# 유럽연합(EU)에 스마트폰 액세서리를 납품하는 중소 제조업 A사는 최근 유럽 당국으로부터 한통의 고지서를 받게 됐다. 자사의 상품을 마케팅하는 과정에서 고객정보를 무단으로 사용한 데 따른 벌금 통보였다. A사는 고객의 개인정보를 수집하기 전에 앞서 공지를 미리 했다고 항변했지만, 중간에 처리되는 수집 전반의 과정을 기록에 남기지 않아 개인정보보호규정(GDPR)을 위반했다는 답변이 돌아왔다. 이런 사실을 인지하지 못했던 A사는 전년도 매출액(110억원)을 훌쩍 뛰어넘는 2000유로(252억원)에 달하는 벌금을 영락없이 물게 됐다.

지난 25일(현지시간) EU GDPR 발효 이후 가상으로 그려본 수출 기업의 피해 시나리오다. 전례없는 유럽발(發) 초강력 개인정보 규제가 전면 시행되면서 전 세계 기업들의 적지않은 혼란이 예상된다. 특히 EU에 진출한 수많은 국내 수출 중소·중견업체가 무방비로 노출돼 있어 대응책 마련이 시급하다는 목소리가 높다.

28일 글로벌 컨설팅 업체 캡제미니가 EU 역내에 진출한 기업을 대상으로 한 조사결과에 따르면, GDPR에 대응할 준비가 된 기업은 15%에 불과한 것으로 나타났다. 85%의 기업이 준비가 되지 않았다고 답했고, 이 가운데 25%가 오는 연말까지도 준비를 할 수 없을 것이라고 우려했다.

실제 GDPR 발효 첫 날에는 글로벌 IT기업인 페이스북과 구글이 개인정보보호단체로부터 사용자가 서비스를 사용하기 위해서는 광고에 동의하도록 강요했다는 이유로 EU로부터 제소를 당했다. 미국 주요 언론사인 LA타임스와 시카고트리뷴 등 웹사이트 접속도 중단되면서 혼란을 빚었다.

일부 기업은 유럽 내 사업 철수 또는 사업 축소를 선택했다. 애리조나 데일리 선, 스타페이퍼 등 미국 21개 지역 내 46개 일간지를 보유한 리 엔터프라이즈는 EU 내 서비스를 중단했다. 위치 기반 모바일 마케팅 기업 '버브'는 영국·독일 등 유럽에 위치한 사업장을 폐쇄하기로 결정했으며, 우버 엔터테인먼트는 온라인 전투 게임 '슈퍼 먼데이 나이트 컴뱃'의 EU 서비스를 종료한다고 발표했다.

국내 기업들도 대책 마련에 분주하다. 삼성전자와 LG전자 등은 수백명의 개인정보보호 전담 인력을 구성하고 현지 법인팀을 구성해 일찌감치 대응에 나선 상황이다. 네이버와 넥슨 등 IT 기업들도 개인정보보호 예산을 별도로 배정하고, 테스크 포스(TF)팀을 별도로 꾸려 준비에 들어갔다.

반면 정보와 자금력에서 열세인 중소기업들은 발만 동동 구르는 상황이다. 한국중견기업연합회(중견련) 관계자는 "대다수의 인터넷 스타트업, 중소 제조업, 개발사 등은 GDPR이 정보보호책임자(DPO)를 지정하도록 요구하는 사실 조차도 모르는 경우가 태반"이라고 우려했다.

전문가들도 GDPR 시행으로 글로벌 경쟁력을 가진 중소·중견기업들의 해외 시장 진출 동력이 소실될 수 있다고 입을 모은다. 중견련에 따르면 EU 시장에 진출한 중견기업은 2016년 기준 전체 수출기업 1320개의 절반에 가까운 약 570개, 중견기업의 유럽 현지 법인만도 235개에 달한다. 우리나라와 EU의 상품 교역규모가 997억 유로(129조 6000억원)라는 점을 감안할 때 중소·중견기업의 철수가 막대한 수출 감소로 이어질 것이라는 우려가 나온다.

김선희 법무법인 율촌 변호사는 "한국의 개인정보 및 기타 법령과 충돌하는 부분이 없도록 대응 체계와 담당 조직을 재정비해야 한다"며 "이와 함께 지속적인 교육과 모니터링, GDPR 준수 노력을 증빙할 자료까지 꼼꼼히 챙겨야 할 것"이라고 조언했다.

권현준 KISA 개인정보정책단장은 "정부는 GDPR 적용 대상이 될 수 있는 중소기업과 스타트업 등을 중심으로 최대한 많은 컨설팅을 제공하고, 체계적으로 준비할 수 있도록 예산을 투입할 계획"이라고 말했다.