부 △위반을 해결하고 위반으로 인한 부정적 영향을 경감하기 위한 감독기구와의 협조 수준 △동일한 사안에 대해 감독기구 명령이 부과된적이 있는지 여부 등 과거의 이력, 해결해나가는 과정을 평가하는 항목이 눈에 띈다.

인터넷진흥원 관계자는 "GDPR은 개인정보보호를 지속적으로 관리해나가는데 초점이 맞춰져 있어 성실하게 이를 준수했는지, 위배했을 때 이를 절차에 맞춰 아는대로 신고했는지 등을 따진다"면서 "또 11개 기준을 비례적으로 사안의 경중 등에 맞춰 상중하로 평가하기 때문에 과징금을 부과하더라도 합리적일 것"이라고 설명했다. 만약 한 기업에 대한 과도한 과징금이 부과된다면 '통상 전쟁'으로도 이어질 수 있는 만큼 합리적인 규제선을 지킬 것이라게 당국과 업계의 관측이다.

아울러 인터넷진흥원이 추진하고 있는 적정성 평가를 연내에 한국이 받을 경우 기업의 그룹 내 개인정보 이동이 자유로워질 수 있다는 기대도 나온다.