줄줄새는 개인정보... EU GDPR 대응책 마련 시급
2018-03-26 14:43
최근 글로벌 IT기업 페이스북의 개인정보 유출 사건으로 국내 주요 인터넷 기업들의 취약한 보안 서비스가 도마위에 오르고 있다. '유럽 개인정보보호법(EU GDPR)' 시행이 두 달 앞으로 다가온 시점에서 관련 대응책 마련이 시급하다는 지적이 제기된다.
26일 보안업계에 따르면 2016년 미국 대선 당시 영국의 정보분석회사 케임브리지 애널리티카(CA)가 페이스북 가입자 5000만명의 개인정보를 트럼프 진영을 지지하는 측에 넘긴 것으로 전해졌다. 이와 관련 마크 저커버그 페이스북 최고경영자(CEO)가 공식 사과를 하며 진화에 나섰지만, 주주들의 집단 소송과 보이콧 운동 등으로 파문은 쉽게 사그라들지 않고 있다.
페이스북의 개인정보 유출 사태는 포털·사회관계망서비스(SNS) 등에 가입한 기존 ID로 다른 웹사이트나 앱에 접속하는 '소셜 로그인' 기능을 통해 발생한 것으로 파악됐다. 일반 회원 가입과 달리 간편하게 이용할 수 있지만, 더 많은 정보를 요구하고 있어 보안성에 취약하다. 국내의 경우 네이버, 카카오 등 국내 주요 인터넷 기업들이 소셜 로그인 기능을 제공하고 있다.
EU GDPR은 유럽연합이 제정한 통합 규정으로, 개인정보의 자유로운 이동을 보장하며 정보주체의 개인정보 보호권을 강화한 것이 특징이다. 인종·민족과 정치적 견해 등 인간과 관계된 모든 정보를 개인정보로 정의하고 있으며, 정보보호책임자(DPO)를 지정하도록 요구한다. 이 규정을 위반할 경우 최대 2000만유로(약 260억원)나 글로벌 매출의 4% 중 많은 금액을 과징금으로 부과받을 수 있다. 우리나라의 개인정보보호법상 최대 벌금(5000만원)의 520배에 달하는 셈이다.
전문가들은 이처럼 EU GDPR이 적용 범위가 넓고 위반 시 거액의 과징금이 부과되는 만큼 철저하게 준비해야 한다고 조언한다. 가령 페이스북에서 유출된 개인정보가 유럽연합 내에서 수집·처리됐다면 이는 위반에 해당, 천문학적인 과징금이 부과될 수 있다는 얘기다.
또 우리나라 정부와 EU간 GDPR 관련 협력 체계를 구축하고, 기업들의 적극적인 동참이 필요하다는 지적이 나온다. 지난해부터 한국인터넷진흥원(KISA)을 중심으로 관련 설명회를 진행하고 안내서를 발간하면서 기업들의 인식 제고에 나서고 있지만, 대다수의 기업들은 여전히 소극적인 움직임을 보이는 실정이다.
성경원 SK인포섹 팀장은 "국내법이 규제하지 않는 부분에 대해 실무적인 개선안을 마련해야 한다"며 "보안 담당자 몇 명만 움직일게 아니라 EU GDPR 적용 대상을 파악하고 이해관계자의 협조를 요청해야 할 것"이라고 제언했다.