유럽연합(EU)의 개인정보보호법(GDPR) 시행이 눈앞에 다가왔다. GDPR의 주요 규정을 위반할 경우 해당 기업은 2000만 유로(약 265억 원) 또는 전년도 전 세계 매출액의 4% 중 더 큰 금액으로 과징금을 내야한다. GDPR은 유럽 내에 설립된 기업들 뿐 아니라 유럽을 대상으로 사업하는 기업들에게도 적용될 수 있다. 가령 유럽에 법인이 없어도 유럽 국민들에게 서비스를 제공하거나 제품을 판매할 경우 GDPR이 적용될 수 있다는 것이다. 

이에 국내외 기업들은 GDPR 대응에 고심하고 있다. 최근 정보유출 사건을 경험한 페이스북 등에 GDPR 준수를 촉구하는 목소리가 높아지고 있다. 국내에서는 대기업들을 중심으로 GDPR 대응 준비를 하고 있다. 업계에서는 앞으로 GDPR 위반으로 유럽 사업을 중단하거나 대규모 과징금을 물어내는 사례가 등장할 수 있다고 우려하고 있다.

GDPR은 무엇인가?

디지털 사회가 되면서 각종 서비스를 이용하는 사람들은 개인정보를 입력하게 됐고 기업, 기관들은 이같은 데이터를 이용하고 있다. 데이터 수집과 이용이 늘면서 개인정보보호의 필요성도 높아졌다. 이에 각국에서는 개인정보를 보호하기 위한 방안을 마련해 시행하고 있다.

국내에서는 1995년 1월부터 공공기관을 중심으로 개인정보를 보호하는 ‘공공기관의 개인정보보호에 관한 법’이 시행됐다. 그리고 2011년 9월에는 민간으로 범위를 확대한 개인정보보호법이 새로 제정됐다.  

EU에서도 개인정보보호를 위한 방안이 추진되고 있다. 1995년 10월 EU는 개인정보보호와 관련해 ‘EC지침95/46’을 채택했다. EU 회원국들은 EC지침95/46을 각자 국내입법을 통해 시행하고 있다. EU 회원국들은 지침을 기반으로 자신들의 상황에 맞게 개인정보보호 정책을 추진하고 있어 완전한 통합성을 갖추고 있지는 않았다.

EU는 회원국들 사이에 통일성 있는 개인정보보호와 활용을 위해 GDPR을 새롭게 만들어 시행하려는 것이다. 유럽위원회는 2012년 1월 GDPR을 제안했고 2016년 4월 EU 이사회와 유럽 의회가 GDPR 최종안을 채택했다. 
이에 2016년 5월 24일 GDPR이 발효돼 2018년 5월 25일부터 적용된다. GDPR은 11장, 173개 전문, 99개 본문으로 구성돼 있으며 모든 EU 회원국에게 직접적으로 적용된다. 별도 입법은 불필요하다.

박노형 고려대 법학전문대학원 교수는 4월 11일 한국인터넷진흥원(KISA)이 서울 삼성동 코엑스에서 개최한 ‘EU GDPR 대응 포럼’에서 GDPR의 취지를 설명했다. 

박 교수는 “GDPR은 개인정보 처리에 관한 자연인의 보호 및 개인정보의 자유로운 이동을 목적으로 한다”며 “GDPR은 EU 내에서 개인정보의 자유로운 이동이 개인정보보호에 연계된다는 이유로 제한하거나 금지돼서는 안 된다고 규정해 개인정보 활용을 개인정보보호와 동일한 가치로 인정하고 있다”고 주장했다. 그는 또 “한국의 개인정보보호법은 개인의 자유와 권리를 보호하고 개인의 존엄과 가치를 구현하는 목적을 가진다고 규정해 개인정보의 자유로운 이동, 즉 개인정보의 활용을 염두에 두지 않고 있다”고 덧붙였다.

EU가 GDPR을 시행하는 이면에는 미국 등의 IT기업을 견제하고 유럽을 디지털 단일시장으로 성장시키고자 하는 목적이 깔려있다는 분석도 있다. 디지털 싱글 마켓에 적합하고 통일된 개인정보보호 및 관리 체계를 만들어 EU 내부의 개인정보 이용을 촉진하면서 해외 기업에 대해서는 규제를 하겠다는 것이다.

그렇다면 GDPR에서는 어떤 내용이 포함돼 있을까? 지난해 12월 행정안전부와 KISA가 공개한 ‘우리 기업을 위한 유럽 GDPR 1차 가이드라인’에 GDPR에 관한 특징들이 나와 있다. 

가이드라인에 따르면 GDPR은 적용 범위가 넓다. EU 내에 설립된 기관의 개인정보 처리 활동 외에도 EU 밖에서 EU에 있는 사람들에게 재화나 용역을 제공하거나 EU 내에 있는 사람들이 수행하는 활동을 감시하는 기관에 적용된다.

EU에 법인이 없어도 EU 국민들을 대상으로 서비스를 제공할 경우에는 적용을 받을 수 있다는 것이다. 가령 한국에 있는 전자상거래 업체가 독일 도메인(.de)으로 사이트를 만든 후 독일어로 상품을 소개해 판매한다면 EU 회원국인 독일을 겨냥한 것이기 때문에 GDPR 대상이 된다. 독일어 이외에도 프랑스어, 이탈리아어, 스페인어 등 EU 회원국 국민들이 사용하는 언어로 서비스를 제공할 경우 GDPR에 적용될 수 있다는 점을 고려해야 한다. 

이같이 EU 이외에서 GDPR을 적용받는 기업은 EU 내에 대리인을 지정해야 한다. 대리인은 GDPR의 준수를 보장하기 위한 목적으로 지정되며 EU 내 감독당국과 국민들을 상대하도록 권한을 부여받아야 한다. 또 대리인은 개인정보 처리 활동을 기록해 유지해야 한다. 대리인을 지정하지 않으면 과징금을 부과 받을 수 있다.

강력한 제재 내용 담은 GDPR

GDPR은 강력한 제재 규정도 담고 있다. GDPR 규정을 심각하게 위반할 경우 직전 회계연도의 전 세계 매출액 4% 또는 2000만 유로 중 더 큰 금액을 물어내야 한다. 일반적인 위반의 경우에도 직전 회계연도의 전 세계 매출액 2% 또는 1000만 유로 중 더 큰 금액으로 과징금이 부과될 수 있다.

박노형 교수에 따르면 영국의 인터넷 서비스 제공기업 ‘토크토크(TalkTalk)’에서 2015년 10월 약 16만명 고객의 개인정보가 유출되는 사건이 있었다. 이 사건으로 토크토크는 40만 파운드(약 6억 원)의 과징금을 내야했다. 그런데 같은 사건을 GDPR에 적용하면 180배에 해당하는 7400만 파운드(약 1100억 원)의 과징금이 부과될 수 있다.

GDPR은 개인정보의 정의도 확대했다. 인터넷주소(IP), 무선태그(RFID), 위치정보 등을 개인정보로 분류했다. 또 바이오정보, 유전정보 등 민감한 성격의 개인정보는 특별한 유형의 개인정보로 정의했으며 가명처리 개념도 도입했다.

GDPR은 개인정보 처리에 관한 원칙도 확립했다. 개인정보를 처리하는 경우 적법성, 공정성, 투명성 원칙을 준수해야 하며 목적을 제한하고 개인정보 수집을 최소화해야 하며 저장도 제한해야 한다. 개인정보의 처리는 이런 원칙에 따라 법률이 허용한 요건에 맞춰 처리돼야 한다.

개인정보 관리자는 개인정보가 유출됐을 경우 이를 통지할 의무도 있다. 개인정보를 관리하는 기업이 개인정보 유출 사실을 알게 된 때부터 가능한 72시간 내에 감독당국에 신고를 해야 하며 위험이 예상될 때는 유출된 당사자에게 지체 없이 통보해야 한다.

GDPR은 최고데이터보호책임자(DPO) 의무 지정도 규정하고 있다. 적용 대상이 공공기관이거나 또는 기업이 사람들에 대한 정기적이고 체계적인 모니터링을 수행하거나 민감 정보, 범죄경력 정보를 처리할 경우에는 DPO를 의무적으로 지정해야 한다. 

KISA의 가이드라인에 따르면 EU를 대상으로 병원 등 의료서비스를 제공하는 경우 민감한 개인정보를 처리하기 때문에 DPO를 지정해야 한다. 또 보안 회사가 유럽 내 쇼핑센터 등의 공간을 감시해 안전을 관리할 경우에도 DPO 지정이 필요하다. DPO는 전문 지식을 보유하고 있어야 하며 업무 독립성을 보장받아야 한다.

GDPR은 개인권리를 강화한 것도 특징이다. GDPR은 삭제권을 보장하는 내용을 담았다. 개인정보가 원래 수집, 처리 목적에 더 이상 필요하지 않을 때, 사용자가 개인정보 활용 동의를 철회했을 때, 개인정보가 불법적으로 처리됐을 때 개인정보를 삭제해야 한다.

GDPR 대응에 기업들 비상

GDPR 시행을 앞두고 국내외 기업들은 대응 방안 마련에 고심하고 있다. 최근 8700만명의 사용자 정보가 유출된 페이스북은 GDPR을 전면 적용하라는 압박을 받고 있다. 4월 4일(현지시간) 마크 저커버그 페이스북 최고경영자(CEO)는 로이터와의 인터뷰에서 GDPR에 부합하는 개인정보보호 정책을 전체 국가로 확대하기 어렵다고 밝혔다.

그는 “페이스북 개인정보 정책의 상당 부분이 이미 GDPR와 부합하는 수준”이라며 “우리도 (GDPR에 맞춘 정책을) 전 세계 국가에 적용하고 싶지만 예외사항을 둘 수밖에 없다”고 말했다. GDPR을 유럽에서는 적용하지만 미국, 아시아 등 지역에서는 완전히 적용하기 어렵다는 것이다. 이후 4월 11일(현지시간) 열린 페이스북 정보유출 관련 미국 의회 청문회에서는 개인정보보호 강화를 위해 GDPR을 적용하라는 주장이 나왔다. 페이스북을 대상으로 한 GDPR 전면 도입 주장은 당분간 계속될 것으로 보인다. 구글, 애플 등 대형 IT기업들 역시 페이스북과 같은 상황에 처해있다.

국내 움직임도 빨라지고 있다. KISA는 2017년 5월 GDPR 규제 강화 대응 설명회를 열었으며 11월에는 한국-EU 기업간담회를 개최했다. 간담회에는 국내 30여개 기업들이 참석했다. 12월 11일에는 GDPR 세미나를 열고 유럽 GDPR 1차 가이드라인을 발표했다. 향후 KISA는 2차 가이드라인을 제공하고 세미나, 설명회도 개최할 예정이다.

또 4월 12일 허욱 방송통신위원회 부위원장은 베라 요로바 유럽연합(EU) 사법총국 담당 집행위원과 벨기에 브뤼셀에서 만나 GDPR에 대한 한국 내 관심을 표명하고 협력을 요청했다.

기업들의 대응도 이어지고 있다. 4월 1일 네이버와 자회사 라인은 최근 일본 신주쿠 라인 본사에서 EU GDPR 대응 워크숍을 개최했다. 또 네이버는 이진규 정보보호최고책임자(CISO 겸 CPO)를 DPO로 선임했다. 이진규 네이버 DPO는 대리인 지정, 개인 정보 영향평가 수행, 개인 정보 국외 전송 메커니즘 대응, 이용자 권리 요청 대응 전략을 세우고 있다.

다른 기업들 역시 비슷한 상황이다. KISA는 지난 3월말 3개 온라인 사업자, 1개 금융사, 1개 제조사를 대상으로 GDPR 준비 실태를 조사했다. 5개 기업들은 모두 법률 자문을 구하고 대응 조직을 구성해 준비하고 있었다. 

KISA의 조사 결과에 따르면 기업 관계자들은 GDPR 준비 수준과 관계없이 GDPR 자체에 대한 막연한 두려움을 갖고 있었다. 이는 GDPR에 대한 명확한 이해가 아직 부족하다는 점을 나타낸다. 또 GDPR 조항에 대한 법률적 해석에 가장 큰 어려움을 겪고 있는 것으로 조사됐다. 영어로 된 조항과 유럽 문화에서 그것이 의미하는 바가 무엇인지 이해가 필요한 부분이다. 또 대기업들은 이처럼 준비를 하고 있지만 중소기업들의 준비 상황은 정확히 알려지지 않고 있다. 대리인 지정, DPO 임명 등이 부담이 되는 만큼 중소기업들의 어려움이 클 것으로 예상된다. 

전문가들은 GDPR에 대해서 명확히 아는 것이 중요하다고 보고 있다. 박노형 교수는 GDPR 대응 방안으로 기업들이 자신들에게 GDPR이 적용되는 여부를 확인하는 것이 중요하며 내용도 올바로 이해해야 한다고 지적했다. 만약 적용이 된다면 성실히 GDPR을 준수하는 것이 필요하다는 것이다. 

전문가들은 GDPR을 위반한 경우 국내 기업들이 유럽 사업을 중단하는 것은 물론 회사의 존폐에도 영향을 줄 수 있는 만큼 철저히 대비해야 한다고 지적하고 있다. 

[테크M = 강진규 기자(viper@techm.kr)]

<본 기사는 테크M 제61호(2018년 5월) 기사입니다>