과징금 최대 260억원 GDPR 후폭풍...한국 무풍지대 아니다

[이뉴스투데이 김은지 기자] 유럽연합(EU)의 새 개인정보보호규정(GDPR, General Data Protection Regulation)이 발효된 지 불과 몇 시간 만에 페이스북과 구글 등 글로벌 IT 공룡들을 상대로 제소가 접수되고 유럽 국가에서 미국 언론사 홈페이지 접속이 중단되는 등 후폭풍이 거세다. 지난 25일 GDPR이 전면 시행된 가운데 국내 기업에 미칠 여파에 대한 불안감도 고조되고 있다. 

GDPR은 기업들이 EU 가입국에서 발생하는 '거래(상행위 또는 트랜젝션)'에서 EU 국민들의 개인 데이터와 프라이버시를 보호할 것을 의무화하는 규정이다.  또한 개인 데이터의 EU 외부 유출과 관련된 내용을 다루고 있다.

◇ GDPR 발효 직후 IT공룡들 줄줄이 제소 '후폭풍' = GDPR 발효 직후 구글과 페이스북이 소송을 당한 가운데 우리 정부와 기업도 대응책 마련에 부심하고 있다. 당장 정부에는 조속한 시일 내 '적정성 평가'를 통과하고 EU 거주자의 개인정보를 역외로 손쉽게 이전할 수 있도록 하는 'GDPR 화이트 리스트' 등재가 시급하게 요구되고 있다. 적정성 평가는 EU가 해당 국가의 개인정보보호 수준이 GDPR과 비슷하다고 판단될 시 허용하며 EU 국가의 개인정보 데이터를 자유롭게 이관, 활용할 수 있게 한다. 

27일 BBC 등 외신에 따르면 오스트리아의 개인정보보호단체 noyb.eu는 구글과 페이스북, 인스타그램, 왓츠앱이 GDPR을 위반했다고 주장하며 프랑스, 독일, 오스트리아, 벨기에 등 국가에 무더기로 제소했다. 이 단체는 이들 사업자가 서비스 이용 시 기업의 개인정보 활용에 무조건 동의할 것을 강제했다고 제소 이유를 밝혔다. 

noyb.eu는 "GDPR은 서비스 이용 시 수집해야 하는 개인정보 데이터를 엄격하게 필요한 수준으로 제한하고 있지만 이들 사이트들은 광고 활용을 위해 이용자들의 개인정보 활용 동의를 사실상 강제하고 있다"고 주장했다. 

CNBC도 유럽 국가에서 미국 LA타임스와 시카고 트리뷴 등 일부 언론사의 웹사이트 접속이 중단됐다고 보도했다. GDPR 규정에 부합하지 못하면서 유럽 내 접속이 차단된 것이다. 또 아리조나 데일리 선, 스타페이퍼 등 미국 21개 지역 내 46개 일간지를 보유한 리 엔터프라이즈도 유럽 내 서비스를 중단했다.

개인정보 처리 기준이 GDPR 기준에 부합하지 못한다고 판단하는 경우, EU지역에서 일시적인 서비스 중단 및 완전 철수 등을 고려하기도 한다. 리 엔터프라이즈는 규정에 부합하는 시스템을 구축한 뒤 서비스를 재개할 것으로 전해졌다. 

◇ 과징금 최대 260억원 '한국 520배'...중소기업 도산 우려도= GDPR과 관련 불안감이 확산되는 데는 이 규정을 위반할 시 사안의 경중에 따라 최대 세계 매출액의 4% 또는 2000만 유로(약 260억) 중 높은 금액의 과징금을 부과받는 데 있다. GDPR은 개인정보보호 지침을 대체하는 법적 효력을 갖는 규제다. 적용 항목이 매우 광범위 한데다 개인정보 관리에 대해 매우 강도 높은 규제 수준을 포함한다.

현재 우리나라 개인정보보호법 위반 벌금은 최대 5000만원 수준이지만, GDPR 규제 적용 시 최대 520배에 달하는 벌금을 내게 되는 셈이다. 유럽 시장을 공략 중인 대기업들을 발 빠르게 GPDR 대응책을 준비해왔지만, 자본력이 없는 중소·스타트업이 이 사태에 직면할 경우 도산 위기에까지 처할 가능성이 있다. 

GDPR 적용 대상은 지사 형태를 포함한 사업장이 EU 회원국에 위치한 경우, 또 EU 시민에게 상품과 서비스를 제공하는 기업이다. EU 시민을 대상으로 하는 여행, 항공, 호텔업 등이 대표적이며, 게임사 또한 이 규정의 준수가 필수 불가결하다. 모바일 게임의 경우 구글 플레이로 글로벌 퍼플리싱이 가능하다. 이 경우 전 세계인을 사업 대상으로 하는 만큼 GDPR 적용 대상에 해당된다. 

이외에도 교육 업체가 EU 내 스페인권과 포르투갈어권 대학에 강좌를 개설하고, 서비스 제공을 위해 고객이 ID와 비밀번호를 요구하는 경우도 GDPR 적용 대상에 들어간다. 

◇ '적정성 평가 인증' 등 범정부 차원 대응책 마련 시급= 이에 따라 GDPR 대응책의 하나로 꼽히는 '적정성 평가' 인증과 관련 우리 정부의 움직임도 속도를 내야 한다는 요구가 커지고 있다.

적정성 평가란 EU 시민의 개인정보를 타 국가가 이전해 사용할 수 있는지 안정성을 평가하는 것이다. EU는 유럽 시민들의 개인정보 보호를 강화하기 위한 GDPR 제정과 함께 제3국의 개인정보 보호수준의 적정성을 평가하기 위한 적정성 평가 제도를 마련하고 있다. 

현재 EU는 우리나라와 일본을 적정성 평가 우선 대상으로 검토 중이다. 개인정보보호 적정성 승인을 받으면 GDPR과 관련 우리나라 기업의 부담은 다소 경감될 전망이다. 이 평가를 통과하면 별도 규제 없이 개인정보를 EU로부터 역외 이전 할 수 있기 때문이다. 

우리 정부는 GDPR 대응을 위해 국무조정실, 방통위, 산업부, 외교부, 중기부, 행안부 등 범부처 차원의 협력에 나서고 있고 올해 말까지 적정성 평가를 거쳐 화이트리스트에 올라가는 것을 목표로 하고 있다.

이와 함께 개인정보·보안 관련 주무기관인 한국인터넷진흥원(KISA)은 GDPR 관련 교재와 세미나 등 프로그램을 다양화하고 내년 현지(유럽)에 지원센터를 개소해 직접 지원이 가능하게 하는 등 중소기업과 스타트업 지원 비중에 확대를 둘 예정이다. 

유럽법인을 보유한 '네이버'도 GDPR에 대한 대략적인 대응을 마치고 GDPR 준수에 더욱 어려움이 많을 것으로 예상되는 '스타트업'에 네이버 내부의 GDPR 관련 노하우 및 지식 등을 공유하고 있다. 네이버는 지난해부터 △스타트업 대상 GDPR 설명회 개최 △한-EU GDPR 기업 간담회 참석 △프라이버시백서 페이지 내 GDPR 연구과제 수록 △이진규 정보보호최고책임자(CISO 겸 CPO)를 정보보호담당자(DPO)로 지정 △네이버 계열사 GDPR 워크숍 개최 등 GDPR과 관련한 다양한 활동을 진행 중이다.