한 달 앞으로 다가온 EU GDPR 시행...국내 기업 대응 수준은?

EU GDPR 홈페이지 메인 화면. [사진 = EU GDPR 홈페이지]
 

# 온라인 서비스를 하는 대기업 A사는 유럽연합(EU)내 법인을 보유하고 있으며, 5년 전부터 유럽 개인정보 보호규정(EU GDPR)에 대비해 왔다. 전체 보안인력의 20%를 개인정보보호 전담 인력으로 구성, 전체 보안예산의 10%를 개인정보보호 예산으로 배정했다. 또한 GDPR 정책을 각 조직에 배포한 동시에 보안·서비스·기획·변호사 등 8명으로 구성된 테스크 포스(TF)를 운영 중이다. 그럼에도 불구하고 GDPR 조항에 대한 법률적 해석이 어려워 역외이전 등 모든 규정을 통과할 수 있을지 노심초사하고 있다. 이를 문의할 수 있는 공식적인 상담 창구조차 없어 현지 로펌을 통해 자문을 받고 있는 실정이다.

EU GDPR의 시행이 한 달도 채 남지 않은 가운데, 국내 기업들의 준비가 여전히 미흡한 것으로 나타났다. 대기업을 포함한 대다수 기업들은 GDPR의 법률적 해석에 어려움을 겪고 있으며 정부의 체계적인 지원과 설명이 필요하다고 입을 모은다.

3일 보안 업계에 따르면 오는 25일부터 시행되는 GDPR은 유럽연합이 제정한 통합 규정으로, 개인정보의 자유로운 이동을 보장하며 정보주체의 개인정보 보호권을 강화한 것이 특징이다. 인종·민족과 정치적 견해 등 인간과 관계된 모든 정보를 개인정보로 정의하고 있으며 정보보안책임자(DPO)를 지정하도록 요구한다.

이 규정을 위반할 경우 최대 2000만유로(약 260억원)나 글로벌 매출의 4% 중 많은 금액을 과징금으로 부과받을 수 있다. 우리나라의 개인정보보호법상 최대 벌금인 5000만원의 520배에 달하는 규모다. 정부는 한국인터넷진흥원(KISA)을 중심으로 GDPR 포럼 및 세미나를 개최하고, 기업들에 대응책 마련을 촉구하고 나선 상태다.

관련기사

• 과기정통부 내년 8월 세종시 行...IT업계 '우려', 과학계 '기대'
• KISA, 세르비아·마케도니아 '사이버보안 세미나 및 포럼 개최

자금력과 인력이 풍부한 대기업들은 그나마 GDPR 기준에 맞게 사내 정책을 전환하고 있지만, 중견·중소 기업들은 발만 동동 구르고 있다. 자본과 인프라가 부족한데다가 법률적 해석의 어려움이 발목을 잡고 있기 때문이다. 

EU의 비식별화 및 익명화에 관한 개념정의는 물론, 개인정보 침해사고 발생 시 대응 프로세스, 역외 이전을 허용하는 적정성 평가 등이 대표적인 케이스다. 복잡한 용어와 법안 판례가 얽혀있는 이 사안들을 신속히 문의할 만한 정부차원의 상담 창구가 없다는 점이 기업들의 가장 큰 애로사항으로 꼽힌다. 

정현철 KISA 개인정보보호본부 본부장은 "페이스북 등 개인정보보호 이슈가 커짐에 따라 글로벌 기업들도 GDPR 준비에 착수할 것으로 예상된다"며 "정부는 올바른 GDPR 거버넌스 체계 마련을 위해 중장기적인 대책을 마련하고, 중소기업·스타트업 위주로 예산과 인력을 지원해 나가야 한다"고 말했다.

한편 글로벌 분석업체 SAS코리아가 지난 2월 글로벌 기업 정보보호 담당자 183명을 대상으로 조사한 'GDPR 대응현황과 당면과제 조사'에 따르면 93%가 아직 대비가 부족하다고 응답했다. GDPR 시행일까지 준비를 마칠 것으로 예상한 기업은 46%에 그쳤으며, 준수 관리를 위한 기술 습득에 어려움을 호소하고 있는 것으로 파악됐다.