한 달 앞으로 다가온 EU GDPR 시행...국내 기업 대응 수준은?

2018-05-03 14:38
  • 글자크기 설정

EU GDPR 홈페이지 메인 화면. [사진 = EU GDPR 홈페이지]
 

# 온라인 서비스를 하는 대기업 A사는 유럽연합(EU)내 법인을 보유하고 있으며, 5년 전부터 유럽 개인정보 보호규정(EU GDPR)에 대비해 왔다. 전체 보안인력의 20%를 개인정보보호 전담 인력으로 구성, 전체 보안예산의 10%를 개인정보보호 예산으로 배정했다. 또한 GDPR 정책을 각 조직에 배포한 동시에 보안·서비스·기획·변호사 등 8명으로 구성된 테스크 포스(TF)를 운영 중이다. 그럼에도 불구하고 GDPR 조항에 대한 법률적 해석이 어려워 역외이전 등 모든 규정을 통과할 수 있을지 노심초사하고 있다. 이를 문의할 수 있는 공식적인 상담 창구조차 없어 현지 로펌을 통해 자문을 받고 있는 실정이다.

EU GDPR의 시행이 한 달도 채 남지 않은 가운데, 국내 기업들의 준비가 여전히 미흡한 것으로 나타났다. 대기업을 포함한 대다수 기업들은 GDPR의 법률적 해석에 어려움을 겪고 있으며 정부의 체계적인 지원과 설명이 필요하다고 입을 모은다.
3일 보안 업계에 따르면 오는 25일부터 시행되는 GDPR은 유럽연합이 제정한 통합 규정으로, 개인정보의 자유로운 이동을 보장하며 정보주체의 개인정보 보호권을 강화한 것이 특징이다. 인종·민족과 정치적 견해 등 인간과 관계된 모든 정보를 개인정보로 정의하고 있으며 정보보안책임자(DPO)를 지정하도록 요구한다.

이 규정을 위반할 경우 최대 2000만유로(약 260억원)나 글로벌 매출의 4% 중 많은 금액을 과징금으로 부과받을 수 있다. 우리나라의 개인정보보호법상 최대 벌금인 5000만원의 520배에 달하는 규모다. 정부는 한국인터넷진흥원(KISA)을 중심으로 GDPR 포럼 및 세미나를 개최하고, 기업들에 대응책 마련을 촉구하고 나선 상태다.

자금력과 인력이 풍부한 대기업들은 그나마 GDPR 기준에 맞게 사내 정책을 전환하고 있지만, 중견·중소 기업들은 발만 동동 구르고 있다. 자본과 인프라가 부족한데다가 법률적 해석의 어려움이 발목을 잡고 있기 때문이다. 

EU의 비식별화 및 익명화에 관한 개념정의는 물론, 개인정보 침해사고 발생 시 대응 프로세스, 역외 이전을 허용하는 적정성 평가 등이 대표적인 케이스다. 복잡한 용어와 법안 판례가 얽혀있는 이 사안들을 신속히 문의할 만한 정부차원의 상담 창구가 없다는 점이 기업들의 가장 큰 애로사항으로 꼽힌다. 

정현철 KISA 개인정보보호본부 본부장은 "페이스북 등 개인정보보호 이슈가 커짐에 따라 글로벌 기업들도 GDPR 준비에 착수할 것으로 예상된다"며 "정부는 올바른 GDPR 거버넌스 체계 마련을 위해 중장기적인 대책을 마련하고, 중소기업·스타트업 위주로 예산과 인력을 지원해 나가야 한다"고 말했다.

한편 글로벌 분석업체 SAS코리아가 지난 2월 글로벌 기업 정보보호 담당자 183명을 대상으로 조사한 'GDPR 대응현황과 당면과제 조사'에 따르면 93%가 아직 대비가 부족하다고 응답했다. GDPR 시행일까지 준비를 마칠 것으로 예상한 기업은 46%에 그쳤으며, 준수 관리를 위한 기술 습득에 어려움을 호소하고 있는 것으로 파악됐다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기