[EU GDPR과 개인정보 보호②] 국내법과 철학·접근방법 다른 GDPR
상태바
[EU GDPR과 개인정보 보호②] 국내법과 철학·접근방법 다른 GDPR
  • 김선애 기자
  • 승인 2017.08.04 09:48
  • 댓글 0
이 기사를 공유합니다

한국 개인정보보호법 만족해도 GDPR 준수 못한다…섀도우 데이터 문제 해결해야

유럽연합의 개인정보보호법(EU GDPR)이 내년 5월 시행된다. 유럽에서 사업을 하거나 유럽 시민을 고용하는 등 유럽시민의 개인정보를 사용하고자 하는 기업/기관은 반드시 GDPR에 대응해야 한다. 그러나 상세한 세부 규정을 지키는데 익숙한 우리나라 기업/기관에서 GDPR을 정확하게 이해하고 대응하는 것은 어려운 상황이다. EU GDPR은 개인정보의 자기결정권을 강화하면서도 유연한 활용을 폭넓게 허용하고 있기 때문이다. EU GDPR의 주요 사항을 살펴보고, 개인정보의 합법적인 활용 방안을 제안한다.<편집자>

EU GDPR - 한국 개인정보보호법 차이 많아

우리나라 개인정보보호법은 전 세계적으로도 매우 까다롭고 보호 수준이 높은 편에 속하기 때문에 우리나라 개인정보보호법만 준수해도 GDPR의 상당부분을 지킬 수 있다는 해석이 있다. 그러나 이러한 시각은 잘못된 개인정보 보호 정책을 만들 수 있는 소지가 있기 때문에 조심해야 한다. EU와 우리나라의 문화적 차이로 인해 법규 해석을 잘못해 법규를 위반할 수도 있다.

예를 들어 정보주체가 개인정보 공유에 동의하면 다른 업무에 사용할 수 있다고 했을 때, 우리나라는 일정하게 정해진 서식에 본인이 직접 동의 항목에 체크하거나 음성으로 동의 사실에 대한 녹취를 남겨놔야 한다. 개인정보 공유에 동의하지 않으면 서비스 이용을 하지 못하게 하거나 근로계약을 하지 못하게 해 사실상 강제적인 정보제공 동의라고 할 수 있다.

GDPR에서는 이와 같은 강제적인 정보제공 동의는 유효하지 않다고 여긴다. 특히 근로계약시 근로자 개인의 동의만이 아니라 노조 혹은 노동자를 대표하는 단체와 협의를 해야 정보공유에 동의하는 것으로 본다. 이 때 동의 방법이 정해진 양식에 서명을 하거나 음성 녹음을 하는 등의 증빙 자료를 만들어야 하는지는 확실하지 않아 초기에는 많은 혼란이 있을 것으로 예상된다.

정보주체가 자신의 정보가 어디에 사용되는지 알고자 할 때에는 모든 시스템에서 사용되는 내역을 공개해야 하며, 삭제를 원할 때는 모든 시스템에서 삭제해야 한다. 이것이 GDPR 준수에서 가장 까다로운 부분이다.

서비스를 제공하는 기업은 대부분 개인정보 제공 동의를 받은 후 이를 여러 벌 복제해 상품 테스트, 시장조사, 타깃 마케팅용 분석, 신상품 개발 등 다양한 분야에 사용한다. 제3자 제공에 동의한 경우 협력사 혹은 계열사에 개인정보를 제공해 이용하도록 한다. 제공된 정보는 클라우드에 보관되기도 하고, 기업 내 여러 업무 시스템, 파트너 시스템 등에 분산 저장된다.

GDPR 준수를 위해서는 정보주체가 개인정보 이용내역을 알려달라고 하거나 삭제를 원할 때 이 정보가 사용되는 업무를 모두 파악해 요청을 수행해야 하는데, 현재 시스템에서는 완벽한 요청 수행이 어렵다. 데이터 흐름을 투명하게 관리할 수 있는 장치가 마련돼 있지 않으며, 대부분의 경우 주먹구구식으로 데이터를 중복해서 복제하고 유통시키켜 관리가 제대로 되지 않기 때문이다.

섀도우 데이터, GDPR서 심각한 위기 초래

섀도우 클라우드가 증가하는 현재 비즈니스 환경에서는 GDPR이 심각한 위기가 될 수 있다. 현업에서 관리조직의 허가 없이 쉽게 외부 클라우드를 사용하면서 고객 정보를 저장시켰다가 방치하면 GDPR 위반이 된다. 이와 같은 섀도우 데이터로 인해 막대한 과징금을 부과받을 수 있고, 개인정보 유출로 인한 피해, 손해보상 소송으로 이어질 수 있다.

개인정보의 역외이전 문제도 중요하게 살펴봐야 한다. 특히 클라우드 기반 서비스를 제공할 때 EU 시민이 클라우드를 이용하고자 서비스에 가입한다면 이 개인정보를 EU 내에 위치한 서버에 보관해야 하는지, EU 이외의 지역에 저장하는 것도 가능한지 알아야 한다. GDPR에서는 일정한 규정에 부합할 경우에만 EU 밖으로 이전할 수 있다고 명기하고 있으며, 그렇지 않은 경우 EU 내에만 데이터를 보관해야 한다.

만일 우리나라 서비스를 이용하기 위해 EU 시민이 가입한다면 그 정보는 어디에 보관해야 할까? 소수의 EU 시민을 위해 EU에 위치한 클라우드 서비스를 이용해야 한다면 추가 비용 발생을 감당해야 한다. EU 시민이 서비스 가입만 하고 물건을 구입하지 않아도 EU 내 데이터센터에 EU 시민의 개인정보를 보관해야 하는지도 해석이 분분하다. 원칙적으로는 EU에서 매출이 발생하는 사업에 대해서만 해당하므로, 단순한 웹사이트 가입 정보만은 역외이전 대상이 아니라는 해석이 다수를 이룬다.

박경동 베리타스코리아 상무는 “GDPR은 정보주체의 개인정보 보호 활동 강화를 주요 내용으로 하고 있으며, 수집된 데이터가 어떻게 이동하고 이용되는지 투명하게 알 수 있어야 한다. GDPR 규정 하나하나에 천착하기보다 체계적인 데이터 맵을 만들어 관리하는 것이 더 중요하다”며 “IT의 도움 없이 GDPR 준수를 위한 데이터 관리 체계를 만드는 것은 불가능하다”고 말했다.

▲베리타스 ‘360 데이터 관리’ 솔루션

베리타스는 GDPR 준수 지원을 위한 ‘360 데이터 관리’ 솔루션을 소개한다. 이 솔루션은 컴플라이언스에 대한 포괄적인 자문 서비스와 통합 소프트웨어 기술로 구성돼 있다. 자문 서비스 조직은 GDPR 워크숍 개최, GDPR 대비 평가, GDPR 관련 핵심 기술 구현 등을 담당한다.

컴플라이언스 솔루션은 데이터의 위치를 정확하게 파악하고, 해당 정보에 액세스할 수 있는 사용자와 정보 보존 기간을 확인하며 필요에 따라 적법한 조치를 취할 수 있다.

머신러닝 기술을 통해 직간접적으로 식별가능한 개인 데이터를 쉽게 찾을 수 있으며, 이디스커버리 기능을 활용해 관련 데이터를 검색·분석·생성해 모든 규정과 법률 사안에 대한 요청을 신속하게 처리할 수 있다.

또한 클라우드에 저장되는 데이터의 가시성을 확보하기 위해 여러 클라우드 서비스 사업자와 협업해 클라우드 프로바이더 모듈을 개발하고 있으며, 가장 먼저 AWS 인포메이션맵 솔루션과 연동을 마쳤다.

더불어 중요하지 않은 데이터를 정기적으로 삭제하는 정책을 적용하고, 엔드투엔드 감사 추적을 통해 데이터 보호와 레질리언스 프로토콜 준수를 입증할 수 있다. 온프레미스, 클라우드, 하이브리드 환경 전반에서 활용할 수 있어 기업은 보다 유연한 방식으로 컴플라이언스 문제를 해결할 수 있다. 위협 예측 분석으로 비정상적인 행동을 탐지하고 클릭 한 번으로 데이터 유출 의심 정황을 조사할 수 있다.

통합 플랫폼으로 체계적인 정보 관리

GDPR 시행으로 컴플라이언스 시장이 성장 기회를 얻을 수 있을 것이라는 기대가 높다. 특히 글로벌 컴플라이언스 솔루션은 전 세계 컴플라이언스를 지원한 경험이 있기 때문에 각 국가별 특화된 정보보호 규제 준수를 도와줄 수 있다고 강조한다.

GDPR은 규제 자체가 까다로운 점도 있지만, 우리나라와 문화적인 차이 때문에 법 해석이 달라질 수 있는 부분이 있다. 더불어 법 위반으로 인한 소송에 직면했을 때 국내 로펌과 현지 로펌의 도움을 받아야 할 때, 글로벌 파트너를 이용해 소송에 유리한 자료를 확보할 수 있다는 점을 강조한다.

데이터 컴플라이언스 전문기업 컴볼트도 이 점을 강조하며 GDPR 준수를 위한 정보관리 아키텍처를 강조한다. 컴볼트는 온프레미스-클라우드에서 비정형 데이터 거버넌스를 중앙화 할 수 있으며, 사업 분야별로 데이터 요구사항을 준수할 수 있다.

여동재 컴볼트코리아 이사는 “컴볼트는 컴플라이언스 분야에서 가장 뛰어난 전문성을 갖고 있으며, GDPR에 대해서도 높은 수준의 이해를 갖고 있다. 컴볼트의 통합 아키텍처를 이용해 비정형 데이터에 대한 컴플라이언스를 만족시킬 수 있다”고 말했다.

컴볼트 제품군은 데이터 관리와 검색, 백업, 복구, 아카이빙, 거버넌스 등을 하나의 플랫폼에서 수행하는 통합 아키텍처로 구성돼 있다. 경쟁사는 제각각 별도의 포인트 솔루션을 제공하고 있으며, 일부는 전문 기업을 인수해 확보한 기술로 단일 플랫폼으로 통합시키지 못했다는 것이 컴볼트의 주장이다.

여 이사는 “정형데이터 관리는 검색, 정보보호 규칙을 수립하는 것이 어렵지 않다. 그러나 비정형 데이터는 너무 많은 시스템과 클라우드에 분산저장돼 있으며, 형식이 제각각 달라 검색도 어렵다. 컴볼트는 가상화·클라우드까지 지원하는 통합 데이터 관리·백업 시스템을 제공해 GDPR 준수를 위한 데이터 관리 요구사항을 만족시킬 수 있다”고 말했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.