메가톤급 개인정보 규제 'GDPR' 카운트다운 D-2

개인정보 주체는 기업 아닌 개인 못 박아
개인에게 삭제·이동·열람권 등 보장
EU내 법인·유럽인 대상 영업기업에 적용
삼성·LG·네이버 등 준비완료…영향엔 촉각

글로벌 ICT기업의 생사를 좌우할 '초강력 규제' 유럽일반개인정보보호법(GDPR) 시행이 이틀 앞으로 다가왔다. 유럽에 진출하는 등 영향권 내 들어 있는 국내 기업들도 각자 대응책을 마련하며 새 규제가 가져올 파급력에 촉각을 곤두세우는 분위기다.

GDPR의 핵심은 개인정보 주체의 통제력 강화다. 개인정보의 주인은 기업이 아니라 해당 개인임을 명확히 한다는 것이다. 개인은 원할 경우 정보 삭제를 요구할 수 있고(잊힐 권리), 개인정보를 이동시킬 수 있으며, 가공된 개인정보에 대한 열람권도 갖게 된다. 또 개인정보 활용에 반대할 권리, 부정확한 개인정보에 대한 정정을 요구할 권리도 부여받는다.

이 같은 원칙에 위배되는 행위를 한 기업은 손해배상 책임을 진다. 심각한 경우 직전 회계연도 전 세계 매출의 4% 또는 2000만유로 중 높은 금액을 과징금으로 부과하는 등 그 강도가 만만치 않다. GDPR 적용 대상 기업은 유럽연합(EU)에 사업장을 가지고 있는 기업 또는 EU에 사업장이 없더라도 EU 거주인을 대상으로 영업 활동을 하는 기업이다. 현지에 법인을 둔 국내 대기업은 당연히 적용 대상이 된다.

23일 업계에 따르면 삼성전자ㆍLG전자ㆍ네이버ㆍ넥슨 등 유럽 법인을 보유한 회사들은 GDPR에 대한 개략적인 대비를 마쳤다. 삼성전자의 경우 지속가능경영사무국을 통해 GDPR로 인한 규제 환경 변화를 예측하고 그에 따른 대응 방안을 마련했다.

삼성전자 관계자는 "개인정보 보호의 중요성은 GDPR 도입과 별개로 고민해온 문제"라며 "개인정보 보호 관련 조직ㆍ정책·절차·시스템 등을 전면적으로 개선하고 강화해왔다"고 전했다. 삼성전자는 EU 각국의 개인정보 관련 법규를 준수하기 위해 모든 제품과 서비스 개발 단계에서부터 '프라이버시 바이 디자인(Privacy by Design)' 원칙을 적용하고 있다.

LG전자는 유럽의 각 법인에 개인정보보호팀을 구축했다. 개인정보 관리 활동을 하는 부서에 대한 정기적 점검 및 모니터링을 수행하며, 개인정보 권리를 침해하는 일이 발생하지 않도록 수시로 점검하고 있다고 회사 측은 전했다.

네이버의 경우 지난해부터 GDPR에 대한 전사적 대응에 나섰다. ▲스타트업 대상 GDPR 설명회 개최 ▲한-EU GDPR 기업 간담회 참석 ▲프라이버시백서 내 GDPR 연구과제 수록 ▲계열사 GDPR 워크숍 개최 등이 네이버 측이 전한 대응책들이다. 이진규 정보보호책임자(DPO)를 신규 선임한 것도 GDPR에 대비하기 위해서다.

GDPR과 직접적 관련이 없는 국내 ICT업체들도 개인정보보호 대책 강화에 나섰다.

KT는 통신업계 최초로 기존의 정보관리최고책임자(CIO)에서 정보보호최고책임자(CISO)를 분리 신설하고, 정보보안단 조직을 신설한 바 있다. 또 정보보안단 신설과 함께 보안인프라 및 인력에 대한 투자를 확대했다. KT는 2016년 7월 KISA의 정보보호준비도평가 최우수등급 AAA를 획득한 바 있다.

한편 정부 쪽에선 한국인터넷진흥원(KISA)이 기업들을 위한 정보 제공과 가이드라인 마련에 적극적으로 나서고 있다. 윤재석 KISA 팀장은 "국내 기업의 GDPR에 대한 인식 수준이 상당히 올라간 것으로 본다"면서도 "다만 법안 내용이 방대하고 복잡해, 법리적인 내용을 해석하고 이행해야 하는 부분에는 어려움을 느끼고 있는 것으로 파악된다"고 말했다. 이에 KISA는 하반기를 목표로 업종별ㆍ분야별 세분화 가이드라인을 제정할 계획이다.

이에 앞서 KISA는 GDPR 관련 전문 지식을 공유하고 대응 방향을 소개하는 'GDPR 가이드북 북콘서트'를 오는 25일 광화문에서 연다. 가이드북은 GDPR가 규정하는 법률의 세부 지침과 주요 개념의 해석, 기업의 책임성 강화를 위한 내부 관리 기법 등의 내용을 담고 있다.

이와는 별개로 KISA는 EU에 국내 기업의 EU 개인정보 역외이전에 관한 '적정성 평가' 승인도 요청한 상태다. 한국의 개인정보 보호 규정이 EU에 준한다는 인정을 받는 절차다. 현재 적정성 평가 통과 가능성이 있는 곳은 한국과 일본 두 나라로 알려졌다. 적정성 평가에서 승인을 받을 경우 GDPR와 관련된 국내 기업의 영업 자유도가 그만큼 높아질 것으로 기대된다.

김동표 기자 letmein@asiae.co.kr