[GDPR①] 섀도우 클라우드, GDPR 위반 위험 높아
상태바
[GDPR①] 섀도우 클라우드, GDPR 위반 위험 높아
  • 김선애 기자
  • 승인 2018.03.06 09:51
  • 댓글 0
이 기사를 공유합니다

SMB·스타트업, GDPR 대응 미진…경영진 지원 받는 DPO 선임해야

유럽 일반개인정보보호법(GDPR) 시행이 2개월 여 앞으로 다가왔다. GDPR은 개인정보 적용 범위를 폭넓게 인정하고 있으며, 정보주체의 자기결정권을 강화했으며, 위반 시 막대한 과징금이 부과된다. GDPR 준수를 위해서는 서비스를 설계하는 단계부터 개인정보보호를 적용해야 한다. GDPR 준수를 위해 반드시 고려해야 할 사항을 확인한다.<편집자>

유럽 일반개인정보보호법(GDPR)이 5월 25일부터 시작된다. GDPR에서는 심각한 정보유출 사고의 경우 전 세계 매출의 4% 혹은 2000만유로(약 270억원) 중 더 높은 금액을 내야 한다. 일반적 위반의 경우 전 세계 연간 매출액의 2% 또는 1000만 유로 중 더 높은 금액이 부과된다.

또한 GDPR은 사업장이 EU 내에 설립돼 있지 않아도 EU 회원국의 시민 정보를 모두 대상으로 하기 때문에 적용 범위가 매우 넓다. GDPR은 EU를 디지털 단일 시장으로 보고 있으며, EU 회원국간 개인정보의 자유로운 이동을 보장하고, 정보주체의 개인정보 보호 권리를 강화하는 내용을 담고 있다. EU 모든 회원국에게 직접적인 법적 구속력을 가질 뿐 아니라 EU에 거주하는 모든 개인의 데이터가 보호대상이 된다.

개인정보 적용 범위를 일반 개인정보 뿐 아니라 IP주소, MAC 주소, 온라인 쿠키 등 위치정보를 통해 개인을 식별할 수 있는 정보까지 확대시켰다. EU에서 국외로 이전되는 최초 이전뿐만 아니라 향후 발생할 수 있는 제 3국에서도 다른 제 3국으로의 이전도 규제 대상이 된다.

(자료: 마이크로포커스)

DPR 대응 움직임 ‘분주’

GDPR은 EU에 사업장이 없어도 EU 시민의 개인정보를 취급하는 기업/기관에는 모두 해당되기 때문에 신중하게 검토하고 준비해야 한다. 그러나 GDPR 시행이 2개월 여 앞으로 다가온 현 시점에서도 많은 기업이 GDPR 대응 준비가 미진한 상황이다. 특히 중견·중소기업, 스타트업 등 대부분의 기업은 충분히 준비돼 있다고 자신할 수 없다.

GDPR 규정에서 헷갈리기 쉬운 것 중 하나가 컨트롤러와 프로세서다. 행정자치부와 KISA가 지난해 발간한 ‘우리 기업을 위한 유럽 일반 개인정보 보호법 안내서(이하 KISA 안내서)’에서 예로 든 것을 설명해보면, 이동통신사는 네트워크 트래픽 관리와 과금 기준의 설정 등에 있어 개인정보 처리의 목적과 수단을 규정하는 컨트롤러에 해당한다. 이 회사가 신규 판매하는 상품의 이메일 마케팅을 다른 기업에서 수행하도록 계약을 맺는다면 통신사는 컨트롤러, 이메일 마케팅 기업은 프로세서에 해당한다.

여행사가 패키지 여행 상품 고객 정보를 항공사와 호텔에 전달했다면, 여행사, 항공사, 호텔은 각각 다른 목적에 의해 고객정보를 받아 처리했기 때문에 3사가 모두 컨트롤러가 된다. 또한 동일한 고객정보를 이용했기 때문에 공동 컨트롤러(Joint Controller)에 해당한다.

GDPR에서는 프로세서가 개인정보 처리와 관련한 책임을 직접 부담하는 경우가 다수 포함돼 있으며, 데이터 암호화를 포함한 다양한 개인정보보호기술을 적용하는 것도 요구하고 있다. 또한 개인정보보호 활동을 책임질 데이터 보호 책임자(DPO)를 선임해야 하는데, 조직 내 인사 혹은 외부에서 계약을 통해 운영할 수 있다. DPO는 컴플라이언스에 대해 정확하게 이해하고 있어야 하며 기업의 IT·보안 인프라 현황과 비즈니스 특성을 잘 파악하고 있는 전문가로 임명해야 한다.

정득현 마이크로포커스코리아 이사는 “성공적인 GDPR 대응을 위해서는 최고경영진의 전폭적인 지원을 받는 DPO 선임이 중요하다. DPO는 IT와 보안 인프라에 대해 잘 알고, 업무를 수행하기 위한 충분한 자격을 가진 전문가가 필요하다”고 조언했다.

개인정보 가시성 확보해야

섀도우 클라우드가 증가하는 현재 비즈니스 환경에서는 GDPR이 심각한 위기가 될 수 있다. 현업에서 관리조직의 허가 없이 쉽게 외부 클라우드를 사용하면서 고객 정보를 저장시켰다가 방치하면 GDPR 위반이 된다. 개인정보 주체가 자신의 개인정보 이용 내역을 요구할 때, 섀도우 클라우드에서 사용된 개인정보를 누락시키면 이 또한 GDPR 위반이 될 수 있다.

개인정보의 역외이전 문제도 중요하게 살펴봐야 한다. 특히 클라우드 기반 서비스를 제공할 때 EU 시민이 클라우드를 이용하고자 서비스에 가입한다면 이 개인정보를 EU 내에 위치한 서버에 보관해야 하는지, EU 이외의 지역에 저장하는 것도 가능한지 알아야 한다. GDPR에서는 일정한 규정에 부합할 경우에만 EU 밖으로 이전할 수 있다고 명기하고 있으며, 그렇지 않은 경우 EU 내에만 데이터를 보관해야 한다.

만일 우리나라 서비스를 이용하기 위해 EU 시민이 가입한다면 그 정보는 어디에 보관해야 할까? 소수의 EU 시민을 위해 EU에 위치한 클라우드 서비스를 이용해야 한다면 추가 비용 발생을 감당해야 한다. EU 시민이 서비스 가입만 하고 물건을 구입하지 않아도 EU 내 데이터센터에 EU 시민의 개인정보를 보관해야 하는지도 해석이 분분하다. 원칙적으로는 EU에서 매출이 발생하는 사업에 대해서만 해당하므로, 단순한 웹사이트 가입 정보만은 역외이전 대상이 아니라는 해석이 다수를 이룬다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.