‘GDPR’ 발효 임박에 중소·벤처기업 대응 촉각...위반시 260억 과징금

[이뉴스투데이 김은지 기자] 유럽연합(EU)의 개인정보보호규정 GDPR(General Data Protection Regulation)이 2년간의 유예 기간을 마치고 내달 25일 발효하는 가운데 국내 중소기업, 스타트업에 발 빠른 대처가 요구된다. 기업이 가진 데이터 현황 파악과 문서보안 강화, GDPR 전담 조직 개설 등 선제적 대응이 시급할 전망이다.

GDPR 대응책의 하나로 꼽히는 '적정성 평가 인증'과 관련 우리 정부의 대응 움직임도 속도를 낼 필요가 있는 상황이다. 

GDPR 이전에 적용됐던 EU의 개인정보보호 지침 'DPD(Data Protection Directive)'는 지난 1995년 채택됐다. 하지만 DPD 시행 이후 변화된 인터넷 기술과 환경을 반영해 EU는 4년간의 합의와 3000건 이상의 수정안 제출을 거쳤고 지난 2016년, GDPR을 올해 5월 25일부터 시행하기로 의결했다. 

GDPR 발효가 임박함에 따라 중소기업, 스타트업에 막대한 과징금 등 피해가 쏠릴 수 있다는 우려가 날로 커지고 있다. 대기업들은 GDPR 대응에 일찍이 총력을 집중하고 있지만 중소·벤처기업들은 과징금에 대한 우려만 표할 뿐 기술적인 대응책을 마련하는 속도는 더딘 실정이다. 

GDPR 발효와 관련 우리 기업은 과징금 부과와 산정 기준에 촉각을 기울이고 있다. GDPR 규정을 위반하면 사안의 경중에 따라 최대 전 세계 매출액의 4% 또는 2000만 유로(약 260억) 중 높은 금액의 과징금을 부과받는다. 현재 우리나라 개인정보보호법 위반 벌금은 최대 5000만원 수준이다. GDPR 규제 적용 시 최대 520배에 달하는 벌금을 내는 셈으로, 웬만한 중소·스타트업의 영업이익을 넘어서는 수준이다. 이 사태에 직면할 경우 기업의 도산까지도 우려할 수 있다. 

GDPR은 개인정보보호 지침을 대체하는 법적효력을 갖는 규제다. 기업의 준수 여부는 자율에 맡기고, 상시 모니터링을 하는 것은 아니지만 개인정보 유출 사건 등 트리거(Trigger)가 발생할 시에는 침해 수준에 비례한 과징금 부과가 불가피하다. 

GDPR 적용 대상은 지사 형태를 포함한 사업장이 EU 회원국에 위치한 경우, 또 EU 시민에게 상품과 서비스를 제공하는 기업에 해당한다. EU 시민의 개인정보를 처리하거나, EU 역내 정보 주체를 추적해 개인의 특성을 평가하고 예측하는 모니터링을 해야 하기 때문이다. 

EU 시민을 대상으로 하는 여행, 항공, 호텔업 등이 대표적이다. 모바일 게임의 경우 구글 플레이로 글로벌 퍼플리싱이 가능한데, 이 경우 전 세계인을 사업 대상으로 하는 만큼 GDPR 적용 대상에 해당된다. 이외에도 교육 업체가 EU 내 스페인권과 포르투갈어권 대학에 강좌를 개설하고, 서비스 제공을 위해 고객이 ID와 비밀번호를 요구하는 경우도 마찬가지다. 

EU 역외에 설립된 기업이 EU  시민을 구체적으로 겨냥하지 않은 상황에서, EU 시민이 서비스를 활용하는 경우는 예외이다. 

GDPR 과징금 산정 기준은 11가지로 침해 수준에 비례해 과징금이 결정된다.

세부적으로 위반의 성격과 중대성 및 지속시간, 위반의 의도성과 태만여부, 정보주체 피해를 경감하기 위한 컨트롤러와 프로세서의 조치, 기술적·조직적 보호조치를 고려한 컨트롤러와 프로세서의 책임 수준, 컨트롤러와 프로세서가 이전에 범했던 관련 법규의 위반여부, 위반을 해결하기 위한 감독기구와의 협조 수준이 이에 해당한다. 

이와 함께 위반으로 인해 영향을 받게 되는 개인정보의 종류, 컨트롤러와 프로세서의 위반통지 여부, 동일한 사안에 대한 감독기구의 명령이 부과된 바가 있는지 여부, 승인된 행동 강령 또는 인증 메커니즘의 준수 여부, 위반으로 인해 직간접적으로 얻은 금전적 이익과 회피한 손실도 과징금 부과와 산정의 기준이다.

컨트롤러는 개인정보 처리 목적과 방법을 결정하는 주체, 프로세서는 컨트롤러를 대신해 개인정보를 처리하는 주체다. 예를 들어 한 기업이 급여 관리 대행사와 직원의 임금 관리 업무계약을 맺는다. 대행사가 IT시스템을 구축해 직원들의 정보를 처리하는 경우, 업무를 요청한 기업은 컨트롤러가 되고 급여 대행사는 프로세서가 된다. 

GDPR 발효가 다가옴에 따라 우리 정부가 조속한 시일 내 EU 적정성 평가를 통과해야 한다는 요구가 높아지고 있다. 

EU는 유럽 시민들의 개인정보 보호를 강화하기 위한 GDPR 제정과 함께 제3국의 개인정보 보호수준의 적정성을 평가하기 위한 적정성 평가 제도를 마련하고 있다.

적정성 평가란 EU 시민의 개인정보를 타 국가가 이전해 사용할 수 있는지 안정성을 평가하는 것이다. 현재 EU는 우리나라와 일본을 적정성 평가 우선 대상으로 검토하고 있으며, 기존 인증을 받았던 영미권의 국가들도 GDPR 발효에 따른 적정성 평가를 새로 받아야 하는 상황이다.

개인정보보호 적정성 승인을 받으면 GDPR과 관련 우리나라 기업의 부담은 다소 경감될 전망이다. 이 평가를 통과하면 별도 규제 없이 개인정보를 EU로부터 역외 이전 할 수 있다. 

다만, 적정성 평가가 언제 통과될지 예단하기는 힘든 상황이다.

기업들은 11개의 세세한 지침을 모두 충족시키기 어려운 만큼, 정부가 EU의 적정성 평가를 조속히 통과해 기업에 가해지는 규제를 경감해야 한다고 지적한다. 

방송통신위원회 등 정부에 따르면 적정성 평가 절차에는 짧으면 2년에서 최대 12년의 기간이 소요된다. 실제 적정성 평가 과정에서 광범위한 조사가 불가피해 4년 내지 8년의 기간이 소요된 국가의 사례도 있다. 

권현준 한국인터넷진흥원(KISA) 개인정보정책단장은 국내 기업의 GDPR 대응 현황과 관련 "적정성 평가를 최대한 받을 수 있을 것이라고 희망적으로 보고 있다"며 "올해 말까지 적정성 평가를 거쳐 화이트리스트에 올라 가겠다는 것이 목표"라고 말했다. 

이어 "우리 기업들의 가장 큰 고민이 과징금인 만큼 GDPR 관련 교재와 세미나 등 프로그램을 다양화하고 나중에는 교육 콘텐츠를 개발할 예정" 이라며 "내년 현지(유럽)에 지원센터를 개소해 직접 지원이 가능하게 할 예정이고 중소기업과 스타트업 지원 비중에 확대를 둘 계획"이라고 덧붙였다. 

정현철 KISA 개인정보보호본부 본부장은 "우리나라 정보통신망 법도 EU와 크게 다르지 않은 만큼, 막연한 불안감보다는(정보보안기술 등)갭을 줄이기 위한 노력이 필요하다"면서 "중소기업·스타트업은 어려움을 많이 겪을 것으로 예상되기 때문에 이들 위주로 예산과 인력 투입이 우선시 돼야 할 것"이라고 말했다.