[컴퓨터월드] 2018년 5월 25일, 유럽연합(EU)이 회원국 간 정보주체의 개인정보 보호 권리를 강화하기 위해 제정한 유럽 일반 개인정보 보호법(General Data Protection Regulation, GDPR)이 시행된다.

전 세계 개인정보 보호법 중 가장 포괄적이며 제재 강도가 높은 법으로 꼽히고 있는 GDPR은 EU 내 사업장을 운영하며 개인정보 처리를 수반하는 경우뿐만 아니라, EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 EU 내에서 정보주체의 행동을 모니터링하는 경우도 포함된다. 때문에 EU 시장을 대상으로 비즈니스를 하고 개인정보를 처리하는 전 세계 많은 기업들이 이 법의 적용을 받게 된다.

특히 기존 EU의 개인정보보호지침(Directive 95/46/EC)과는 달리 GDPR은 EU의 모든 회원국에게 직접적인 법적 구속력을 갖고, 더 나아가 이를 위반한 기업에게 강도 높은 제재가 있다는 점에서 시행에 따른 영향이 크다고 할 수 있다.

개인정보의 철저한 관리를 요구하는 GDPR

GDPR은 개인정보를 매우 구체적으로 정의하고 있는데, 이는 식별됐거나 또는 식별 가능한 자연인(정보주체)과 관련된 모든 정보를 의미한다. 이름, 전화번호 등과 같은 일반적인 개인정보 외에도 IP 주소 등 온라인 식별자, 유전정보, 위치정보 등이 모두 포함된다.

이와 함께 개인정보는 정보주체와 관련해 적법하고, 공정하며 투명한 방식으로 처리돼야 한다는 원칙도 명시하고 있다. 이에 따라 개인정보가 저장되거나 이전되는 위치 및 방법, 정보 접근 시 적용되는 정책 및 감사에 관한 철저한 관리감독을 요구한다.

특히, GDPR에서는 정보주체의 권리가 대폭 강화됐다. 기업은 데이터 처리 활동에 대한 문서 기록을 보관하고 컴플라이언스를 입증할 수 있는 방법을 마련해야 하며, 개인 데이터를 처리 목적에 필요한 기간을 초과해 보관할 수 없다.

또 개인정보를 보관해야 할 합당한 이유가 없을 경우에는 정보주체의 요청에 따라 데이터를 삭제하거나 제거해야 한다. 여기에 기업은 개인정보 침해를 인지한 후 72시간 이내에 관할 당국에 보고해야 하며, 정보주체에게도 지체 없이 알려야 한다.

만약 기업이 GDPR에 명시된 정보처리의 기본 원칙을 위반하거나 정보 주체의 권리를 보장하지 않는 등의 심각한 위반을 했을 경우 최대 2천만 유로(한화 약 250억 원) 또는 전 세계 연간 매출액의 4% 중 높은 금액으로, 그 외 일반적인 위반의 경우에는 전 세계 연간 매출액의 2% 또는 1천만 유로(한화 약 125억 원) 중 높은 금액으로 과징금이 부과된다.

EU 시장에서 비즈니스를 하고 있거나 앞으로 진출을 계획하고 있는 국내 기업들이 GDPR에 대응할 수 있는 방안을 마련해야 하는 이유이다.

GDPR 대비를 위한 정보관리 체계 마련 시급

국내에서도 내년 5월 본격적인 GDPR 시행을 앞두고 개인정보보호에 관한 가이드라인을 마련하고 강화하기 위한 노력이 한창이다. 행정자치부는 한국인터넷진흥원과 함께 우리나라 기업이 GDPR에 대응할 수 있도록 ‘우리기업을 위한 유럽개인정보보호법 안내서’를 발간하고 관련 설명회를 개최했다. 국내외 구별 없이 정보주체의 개인정보를 수집, 관리하는 기업에게 GDPR 대비는 이제 선택이 아니라 필수다.

베리타스가 한국을 포함한 전 세계 기업 비즈니스 의사결정권자들을 대상으로 GDPR 대비 현황을 조사한 ‘베리타스 2017 GDPR 보고서’에 따르면, 국내 응답자의 93%가 ‘GDPR을 준수하지 않을 경우 비즈니스에 심각한 악영향이 미칠 것’으로 응답했다. 그 중 61%의 응답자는 ‘기한 내 GDPR 규정 준수를 위한 대비를 마칠 수 있을지 모르겠다’고 답해, 여전히 많은 국내 기업이 GDPR 대비에 대해 우려하고 있는 것으로 나타났다.

뿐만 아니라 많은 기업들이 GDPR 준수를 위한 적절한 기술을 갖추지 못해 어떤 데이터를 보유하고 있는지, 해당 데이터가 어디에 있는지, 비즈니스와 어떤 관련이 있는지를 파악하는 데 심각한 어려움을 겪는 것으로 조사됐다.

국내 응답자의 40%는 ‘실시간으로 데이터를 모니터링할 수 있는 툴을 갖추고 있지 않아 효율적인 데이터 관리가 불가능하다’고 응답했다. 29%의 응답자는 ‘소속 기업이 관련 데이터를 정확하게 식별하거나 위치를 파악하지 못한다’고 답했으며, 절반가량(45%)은 ‘가치에 따라 어떤 데이터를 저장하거나 삭제해야 하는지 결정할 수 있는 메커니즘이 없다’고 답해 데이터 보존에 대한 우려도 높게 나타났다.

이와 함께 디지털 혁신이 가속화되고 데이터 폭증이 지속됨에 따라 기업 내에 태그 없는 데이터, 미분류 데이터, 중복 데이터 등 관리의 사각지대에 놓인 데이터들이 무분별하게 쌓이고 있다. 결국 이러한 데이터는 어떤 데이터인지 가치가 파악되지 않는 이른바 ‘다크 데이터’로 적체된다.

최근에는 클라우드 환경 도입이 가속화되면서 여러 환경에 분산된 데이터를 제대로 파악하는 것이 더욱 어려워지고 있다. 따라서 기업은 보유하고 있는 개인 정보 데이터의 가시성을 높이고 체계적인 관리를 위한 정책과 프로세스, 기술을 갖춰야 한다.

GDPR 대비를 위한 정보 거버넌스 구축 프로세스

GDPR이 시행되면 기업은 ▲적법성 ▲공정성 ▲투명성의 원칙에 따라 개인정보를 처리해야 한다. GDPR 준수를 위한 기업 데이터 관리의 핵심은 가능한 많은 자동화를 제공하는 툴과 솔루션을 사용해 체계적인 데이터 관리 방안과 거버넌스를 구축하고, 데이터에 대한 가시성을 확보하는 것이다.

또한 기업들은 GDPR의 규정에 따라 개인정보에 대한 위치 파악과 검색, 데이터 최소화, 데이터 보호 및 모니터링 역량을 갖출 수 있도록 준비하고 전문기업의 GDPR 진단 컨설팅을 통해 대비 현황을 점검하며 프로세스를 보완, 개선해나가야 한다.

먼저, 기업은 보유한 모든 정보주체의 개인정보에 대해 종합적으로 파악할 수 있어야 한다.

데이터가 어디에 위치해 있는지, 어디에 저장되고 누가 접근할 수 있으며, 얼마나 보존되는지, 그리고 어디로 이동되는지를 파악해 불필요한 오래된 문서와의 리스크 연관성을 찾고 파일과 공유에 대한 액세스를 제어해야 한다.

특히, 비정형 데이터에 대한 가시성을 확보해 데이터에 대한 최적화된 의사 결정을 할 수 있어야 한다. 이와 함께 데이터 분석 솔루션을 활용해 컴플라이언스 원칙에 맞춰 데이터를 사용하고, 또 보호하는 데 필요한 트래킹 및 리포팅을 제공받으며, 중요 데이터를 보호함과 동시에 정보 거버넌스 체계를 수립할 필요가 있다.

둘째, 기업은 보유하고 있는 개인정보를 손쉽게 검색할 수 있어야 한다.

GDPR 규정에 따르면 EU 거주시민은 기업이 보유 중인 본인의 모든 개인정보 조회를 요청할 수 있고, 만약 사실이 아닌 개인정보일 경우에는 데이터의 수정과 이동 또는 삭제를 요청할 수 있다. 기업 내 데이터를 수집하고 분석 및 검토하는 엔드 투 엔드(end-to-end) 분석 툴을 통해 직간접적으로 식별가능한 개인 데이터를 손쉽게 파악함으로써, GDPR의 ‘잊혀질 권리’와 같은 개인의 권리를 보장해줄 수 있어야 한다.

셋째, 기업은 GDPR 컴플라이언스 위반 가능성을 증가시키는 불필요하고 중복된 데이터를 삭제해, 보유하고 있는 개인정보의 양을 최소화해야 한다.

이를 실현하기 위해서는 원래 의도한 목적에 부합하는 기간 동안만 개인정보를 보관해야 하며, 기한이 지나면 데이터가 자동 만료되는 보존 정책을 수립하고 시행해야 한다. 이 경우 자동화된 데이터 아카이빙 솔루션을 이용하면 GDPR 컴플라이언스에 대한 리스크를 줄이면서 데이터의 효율적인 관리를 할 수 있다. 또한 표준화되고 일관성 있는 정책 기반 보존 관리 프로세스를 구현해 데이터 관리 작업을 자동화하고, 데이터 보존 관리 규정에 대한 컴플라이언스 증빙도 지원해야 한다.

넷째, 기업은 데이터 손실, 손상 및 유출을 방지하기 위한 적합한 데이터 보호 툴을 갖춰 컴플라이언스 검증과 관련한 투명성을 입증할 수 있어야 한다.

GDPR의 까다로운 복구 및 가용성 요건을 준수할 수 있도록 데이터 보호와 보안 절차를 거쳐야 하는 것이다. 사용 중인 인프라 환경에 상관없이 온프레미스, 클라우드, 하이브리드 환경 전반에서 활용할 수 있는 통합 데이터 보호 솔루션을 통해 안정적이고 통합적으로 데이터를 보호할 필요가 있다.

마지막으로, 기업은 실시간 개인정보 모니터링을 통해 예기치 못하거나 특이한 파일 접근 패턴 등의 침해 움직임이 있는지를 감시하고 이에 대한 신속한 보고 절차를 갖춰야 한다. GDPR은 특정 유형의 데이터 침해를 모든 기업이 관련 감독 당국은 물론, 경우에 따라 정보주체에게까지 보고해야 한다는 의무를 명시하고 있다.

GDPR은 개인정보 보호와 관련된 법인만큼, 위반했을 경우 부과되는 막중한 과징금뿐만 아니라 기업의 브랜드 이미지와 평판에 심각한 영향을 미칠 것으로 전망되고 있다. 기업의 브랜드와 평판은 한번 훼손되면 금전적으로 따질 수 없는 피해를 입게 되고, 다시 회복하기도 쉽지 않은 게 사실이다. 따라서 체계적인 개인정보 관리를 위한 정책과 프로세스를 확립하고, 적절한 기술을 도입해 GDPR에 빈틈없이 대비하는 것이 기업 경쟁력을 지속하기 위한 중요한 첫걸음이 될 것이다.