페북사태 이어 유럽GDPR 시행 임박...韓‘개인정보 관리’ 비상

페이스북이 개인정보 유출 사건으로 주가 폭락과 이미지 훼손 등 위기를 맞고 있는 가운데, 유럽 개인정보보호법(General Data Protection Regulation·GDPR) 시행이 두 달 앞으로 다가오면서 국내 관계 기관과 정보보호업계의 대응도 빨라지고 있다.

우리나라 정부가 작년 12월 GDPR 대응 가이드라인을 발표했지만, 대다수 국내 기업에 GDPR은 여전히 낯선 주제지만, 전문가들은 GDPR의 적용 범위가 넓고 위반 시 거액의 과징금이 부과되는 만큼 철저하게 준비해야 한다고 제언했다.

21일 글로벌 로펌 DLA 파이퍼(Piper)와 보안업체 SK인포섹에 따르면 GDPR은 EU 회원국 간 자유로운 개인정보 이동과 개인정보보호를 강화하기 위해 유럽연합(EU)이 제정한 통합 규정으로, 5월 25일부터 EU 소속 28개 회원국에 공통으로 적용된다. 조항만 99개에 달할 정도로 적용 범위와 내용이 광범위하다.

특히 비회원국 기업도 규정 위반 시 최대 2천만유로(한화 약 264억원)나 글로벌 매출액의 4% 중 많은 금액을 과징금을 부과 받을 수 있어 주의해야 한다.

GDPR의 핵심은 EU 거주자의 개인정보보호다. 국적과 상관없이 EU 회원국 거주자라면 GDPR의 보호를 받는다. GDPR은 인간과 관계된 모든 정보를 개인정보로 정의한다. 이름, 성별, 주소 등과 같은 정보주체가 누구인지 알 수 있는 기본 정보 외에 개인 성향, 인터넷 검색 기록도 이에 해당한다.

기업이나 기관이 EU 거주자의 개인정보를 수집하고 보관한다면 GDPR을 준수해야 한다. EU와 거래하는 해외 기업도 예외가 아니다. 한국 기업이 EU에 실제로 상품이나 서비스를 판매하지 않고 유럽 거주자의 정보를 모니터링만 해도 GDPR의 적용을 받는다. EU 거주자의 정보를 해외로 이전하는 일도 엄격히 제한된다.

GDPR의 규정은 이처럼 복잡하고 까다롭지만, 기본적으로 한국의 개인정보보호법과 유사하다. 가장 큰 차이는 벌금의 규모다. 개인정보보호법상 최대 벌금은 5천만 원에 불과하지만, GDPR은 최대 2천만유로(263억 원)를 부과한다.

벌금보다 더 무서운 건 기업 이미지 훼손이다. 대표적인 게 최근의 페이스북 정보 유출 파문이다. 페이스북은 개인정보 유출 사건으로 여론의 뭇매를 맞으며 이틀간(19∼20일) 주가가 9% 넘게 급락했다.

반 에이커 변호사는 "GDPR은 정보수집의 최소화(minimization)를 요구한다. 필요한 만큼 수집하고, 필수 정보 외에 더 많은 정보를 수집했다면 동의를 받아야 한다"고 조언했다.

이어 "기업에 취득한 개인정보를 보관하는 기간을 물어보면 90%가 '영원히'라고 답한다"며 "이는 GDPR 위반이며, 필요가 없어지면 폐기해야 한다"고 강조했다.

SK인포섹 성경원 팀장은 "국내법이 규제하지 않는 부분에 대해 실무적인 개선안을 마련해야 한다"며 "적용 대상을 명확히 파악하고 이해관계자의 협조를 요청해야 한다. 담당자 몇 명만 움직여서 될 문제는 아니다"라고 말했다.