체계적인 정보 거버넌스 체제로 EU GDPR 대비해야
상태바
체계적인 정보 거버넌스 체제로 EU GDPR 대비해야
  • 데이터넷
  • 승인 2017.10.02 13:16
  • 댓글 0
이 기사를 공유합니다
[기고]전문 컨설팅 통해 데이터 보호 체계 정비…리스크 줄이고 지속적 성장 위한 토대 수립
박경동 베리타스코리아 글로벌 서비스 상무

유럽연합(EU)이 디지털 단일 시장에서 EU 회원국간 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 개인정보 보호 권리를 강화하기 위해 제정한 유럽 일반 개인정보 보호법(GDPR)’이 2018년 5월 25일 시행된다.

그 동안 제정된 전 세계 개인정보 보호법 중 가장 포괄적이며 제재 강도가 높은 법으로 꼽히고 있는 GDPR의 시행은 전 세계 산업계에 큰 변화를 가져올 것으로 전망되고 있다. 우선, GDPR은 EU 거주시민의 개인정보를 처리하는 모든 개인정보 처리자에게 적용되며, 기존 EU의 개인정보보호 지침(Directive 95/46/EC)과 달리 그 자체로 EU의 모든 회원국들에게 직접적인 법적 구속력을 가진다.

EU 내 사업장을 운영하며 개인정보 처리를 수반하는 경우뿐만 아니라, EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 구매 습관 등 정보주체의 행동을 모니터링 하는 기업까지 포함된다. 이 때문에 EU 시장을 대상으로 비즈니스를 하고 개인정보를 처리하는 전 세계의 많은 기업들이 대상이 된다. 예를 들어 해외에서 운영하는 웹사이트가 EU 회원국 국가의 통화와 언어를 지원하고, 상품을 배송하는 국제 배송 서비스를 제공하는 경우라면 GDPR이 적용될 수 있다.

위치정보·IP 주소·유전자 정보도 개인정보 포함

GDPR에서는 개인정보의 정의가 기존 개인정보보호 지침보다 확대가 되었다. 이름이나 전화번호 등과 같은 일반적인 개인정보는 물론, 기존에 명시적으로 포함하지 않았던 위치정보, IP 주소와 같은 온라인 식별자, 유전 정보 등이 GDPR에서는 개인정보의 정의에 포함되어 있다.

이와 함께 ▲정보를 제공받을 권리 ▲정보주체의 열람권 ▲정정권 ▲삭제권(‘잊혀질 권리’) ▲처리에 대한 제한권 ▲개인정보 이동권 ▲반대할 권리 ▲자동화된 결정 및 프로파일링 관련 권리를 명시해 정보주체의 권리를 보다 강력하게 보호하고 있다.

한편 개인정보 처리와 관련해서는 ▲적법성·공정성·투명성의 원칙 ▲목적 및 보유기간 제한원칙 ▲최소 처리원칙 ▲정확성의 원칙 ▲무결성 및 기밀성의 원칙 ▲책임성의 원칙에 따라 처리하도록 해 보다 철저한 개인정보 관리를 요구하고 있다.

기업은 개인정보 처리 활동에 대한 문서 기록을 보관하고 감사 등 컴플라이언스를 입증할 수 있는 방법을 마련해야 하며, 개인정보는 본래 데이터를 수집한 목적에 필요한 기간을 초과하여 보관할 수 없다.

그리고 정보주체의 권리가 강화되어 개인정보를 보관해야 할 합당한 이유가 없을 경우, 정보주체는 해당 데이터의 삭제 또는 제거를 요청할 수 있다. 또한 기업은 개인정보 침해 인지 후 72시간 이내에 감독기구에 보고해야 하며 정보주체에게도 지체 없이 알려야 한다.

GDPR은 특히 법을 심각하게 위반했을 경우 최대 2000만 유로(약 245억원) 또는 전 세계 연간 매출액의 4% 중 높은 금액으로, 그 외의 일반적인 위반의 경우에는 전 세계 연간 매출액의 2% 또는 1천만 유로 중 높은 금액으로 과징금을 부과 받게 되는 등 제재 수준 또한 강력해 법 시행에 앞서 빈틈없는 대비를 해야 한다.

“기업 1/3만이 GDPR 요건 제대로 준수”

하지만 현실을 살펴보면 GDPR에 대한 기업들의 인식과 실제 기업들이 준비하고 있는 현황 사이에 큰 격차가 있는 것으로 나타났다.

베리타스가 전 세계 기업 비즈니스 의사결정권자들을 대상으로 조사한 ‘베리타스 2017 GDPR 보고서’에 따르면, 응답자의 약 3분의 1(31%)은 소속 기업이 GDPR의 주요 요건을 제대로 준수하고 있다고 긍정적으로 답했다. 하지만 GDPR의 세부 규정에 대한 질문에 대해서는 조사에 참가한 전체 기업 중 단 2%만이 준수하고 있는 것으로 조사돼 실제 현황과 인식 사이에 큰 격차가 있음을 보여줬다.

또한 GDPR을 준수하고 있다고 응답한 기업 가운데 절반 가까이(48%)가 개인정보 침해 사고에 대한 가시성을 확보하지 못한 것으로 나타났다. 이러한 가시성 확보는 GDPR에서 개인정보를 관리하기 위해 기본적으로 갖춰야 할 부분이다.

뿐만 아니라 GDPR을 준수하고 있다고 응답한 기업 가운데 61%는 소속 기업이 GDPR의 의무 조항에 따라 개인정보 침해를 인지하고 72시간 내에 보고하는 데 어려움이 있다고 답했다. 만약, 기업이 개인정보의 침해 또는 도용을 기한 내에 감독 기관에 보고하지 못할 경우 GDPR이 규정하고 있는 핵심 의무사항을 위반하게 되는 것이다.

전문 컨설팅 통해 GDPR 대비 현황 파악

많은 기업들이 GDPR을 어떻게 대비해야 할 지 고민하고 있는데, 우선 베리타스와 같은 전문기업의 GDPR 진단 컨설팅을 통해 기업 내 데이터 관리와 관련해 GDPR 대비 수준과 현황을 파악하는 것이 중요하다.

이러한 진단 컨설팅은 데이터 관리 툴에 대한 전문 지식과 베스트 프랙티스를 접목해 비즈니스 사례와 연계해 어떤 부분을 보완해야 할지 실행 계획을 제시하는 GDPR 로드맵을 제공함으로써 기업은 GDPR 컴플라이언스 요건을 충족할 수 있다.

또한 GDPR의 규정에 따라 기업들은 기존의 개인정보 관리 프로세스를 보완, 개선할 수 있도록 GDPR 컴플라이언스를 지원하는 솔루션을 구축해 개인정보에 대한 ▲위치 파악▲검색 ▲최소화 ▲보호 ▲모니터링 역량을 아래와 같이 갖출 수 있도록 해야 한다.

▲베리타스코리아 GDPR 자문 서비스

데이터 전체 가시성 확보해야

GDPR 준수를 위한 프로세스를 다섯 단계로 구분해 보면 다음과 같다.

• 데이터 위치·보호 여부 파악

GDPR 준수를 위한 첫 단계는 기업이 보유한 모든 데이터가 어디에 위치해 있는지, 적절히 보호되고 있는지 종합적으로 파악하는 것이다. 기업은 개인 정보와 중요 개인 데이터가 어디에 저장되고 누가 접근할 수 있으며 얼마나 오래 보관되고 있는지 그리고 어디로 이동되는지 모니터링하고 분석할 수 있어야 한다.

특히 비정형 데이터에 대한 파일 형식, 소유권, 보존 기간, 위치 파악 등 기업이 보유하고 있는 데이터의 가시성을 확보할 수 있는 솔루션과 데이터에 대한 분석, 트래킹 및 리포팅을 제공하는 데이터 분석 솔루션을 활용해 데이터 관리 원칙에 따라 파일을 사용하고 보호할 수 있어야 한다.

• 개인정보검색

두번째는 개인정보를 손쉽게 검색할 수 있는 시스템을 마련하는 것이다. EU 거주시민은 기업이 보유하고 있는 본인의 모든 개인정보 조회를 요청할 수 있다. 또한 사실이 아닌 개인정보에 대한 수정, 이동 혹은 삭제를 요청할 수 있다.

기업이 이러한 개인의 요청을 적절한 기한 내에 처리하지 못할 경우 GDPR에 의거해 제재를 받을 수 있다. 따라서 솔루션을 이용해 신속하게 관련 정보를 수집하고, 문서를 검토하여 이와 같은 요청을 해결할 수 있어야 한다.

• 보유하고 있는 개인정보 최소화

세번째 단계는 보유하는 개인정보의 양을 최소화하는 것이다. 기업은 개인정보를 수집한 원래의 목적에 합당한 기간 동안만 개인정보를 보관해야 하며, 데이터 보존에 대한 지침을 마련하고 정책 기반 보존 관리 프로세스를 구현해 기한이 지나면 데이터가 자동 만료되게 함으로써 GDPR 컴플라이언스에 대한 리스크를 줄여야 한다. 기업은 사전예방적 차원에서 정보 아카이빙 솔루션을 이용해서 보존할 데이터를 결정하고 불필요한 데이터는 삭제하는 등 정보 보존 관리 정책을 실행해야 한다.

• 개인정보 보호 툴

네번째는 개인정보의 손상, 유실, 유출을 방지하기 위한 적합한 데이터 보호 툴을 갖추는 것이다. 기업은 모든 데이터 수집 및 처리 활동에 있어 GDPR의 까다로운 복구 및 가용성 요건을 준수할 수 있도록 기술적 방안과 및 조직적 방안을 시행해 컴플라이언스 검증과 관련한 투명성을 입증할 수 있어야 한다. 데이터 백업, 재해복구, 고가용성, 비즈니스 연속성을 지원하는 솔루션을 구축해 비즈니스 중단 없이 데이터를 보호하고 또한, 클라우드 서비스를 받는 경우 하이브리드 환경을 포괄적으로 보호할 수 있어야 한다.

• 개인정보 모니터링

다음으로 실시간 개인정보 모니터링이 필요하다. GDPR은 모든 기업이 특정 유형의 데이터 침해를 관련 감독 당국과 경우에 따라서는 정보주체에게 보고하는 의무를 명시하고 있다. 따라서 기업은 데이터 아카이빙 솔루션이나, 데이터 거버넌스를 지원하는 솔루션을 도입해 예기치 못하거나 특이한 파일 접근 패턴 등의 침해 움직임이 있는지 감시하고, 리스크 요인이 발생하면 즉시 위험에 대한 보완 정책을 활성화하는 등 신속한 조치를 취해야 한다.

EU에서 비즈니스를 하고 있거나 앞으로의 비즈니스를 구상하고 있는 기업이라면 GDPR 환경에서 요구되는 개인정보 관리 규정을 법적으로 제대로 이해해야 한다. 또한 관련된 정책과 프로세스를 검토해 IT 시스템적으로 개인정보에 대한 가시성과 관리 역량을 제공하는 정보 거버넌스 체계를 구축함으로써 적극적으로 GDPR에 대비해야 한다.

이처럼 능동적인 GDPR 대응을 통해 안전한 개인정보 관리는 물론, GDPR 미준수로 인한 법적 처분이나 브랜드 이미지 실추와 같은 잠재적 리스크를 선제적으로 줄이고 기업의 지속적인 성장의 토대를 마련할 수 있을 것이다.

저작권자 © 데이터넷 무단전재 및 재배포 금지
데이터넷
데이터넷 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사