발등의 불 'GDPR'.. 손놓고 있는 중소·벤처 '과징금 폭탄' 우려

대기업은 자본력 바탕 총력대응
충족 못할때 매출 4% '직격탄'

■ 이슈분석 한달 앞으로 다가온 GDPR

유럽연합(EU)의 새로운 개인정보보호규정인 'GDPR'이 2년의 유예기간을 마치고 다음달 25일 공식 발효되는 가운데 자칫 국내 기업들이 막대한 과징금 폭탄을 맞을 수 있다는 우려가 나온다. 특히 정보력과 자본이 충분한 대기업들이 그룹 차원의 총력 대응에 나서는 반면 중소·벤처기업들은 손 놓고 있는 곳들이 많아 이들 기업에 피해가 집중될 수 있다.

GDPR은 EU 시민의 개인정보를 보호하기 위한 법적 규정이다. 개인정보, 신용카드, 금융정보, 의료정보 등의 데이터를 저장하거나 전송하는 위치·방법, 정보접근 방식 등을 엄격하게 정하고 있다. 아울러 EU에서 사업을 하는 기업이 유럽에서 수집한 데이터를 국외로 이전할 경우 엄격한 요건을 충족하도록 하고 있다. 문제는 이를 충족하지 못할 경우 엄청난 과징금을 내야 한다는 점이다. 기업들은 위반 시 최대 2000만유로(240억원) 또는 연간 매출액의 4% 중 더 높은 금액을 과징금으로 내야 한다.

GDPR은 대기업과 중소·벤처기업을 막론하고 유럽에서 사업을 하는 모든 기업이 적용받지만 대기업과 중소·벤처기업간의 대응 수준에 큰 차이가 있는 것으로 나타났다. 한국인터넷진흥원(KISA)이 최근 GDPR에 영향을 받는 국내 온라인·제조업·금융 관련 기업의 개인정보보호 담당자를 대상으로 대응현황을 조사한 결과 모든 대기업은 GDPR 관련 태스크포스(TF)를 운영하고 있는 것으로 확인됐다. 이들 기업은 현지 로펌을 선정해 대응전략을 수립하는 한편 기업 개인정보보호 예산(40억원)의 40% 가까이 GDPR 대응에 지출하면서 총력 대응을 하고 있다.

그러나 유럽을 상대로 사업을 하는 중소·벤처기업들은 상황이 판이하게 다르다. 상당수 기업은 GDPR에 대해 인지는 하지만 구체적인 대응방법을 몰라 행동에 옮기지 못하고 있다.

정보와 자본, IT 기술력이 모두 떨어지다 보니 자칫하면 기업의 존립을 흔들 수 있는 상황임에도 구체적인 작업을 하지 못하는 곳이 대부분이라는 것이다. 여기에다 대비책을 강구한다고 해도 현지 직원들의 인식부족으로 예측하지 못한 상황이 얼마든지 발생할 수 있다고 기업들은 하소연한다. 특히 기업들은 GDPR 조항에 대한 유권해석 등 '법률적 해석'을 가장 큰 어려움으로 꼽는다. 기업들이 일일이 모든 규정을 충족시키는 것은 어려움이 큰 만큼 정부가 나서서 EU '적정성 평가'를 통과함으로써 기업에 가해지는 규제를 최소화해야 한다고 지적한다.

EU의 적정성 평가는 EU가 제3국의 개인정보 보호수준이 적정한지 분석해 통과한 나라에 대해 별다른 규제 없이 개인정보를 EU에서 역외로 이전할 수 있게 허용하는 제도다. 현재 호주, 아르헨티나 등 8개국이 획득했다.

우리 정부는 대응이 늦다 보니 언제 통과될 지 예상이 힘든 상황이다. 방송통신위원회 등 정부에 따르면 통상 적정성 평가 절차는 짧으면 2년에서 최대 12년이 걸린다. 우리 정부는 지난 2015년부터 EU 측과 논의해왔지만 아직 별다른 성과가 없는 상황이다.

김선희 법무법인 율촌 변호사는 "기업들이 그동안 최대한 많은 개인정보를 수집하고 보관하는 데 집중했다면 GDPR을 계기로 개인정보 처리의 '최소화 원칙'이라는 인식 전환이 필요하다"며 "개인정보 수집부터 활용 및 보관, 파기까지의 흐름을 파악하는 프로세스부터 구축해야 할 것"이라고 말했다.김기석 방송통신위원회 개인정보보호협력팀장은 "적정성 평가는 EU 집행위가 검토하고 승인하는 것이라 시기를 예측할 수는 없지만 EU측이 올해 중 협의를 끝내보자는 긍정적인 신호를 줬다"며 "순차적으로 진행되는 만큼 한국과 일본이 최우선 순위로 예상된다"고 말했다.

이경탁기자 kt87@