유럽연합(EU)은 지난해 4월 정보보호 측면을 대폭 강화하는 방향으로 개정한 GDPR을 채택, 2018년 5월 25일부터 28개국 회원국들에 일제히 적용된다. EU가 회원국의 소비자를 대상으로 개인정보, 금융, 의료, 상품 판매 정보 등 모든 개인정보 데이터를 저장하거나 전송하는 방식, 해당 정보 접근과 사용에 따른 방법 등에 있어서 직접 관리·감독에 나서게 된 것이다.
GDPR은 인종·민족, 정치적 견해, 종교·철학적 신념, 노동조합의 가입 여부, 유전자 또는 생체정보, 건강, 성적 취향 등을 '특별한 유형의 개인정보'로 지정, 원칙적으로 이용이 금지된다. 이 규정을 어길 경우 매출액의 4% 또는 최대 2000만 유로(약 250억원)에 해당하는 과징금을 받게 된다.
EU에서 회원국을 상대로 사업을 하는 모든 기업이 강력한 규제 대상에 놓인 셈이다. 이에 행정안전부는 한국인터넷진흥원(KISA)과 함께 지난 4월부터 안내서를 발간하고 설명회를 개최하는 등 GDPR 인식 확산과 대응에 노력을 기울이고 있다.
EU에서 사업을 펼치고 있는 삼성전자나 LG전자 등 대기업들 역시 정보보호 부서와 현지 법인 등 유관조직 간의 협업을 통해 GDPR 대비에 긴장의 끈을 놓지 않고 있다. 네이버도 GDPR 설명회를 열고 서비스 담당자들에게 관련 내용을 전파하는 데 주력하고 있다. 기존 개인정보보호에 심혈을 기울이던 IT기업들은 GDPR에 의연히 대처하는 모습이나, 수출 제조업 등 당장 GDPR의 영향을 받는 대다수 중소기업들은 인지조차 못하고 있는 분위기다. 자금과 인력이 풍부한 대기업들은 보안체계 마련에 순조롭지만, 개인정보 동의를 받아온 경험이 적은 중소·중견 제조업의 경우 당장 발등에 불이 떨어진 형국이라 대책마련이 시급한 것으로 보인다.
실제 미국 정보관리업체 베리타스의 '2017 GDPR 보고서'에 따르면 국내 응답자의 93%가 GDPR을 준수하지 않으면 비즈니스에 심각한 악영향이 미칠 것으로 응답했다. 이 가운데 61%는 기한 내 GDPR 규정 준수를 위한 대비를 마칠 수 있을지 모르겠다고 밝혔으며, 응답자의 40%는 실시간으로 데이터를 모니터링할 수 있는 툴을 갖추고 있지 않아 효율적인 데이터 관리가 불가능한 것으로 조사됐다.
국내 개인정보보호의 모호한 법체계도 정비해야 한다는 지적도 나온다. 정부는 지난해 6월 '개인정보 비식별화 조치 가이드라인'을 발표했지만, 정보주체 중심의 실질적인 보호 체계를 요구하는 GDPR과 많은 차이가 있어 기업들이 난항을 겪고 있다. 각종 동의제도에 기반을 둔 국내 법제와는 달리 GDPR은 개인정보의 산업적 활용 가능성, 개인정보의 실질적 보호와 조화를 추구한다는 점에서다.
한국이 추진 중인 적정성 평가에 안주해 대응을 소홀히 해서는 안 된다는 전문가들의 목소리도 힘이 실린다. 승인이 이뤄져도 데이터 보호 장치 등 GDPR에 규제위반이 될 소지가 발생하기 때문이다. 적정성 평가란 EU 회원국 외의 제3국이 개인정보 보호를 위한 적정한 수준을 갖추고 있는지를 심사해 EU 시민의 개인정보를 이전·처리할 수 있도록 허용하는 제도다. 적정성 평가를 승인받게 되면, 우리 기업은 추가적 규제 없이 EU에서 자유롭게 영업활동을 할 수 있기 때문에 정부가 범부처 차원의 대응을 지원해 왔다.
이진규 네이버 정보보호최고책임자(CISO) 겸 개인정보보호책임자(CPO)는 "한국은 활용보다는 보호에 초점을 맞추고 있고 분명한 가이드라인을 제시하지 않고 있다"면서 "공공데이터로 활용하고 제3자에 전달해 다시 새로운 가치를 창출하는 정보의 순환이 이뤄지는 정책을 내놔야 할 것"이라고 제언했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지