[디지털데일리 최민지기자] 유럽연합(EU) 일반 개인정보보호법(GDPR) 시행까지 100일 남았다. 국내 기업의 발 등에도 불이 떨어졌다. 전문가들은 기존의 정보보호 관련 규정과 목적·방식이 다르고, 과징금 등 법적효력이 상당한 만큼, 당장 기업 전사적으로 대책을 마련해야 한다고 경고하고 있다.
EU는 GDPR을 지난 2016년 5월 제정했다. 사실, 현재도 GDPR이 작동되고 있지만 새로운 제도를 도입하는 만큼 유예기간을 준 것이다. 오는 5월25일부터 유예기간이 끝나고 전세계를 대상으로 GDPR이 본격 시행된다.
적용범위는 사업장이 EU 내에 있거나, EU 국민에게 상품과 서비스를 제공하거나, EU 국민과 관련된 데이터를 수집·분석하는 기업이다. 물리적 위치에 관계없이 적용된다. 개인정보가 EU 국민일 경우, EU 지역 외에서 수집·처리·저장된 개인정보도 포함된다.
GDPR을 위반하면 최대 2000만유로(한화 약 266억원) 또는 전세계 연 매출액 4% 중 더 높은 금액으로 과징금을 내야 한다.
박지호 한국마이크로소프트 기업고객 사업본부 부장은 “현재까지 전세계 개인정보보호법은 양계장의 닭처럼 개인정보를 가두고 관리지침을 정하고 규제하고 활용하는 방식이었다”며 “GDPR은 방목하며 기르는 닭처럼 개인정보를 마음대로 활용할 수 있지만, 반드시 지켜야 하는 룰이 있다”고 설명했다.
이어 “GDPR은 자연인에 관한 개인정보 보호권을 보호하고, EU 역내에서의 개인정보의 자유로운 이동을 보장하는 것을 그 목적으로 한다”며 “법적 효력과 관련해 영토적 범위가 확대됐고, 위반 때 강력한 제재에 대한 의지도 보인다”고 덧붙였다.
상황은 이렇지만, 많은 기업들이 GDPR과 관련한 오해를 하고 있다. GDPR의 경우 기존 규칙과 목적이 다르다. 이를 살피지 않고 기존 규제로만 접근할 경우, GDPR을 위반할 수 있어 우려되는 대목이다.
GDPR에 대한 주요 오해 중 하나는 강력한 보안조치와 암호화만 적용하면 문제없다고 생각하는 것이다. 그러나 GDPR은 기술뿐 아니라 교육, 거버넌스, 사람과 정책에 대해 상당히 많은 부분을 요구하고 있다. 솔루션 도입만으로 GDPR 대응을 완료했다고 말할 수 없다.
오는 5월에 시행되기 때문에 아직은 이를 준수하기 위해 충분한 시간이 있다고 판단하는 점도 문제로 지적된다. 처음에는 과징금이 아닌 경고부터 줄 것이라고 안일하게 대처하는 것도 위험하다.
박 부장은 “정보를 명확하게 제공하지 못하거나, 개인정보 유출 사고가 발생하거나, GDPR 준수를 위한 증빙을 하지 못하면, 과징금을 부과할 수 있기 때문에 경고로만 끝나지는 않을 것”이라며 “기업 전체적인 변화 관리를 해야 한다”고 강조했다.
또 “기업 전사적으로 지금 바로 시작해야 한다”며 “GDPR을 기업 스스로 감당하기 어렵기 때문에 기술적·정책적으로 빠르게 대응할 수 있는 믿을 수 있는 파트너와 전략을 수립해야 한다”고 제언했다.
오는 5월25일 하루를 위해 준비하고 끝내는 것이 아니라, 지속적인 대응 전략도 마련해야 한다. GDPR은 계속 유지·보완될 예정이다.
박 부장은 “국내 법안도 GDPR을 충족하기 위해 변화하고, 데이터를 활용하는 환경으로 바뀌게 될 것”이라며 “GDPR은 IT의 패러다임을 바꿀 만한 내용이기 때문에 하루라도 빠르게 대응해야 유리하다”고 전했다.