줄줄새는 개인정보... EU GDPR 대응책 마련 시급

2018-03-26 14:43

EU GDPR 홈페이지 메인 화면. [사진 = EU GDPR 홈페이지]


최근 글로벌 IT기업 페이스북의 개인정보 유출 사건으로 국내 주요 인터넷 기업들의 취약한 보안 서비스가 도마위에 오르고 있다. '유럽 개인정보보호법(EU GDPR)' 시행이 두 달 앞으로 다가온 시점에서 관련 대응책 마련이 시급하다는 지적이 제기된다.

26일 보안업계에 따르면 2016년 미국 대선 당시 영국의 정보분석회사 케임브리지 애널리티카(CA)가 페이스북 가입자 5000만명의 개인정보를 트럼프 진영을 지지하는 측에 넘긴 것으로 전해졌다. 이와 관련 마크 저커버그 페이스북 최고경영자(CEO)가 공식 사과를 하며 진화에 나섰지만, 주주들의 집단 소송과 보이콧 운동 등으로 파문은 쉽게 사그라들지 않고 있다.

페이스북의 개인정보 유출 사태는 포털·사회관계망서비스(SNS) 등에 가입한 기존 ID로 다른 웹사이트나 앱에 접속하는 '소셜 로그인' 기능을 통해 발생한 것으로 파악됐다. 일반 회원 가입과 달리 간편하게 이용할 수 있지만, 더 많은 정보를 요구하고 있어 보안성에 취약하다. 국내의 경우 네이버, 카카오 등 국내 주요 인터넷 기업들이 소셜 로그인 기능을 제공하고 있다.

네이버와 카카오 등은 사전에 해당 웹사이트의 보안성 등을 검토하고, 넘겨받은 개인정보를 제3자에 유출하지 않겠다는 내용의 약관상 동의를 받는 등 조치를 하고 있다는 입장이다. 하지만 개인정보를 사후관리하는 규정이 없어 유출을 막는 수단이 될 수 없다는 것이 전문가들의 중론이다. 오는 5월 25일부터 EU 회원국 28개국에 적용되는 EU GDPR에 무방비로 노출됐다는 지적이 나오는 대목이다.

EU GDPR은 유럽연합이 제정한 통합 규정으로, 개인정보의 자유로운 이동을 보장하며 정보주체의 개인정보 보호권을 강화한 것이 특징이다. 인종·민족과 정치적 견해 등 인간과 관계된 모든 정보를 개인정보로 정의하고 있으며, 정보보호책임자(DPO)를 지정하도록 요구한다. 이 규정을 위반할 경우 최대 2000만유로(약 260억원)나 글로벌 매출의 4% 중 많은 금액을 과징금으로 부과받을 수 있다. 우리나라의 개인정보보호법상 최대 벌금(5000만원)의 520배에 달하는 셈이다.

전문가들은 이처럼 EU GDPR이 적용 범위가 넓고 위반 시 거액의 과징금이 부과되는 만큼 철저하게 준비해야 한다고 조언한다. 가령 페이스북에서 유출된 개인정보가 유럽연합 내에서 수집·처리됐다면 이는 위반에 해당, 천문학적인 과징금이 부과될 수 있다는 얘기다.

글로벌 로펌 DLA 파이퍼의 GDPR 총괄 파트너인 패트릭 반 에이커 변호사는 "페이스북은 개인정보 유출 사건 이후 이틀간 주가가 9% 넘게 급락했다"며 "개인정보는 체크리스트를 작성해 단계적으로 대응하고, 수집한 정보가 필요 없어지면 삭제·폐기해야한다"고 조언했다.

또 우리나라 정부와 EU간 GDPR 관련 협력 체계를 구축하고, 기업들의 적극적인 동참이 필요하다는 지적이 나온다. 지난해부터 한국인터넷진흥원(KISA)을 중심으로 관련 설명회를 진행하고 안내서를 발간하면서 기업들의 인식 제고에 나서고 있지만, 대다수의 기업들은 여전히 소극적인 움직임을 보이는 실정이다.

성경원 SK인포섹 팀장은 "국내법이 규제하지 않는 부분에 대해 실무적인 개선안을 마련해야 한다"며 "보안 담당자 몇 명만 움직일게 아니라 EU GDPR 적용 대상을 파악하고 이해관계자의 협조를 요청해야 할 것"이라고 제언했다.