[IT 칼럼] 기업의 존폐를 좌우하는 유럽개인정보보호법(GDPR) 시행, 철저히 대비해야
[IT 칼럼] 기업의 존폐를 좌우하는 유럽개인정보보호법(GDPR) 시행, 철저히 대비해야
이 기사를 공유합니다

석호익 동북아공동체ICT포럼회장/한국디지털융합진흥원장

 

강력한 개인정보보호법(GDPR)이 이달 25일부터 유럽에서 시행된다. 또한 유럽연합(EU)은 EU 회원국마다 달랐던 기업들의 개인정보 취급 규정을 하나로 통일할 예정이다. 시행지역은 유럽이지만 파급효과는 전 세계적이다. EU 회원국에 본사나 지사를 두고 있는 모든 기업과 EU에 진출해 있지 않은 기업이라도 EU 시민들의 개인정보를 취급하는 모든 기업의 정보통제자, 정보처리자, 정보보호책임자 등이 적용대상이다. 적용 범위도 정보기술(IT), 금융, 자동차 등 개인정보를 취급하는 전 산업 분야이다.

이 법이 시행되면 개인정보를 취급하는 모든 기업은 개인정보를 수집해 활용할 때 반드시 사용자 동의를 얻어야 한다. 개인정보는 처리 목적에 필요한 기간을 초과해 보관할 수 없으며 사용자의 요청이 있으면 개인정보 사용 동의 방침을 철회하거나 데이터를 삭제해야 한다. 처벌 수위도 매우 강력하다. 개인정보 처리 원칙, 동의요건, 국외이전 등 심각한 GDPR 규정을 위반한 경우, 전 세계 연간 매출액의 4% 또는 2000만 유로 중 더 높은 금액이 과징금으로 부과된다. 그 외 일반적 위반의 경우 전 세계 연간 매출액의 2% 또는 1000만 유로 중 더 높은 금액이 과징금으로 부과된다.

EU 규제당국은 기업이 소유한 개인정보의 위치 파악, 검색, 보호, 모니터링 등 막강한 권한을 행사한다. 이에 따라 EU에 지사를 두고 있는 글로벌 기업이 자국 본사로 EU 시민들의 개인정보를 이송하길 원하는 경우 EU 당국의 승인을 받아야 한다.

GDPR 시행을 앞두고 그동안 개인정보 유출이 사회문제가 되고 있으면서도 개인정보보호에 등한시했던 세계 각국 정부와 기업들은 잔뜩 긴장하고 있다. 최근 미국 대선과 영국 등지에서 개인정보 유출로 곤욕을 치른 페이스북처럼 유사한 사례가 발생할 경우 기업의 문을 닫아야 하는 상황까지 발생할 수 있다.

GDPR의 법률적 기준을 충족하기 어려운 일부 기업은 손익을 따져 GDPR 대응 시 손해가 크다고 판단되면 유럽 대상 서비스를 종료하는 사례도 잇따르고 있다. 법률적 복잡성을 피하고 위험 부담을 최소화하기 위함이다. 외신에 따르면 지메일과 연동해 받은 편지함 정리를 돕는 이메일 관리 서비스 ‘언롤미’는 유럽 사용자를 대상으로 한 서비스를 오는 25일 전에 종료한다. 위치 기반 모바일 마케팅 기업 ‘버브’는 지난달 영국·독일 등 유럽에 위치한 사업장을 폐쇄하고 미국 사업에 집중한다고 한다. 또한 개인화 마케팅 플랫폼 기업 ‘드로우브리지’는 영국 런던에 위치한 사무소를 폐쇄한다. 우버 엔터테인먼트의 온라인 전투 게임 ‘슈퍼 먼데이 나이트 컴뱃’은 EU 규정을 준수하는 데 비용이 높아 서비스를 종료한다고 발표했다. 마이크로소프트 SQL 서버 관련 교육·컨설팅 서비스를 제공하는 미국 중소기업 ‘브렌트 오자르’와 미국사이버보안 기업 ‘스틸루트’의 경우 GDPR 발효 전에 EU 지역의 서비스를 중단한다.

GDPR 시행을 앞두고 국내에선 한국인터넷진흥원(KISA)이 GDPR 시행에 대한 대비를 주도하고 있다. 행정안전부와 함께 브뤼셀 EU 지역위원회에서 ‘유럽 GDPR 기업간담회’를 개최했고 이를 바탕으로 우리 기업을 위한 GDPR 1차 가이드라인을 발표했다. 앞으로 중소·벤처기업 등을 중심으로 컨설팅을 제공하고 초심자용·중급자용 GDPR 교재를 배포할 예정이다. 국내 기업들도 대응책 마련에 나서고 있다. 삼성전자와 LG전자는 개인정보 보호사무국 조직을 설치하고 보유한 정보 데이터를 문서화하고 데이터 침해 보고 절차를 수립하는 등 대책을 마련하고 있다. 네이버와 유럽법인 넥슨유럽도 GDPR 예산을 따로 책정하는 등 대책마련에 골몰하고 있다.

GDPR 시행 후 이 법을 위반하면 기업의 존폐여부와도 직결될 수 있다. 먼저 정부는 관계부처 합동으로 긴급히 우리나라의 대응실태를 점검하고 장단기 대책을 마련해야 한다. KISA를 통해 여건이 어려운 중소기업에 대한 컨설팅을 강화하고 단기적으로 대응하기 어려운 기업은 유럽 내 서비스와 영업을 잠정 중단하는 것도 고려해야 한다. 장기적으로는 GDPR과 유사한 법률의 제·개정도 검토해야 한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.