마크 저커버그 페이스북 최고경영자(CEO)는 GDPR 시행을 앞둔 5월 22일 브뤼셀의 유럽의회를 방문해 정보유출 사태를 사과했다. 사진은 저커버그에 항의하는 시위대의 모습. 사진 블룸버그
마크 저커버그 페이스북 최고경영자(CEO)는 GDPR 시행을 앞둔 5월 22일 브뤼셀의 유럽의회를 방문해 정보유출 사태를 사과했다. 사진은 저커버그에 항의하는 시위대의 모습. 사진 블룸버그

“우리는 장전된 총을 손에 쥐게 됐다.”

베라 주로바 유럽연합(EU) 법무·소비자 담당 집행위원은 5월 25일 시행된 EU의 새로운 개인정보보호 규정인 ‘일반 개인정보보호법(GDPR)’을 놓고 ‘장전된 총’이라는 표현을 사용했다. 페이스북, 구글, 아마존 같은 글로벌 기업들과 개인정보보호를 놓고 힘겨운 싸움을 벌이고 있던 EU 규제당국이 마침내 쓸 만한 무기를 손에 쥐게 됐다는 의미였다.

주로바 위원의 말은 그냥 나온 게 아니다. GDPR은 정보보안 전문가들로부터 ‘인터넷이 생긴 이래 가장 강력한 개인정보보호 규정’이라는 평가를 받고 있다. 호주 뉴사우스웨일스대의 그레이엄 그린리프 교수는 “작년 말 기준으로 세계 120여개국이 인터넷 개인정보보호법을 가지고 있는데, GDPR이 그중에서 보호 범위가 가장 광범위하고 엄격하다”고 평가했다. 최근 개인정보 유출로 홍역을 겪은 페이스북의 셰릴 샌드버그 최고운영책임자(COO)도 “유럽이 개인정보보호를 위해 훌쩍 앞서가고 있다”고 말했다. 도대체 어떤 규정이 있길래 ‘장전된 총’ ‘인터넷 역사상 가장 강력한 규정’이라는 평가가 나오는 걸까.

GDPR은 인터넷 등을 통해 발생하는 각종 데이터 속 개인정보의 권리를 개인에게 돌려주겠다는 취지로 만들어졌다. 여기서 말하는 개인정보는 단순히 컴퓨터나 휴대전화를 사용할 때 발생하는 데이터뿐 아니라 커넥티드카를 비롯한 사물인터넷(IoT) 서비스에서 발생하는 데이터까지 포함한다. 개인정보가 4차 산업혁명의 핵심 자원이 되면서 이에 발맞춰 개인정보보호도 한층 강화된 것이다.

GDPR이 세계의 주목을 받는 건 보호의 범위를 EU 영토 너머로 확장했기 때문이다. 기업의 본사나 데이터 서버가 EU 안에 없더라도 EU 거주민이 해당 기업의 서비스나 재화를 사용하면 GDPR의 적용을 받게 된다. 예컨대 프랑스 파리에 사는 유럽인이 한국 온라인 쇼핑몰에서 물건을 구매한다면, 이 온라인 쇼핑몰을 운영하는 한국 기업도 GDPR을 준수해야 한다는 뜻이다.

김정곤 코트라 연구위원은 “유럽을 대상으로 전자상거래 서비스를 제공하거나 IoT 비즈니스를 계획하는 기업들도 모두 GDPR의 적용 대상”이라며 “최근 유럽에 진출하는 한국 기업들은 전자·전기, 통신업, 정보서비스업 등 데이터를 활용하는 경우가 많기 때문에 GDPR에 적극적으로 대응해야 한다”고 말했다.

보호 대상이 되는 개인정보의 범위도 넓어진다. 이전까지의 개인정보보호법에서는 개인을 식별할 수 있는 직접적인 정보(이름·주민등록번호 등)만 개인정보로 인정했는데, GDPR에서는 개인이 자주 이용하는 인터넷 IP주소나 쿠키 정보같이 개인의 정체를 추정할 수 있는 정보까지도 개인정보에 포함했다.

여기에 더해 ‘잊힐 권리’까지 명문화됐다. 잊힐 권리는 인터넷 기업이 보유한 개인정보를 개인이 원할 때 삭제할 수 있는 권리를 말한다. 연구 목적의 개인정보는 삭제권에서 제외되기는 했지만, 개인의 자기 정보 통제권이 대폭 강화됐다는 측면에서 의미가 있다는 평가다. 이 밖에도 개인이 원하면 언제든지 본인의 정보제공 동의를 철회할 수 있고, 정보이용 현황을 확인할 수 있고, 정보를 정정할 수도 있게 했다.

새로운 규정을 어기는 기업은 과징금 폭탄을 맞을 수 있다. GDPR 위반 시 2000만유로 또는 연간 총매출액의 4% 가운데 높은 쪽을 과징금으로 내게끔 돼 있다. 페이스북의 이용자 정보 유출 사태가 GDPR 시행 이후에 벌어졌다면, 페이스북은 지난해 총매출액의 4%인 16억달러(약 1조7000억원)를 과징금으로 내야 했을지도 모른다. 개인정보보호법을 위반한 기업에 최대 5000만원의 과징금을 매길 수 있는 한국에 비하면 처벌 강도가 하늘과 땅 차이다.

페이스북을 비롯한 글로벌 IT 기업의 조세회피처로 각광받아온 아일랜드의 헬렌 딕슨 데이터정보위원회 위원장은 “정보보호를 감시할 인력을 네 배로 늘렸다”며 “(GDPR 덕분에) 개인들이 자신들의 권리를 더 많이 인식하고, IT 기업의 잘못된 관행을 가만두지 않을 것”이라고 말했다.

GDPR은 2016년 5월 발표 이후 2년간의 유예 기간을 거쳐 이번에 시행됐다. 하지만 아직까지는 반의 반쪽짜리 신세다. GDPR이 확실한 효과를 가지려면 EU 회원국이 각자 국내법을 개정해야 하는데, 독일·오스트리아·영국 정도만 법 개정을 진행했다. 불가리아·그리스·몰타·포르투갈·루마니아 같은 나라들은 GDPR을 반영한 국내법 개정 계획조차 아직 발표하지 못하고 있다.


아직은 갈 길 먼 GDPR

현실적인 한계도 있다. GDPR은 정보보호 대상을 드라마틱하게 넓혔는데, 각국 정보보호 당국의 역량은 여기에 미치지 못하고 있다. EU의 정보보호 감독기구인 EDPS의 지오바니 부타렐리 감독관은 “작년 말 유럽의 개인정보보호기구에서 일하는 직원 수를 다해도 2500명 정도에 불과했다”고 말했다. 영국 정보보호 당국이 2020년까지 수백 명의 직원을 충원하기로 하는 등 각국 정부의 노력이 뒤따르고 있지만 여전히 갈 길이 멀다.

네덜란드의 정보보호 당국 책임자인 제이콥 콘스탬은 파이낸셜타임스와의 인터뷰에서 “GDPR을 위반하는 기업이 당국에 잡힐 가능성은 거의 없다”며 “(예산과 인력을 감안하면) 규제 기관은 천 년에 한 번꼴로 기업을 점검할 수 있을 것”이라고 말했다.

규제 대상인 기업들의 준비 상황도 부족하다. 글로벌 정보분석업체인 SAS가 지난 2월 발표한 자료에 따르면 글로벌 200대 기업의 절반 미만이 ‘제때에 GDPR을 위한 준비를 마칠 수 없다’고 답했다. 영국 중소기업연합회가 지난 3월에 실시한 조사에서는 10%의 기업만이 GDPR 대비를 마쳤고, 20%는 GDPR의 존재 자체도 모르고 있었다. 정보시스템감사통제협회(ISACA)가 최근 공개한 보고서에 따르면 아시아·태평양 기업의 71%가 ‘GDPR에 대한 준비가 돼 있지 않다’고 답했다.

막대한 비용이 문제다. 영국의 테크업체인 액시엄(Axiom)에 따르면 영국 상장사가 GDPR에 맞춰 개인정보보호시스템을 바꾸는 데 기업당 평균 1500만파운드(약 218억원)가 들 것으로 예상된다. 글로벌 컨설팅업체인 언스트앤드영(EY)이 글로벌 500대 기업의 GDPR 준비 비용을 추정한 것도 평균 1600만달러(약 173억원)였다.

한국 기업들도 GDPR에 제대로 대응하지 못하고 있는 건 마찬가지다. 특히나 중소기업들이 발 빠르게 대처하는 데 어려움을 겪고 있다. 법무법인 율촌의 김선희 변호사는 “대기업보다 정보보호 예산이 적은 중소·중견기업은 우선순위를 정해서 대응할 필요가 있다”고 말했다.


 

Keyword

쿠키(cookie)
웹사이트에 접속할 때 자동으로 만들어지는 임시 파일이다. 웹사이트를 방문한 이용자가 본 내용이나 상품 구매 내역, 신용카드 번호, IP 주소 등 다양한 정보를 담고 있다. 쿠키 덕분에 인터넷 이용자가 한번 방문한 웹사이트 주소를 다 기억할 필요 없이 몇 자만 입력하면 자동으로 나머지 주소가 완성되게 된다. 쿠키라는 이름은 과자를 먹고 남는 과자 부스러기처럼 용량이 작고 흔적이 남는다는 의미로 붙여진 이름이다.