EU GDPR 발효 1년 앞으로…“대비 안하면 비즈니스에 악영향”

유럽연합(EU) 일반정보보호규정(GDPR) 시행이 1년 앞으로 다가왔다.

2018년 5월 25일 발효되는 GDPR은 EU 회원국들간 개인정보보호와 함께 개인정보 거버넌스를 통일성 있게 강화하기 위해 제정됐다. 신용카드, 금융·의료 정보를 포함해 직·간접적으로 식별 가능한 개인정보가 저장되거나 이전되는 위치와 방법, 정보에 접근할 때 적용되는 정책과 감사에 관한 철저한 관리감독을 요구한다.

GDPR은 EU 내 사업장이 있는 기업뿐만 아니라 EU 거주자의 개인정보를 저장하는 전세계 모든 기업에 적용된다. EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등 정보주체의 행동을 모니터링하는 기업들이 모두 대상이다. EU를 대상으로 서비스를 제공하거나 사업을 펼치는 국내 기업들도 당연히 포함된다.

GDPR을 심각히 위반했을 경우 부과되는 과징금 규모는 어마어마하다. 최대 2000만유로(245억원) 또는 전세계 연간 매출액의 4% 가운데 높은 금액으로 과징금이 부과 된다.

실제로 많은 기업들은 GDPR 준수 미비가 높은 과징금 부과 등으로 인해 큰 비즈니스 리스크가 될 것으로 우려하고 있다. 하지만 여전히 기업들의 GDPR 대비는 부족한 상황이다.

베리타스테크놀로지스코리아(대표 조원영)가 한국을 포함해 전세계 기업 의사결정자 900명을 대상으로 조사해 16일 발표한 ‘베리타스 2017 GDPR’ 보고서에 따르면, 전세계 조사대상 기업의 31%만이 GDPR에 대비해놓은 상황이다. 국내 기업들도 전세계 현황과 같은 31%만이 GDPR에 대비한 상태다.

gdpr_veritas-report전세계 86%의 기업은 GDPR을 준수하지 않을 경우 비즈니스에 심각한 악영향을 미칠 것이라고 지적했다. 조사에 참여한 국내 기업들은 93%가 이에 대한 우려를 나타냈다.

국내 기업들은 GDPR을 준수하지 않아 발생할 수 있는 부정적 영향으로 인원 감축과 잠재적 정리해고(23%)를 가장 많이 지목했다. 이는 GDPR의 높은 과징금을 포함한 비즈니스에 미칠 악영향 때문이다.

그 다음으로는 미디어 또는 소셜네트워크(SNS)상의 부정적 노출로 인한 고객 감소(21%), 미디어 및 SNS상의 부정적 노출로 인한 브랜드 가치 하락(18%), 높은 과징금으로 인한 비즈니스 중단(파산)(13%), 주주 소송 제기 가능성(12%), 시장점유율 하락(6%) 순으로 나타났다.

전체 결과는 인원 감축과 잠재적 정리해고(21%), 미디어 및 SNS상의 부정적 노출로 인한 고객 감소(19%), 비즈니스 중단(파산)(19%), 미디어 및 SNS상의 부정적 노출로 인한 브랜드 가치 하락(12%), 주주 소송 제기 가능성(8%), 시장 점유율 하락(8%) 순이다.

또한 많은 기업들이 GDPR 준수의 첫 단계라 할 수 있는 데이터 현황 파악과 위치, 즉 어떠한 데이터를 보유하고 있는지, 해당 데이터가 어디에 있는지, 비즈니스와 어떤 관련이 있는지 파악하는데 심각한 어려움을 겪고 있다. 이는 GDPR 준수를 위한 적절한 기술을 갖추지 못하고 있기 때문이라는 게 보고서를 낸 베리타스의 분석이다.

국내 기업의 40%는 실시간으로 데이터를 모니터링할 수 있는 툴을 갖추고 있지 않아 효율적인 데이터 관리가 불가능하다고 응답했다(전세계 32%). 이는 곧 GDPR 준수의 핵심 요건인 데이터 검색과 발견, 검토를 어렵게 할 수 있다.

29%는 소속 기업이 관련 데이터를 정확하게 식별하거나 위치를 파악하지 못한다고 답했다(글로벌 39%). GDPR은 요구가 있을 경우 기업은 30일 이내에 정보주체에게 개인정보의 사본을 제공하거나 해당 데이터를 삭제할 수 있어야 한다고 규정하고 있어 데이터의 정확한 식별과 위치 파악 역량을 갖추는 것이 중요하다.

국내 응답자의 45%는 치에 따라 어떤 데이터를 저장하거나 삭제해야 하는지 결정할 수 있는 메카니즘이 없다고 답해 데이터 보존에 대한 우려도 높은 것으로 나타났다(글로벌 42%). GDPR에서는 기업이 개인정보 데이터를 수집할 때 정보주체에게 고지된 목적으로 사용하는 경우 데이터를 보유할 수 있지만 해당 목적으로 더 이상 필요하지 않게 되면 삭제해야 한다.

gdpr_veritas이 조사결과를 소개한 박철한 베리타스 글로벌 정보 거버넌스 프랙티스 리드 겸 아시아 자문 컨설팅팀 총괄은<사진 왼쪽> “GDPR 시행이 1년밖에 남지 않았다. 이에 대비하는데 넉넉하지 않은 기간”이라며 “GDPR 준비는 수많은 비즈니스 애플리케이션을 분석해 데이터 플로우와 매핑, 개인정보 식별과 삭제 등까지 진행하는 방대한 작업이 필요해 이미 1년 전부터 나선 해외기업들도 빠듯하다고 얘기하는 상황”이라고 지적했다.

박 총괄은 “기업들은 컨설팅을 통해 GDPR 준수 상태를 점검하고 전략을 수립해야 한다”라면서 “지금 대비하지 않으면 기업의 일자리, 브랜드 평판, 비즈니스 생존이 위태로울 수 있다”고 강조했다.

박경동 베리타스코리아 글로벌 서비스 상무는 “한국은 개인정보보호법 등 관련법규제가 강력하지만, GDPR은 유럽 내 데이터 역외 이전시 보호 조치, 구매 성향이나 종교·유전자 등의 정보에 이르기까지 한국의 개인정보보호법에서 다뤄지지 않는 내용이 포함돼 훨씬 포괄적”이라며 “개인정보보 보호, 보안 측면뿐 아니라 정보의 위치, 백업 등까지 정보관리 분야까지 추가해 대응해야 한다”고 말했다.

이어 박 상무는 “개인정보보호법 적용을 받고 있는 한국 기업들도 기존 개인정보 보호·관리 프로세스를 검토하고 진단해 보완조치하지 않으면 GDPR 준수에 대응하기 어렵다”고 덧붙였다.

베리타스는 기업고객들이 GDPR에 대비·준수할 수 있도록 통합 정보 거버넌스 모델을 바탕으로 데이터 수집부터 생성, 활용, 저장, 아카이빙, 삭제까지 전체 수명주기에 따라 관리할 수 있는 프레임워크를 지원한다.

gdpr_data-governance베리타스 GDPR 진단 프레임워크는 거버넌스, 운영, 계약과 실사를 포함한 인터페이스, 기술, 평가·개선 영역을 평가해 진단한다.

또한 ▲개인정보 파악(Locate)부터 ▲개인정보 조회·수정·삭제 요청을 처리할 수 있는 검색(Search) ▲정보를 분류해 목적에 합당한 기간만 보존하고 저장하는 데이터를 삭제하는 ‘최소화(Minimize)’ ▲수집·처리한 정보 보호(Protect) ▲위반사항 모니터링·리포트(Monitor)까지 5단계로 구성되는 체계적인 GPDR 베스트 프랙티스를 자문 컨설팅과 함께 지원하고 있다.

박경동 베리타스코리아 글로벌 서비스 상무는 “베리타스는 GDPR 준수에 우선순위를 두고 투자를 이어가고 있으며, 개인정보 수명주기에 따라 GDPR이 요구하는 전체(엔드투엔드) 정보관리 방안을 제공한다”고 강조했다.

현재 국내에서는 금융, 하이테크, 자동차, 항공, 미디어·콘텐츠 기업을 중심으로 베리타스에 GDPR 컨설팅과 솔루션 문의가 늘어나고 있다고 베리타스코리아는 설명했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다