보라빛 소를 만나기 위한 도약

▸ 사이트 구축 이유는, 미디어들은 저널리즘을 말하고 있지만 동시에 클릭 회수를 올려 광고 수입을 얻지 않으면 안 되는 것이 현실이므로, 저널리스트들이 공정한 보도라고 하는 본래의 사명을 잊고 자극적인 뉴스를 내보내는 경향이 있기 때문

▸ 평가 사이트의 이름을 잠정 ‘프라우다(Plavda)’로 명명한 머스크는 현재 트위터를 통해 자신의 계획에 대한 지지 여부를 놓고 자체 투표를 진행하였음

▸ 총 681,097명이 참여한 투표의 결과를 보면, 88%가 괜찮을 것이라는 쪽을 선택해 머스크의 생각에지지 입장을 표명하였음

<자료> Inverse

[그림 1] 프라우다 구축 계획에 대한 찬반 투표

◾ 머스크의 프라우다 사이트 구축 계획에 대해서는 긍정 여론과 함께, 자신에 대한 언론의 비판을 수용하지 못하는 반지성적 태도에서 나온 즉물적 반응이라는 평이 공존함

▸ 일론 머스크는 지금까지 테슬라의 모델3 출시 지연 문제나 테슬라 자율주행차로 인한 사망 사고 등의 보도가 나올 때마다 적지 않은 데미지를 받았음

▸ 특히 모델3의 사전 주문량을 제때 충족시킬 만한 생산 역량을 갖추지 못한데다가 품질도 매우 조악하다는 평을 내리며 테슬라의 파산 가능성을 언급한 언론 보도는 테슬라의 경영 상태를 더욱 압박하는 주요 요인이 되었음

▸ 이런 비판적 보도에 대해 머스크는 주로 트위터 등을 통해 반론을 제기하고 있으나, 이런 반론에 대해 미디어들은 ‘일론 머스크가 마치 트럼프 대통령처럼 미디어를 신뢰하지 않는 것 같다’며 비판하는 입장임

▸ 이번 프라우다 사이트 구축 의향에 대해서도 언론들은 어른스럽지 못한 행동이고, 미디어의 기능에 대한 이해가 전혀 없는 반지성적 태도라며 혹평하고 있음

▸ 머스크는 이에 대해 프라우다를 통해 신뢰성이 높은 미디어로 평가된다면 올바른 보도를 원하는 독자들의 클릭 횟수가 늘어날 것이기 때문에, 프라우다의 이념은 미디어들에게 명분으로나 실리로나 나쁜 것이 아니며, 미디어와 사용자 쌍방에 이익이라 주장

◾ 머스크가 프라우다 사이트를 실제 구축할 것인지 혹은 머스크가 진심으로 이야기 하고 있는 것인지에 대해서도 의견이 엇갈리고 있음

▸ 머스크가 잠정 구상한 사이트 명칭인 ‘프라우다(Plavda)’는 러시아어로 진실, 정의를 의미하며, 구소련 시대에는 공산당 기관지의 이름이기도 하였음

▸ 게다가 현재도 러시아에는 프라우다라는 이름의 타블로이드 신문이 발간되고 있기 때문에, 머스크가 프라우다라는 이름을 사용한 것은 실제 구축하겠다는 것이 아니라, 테슬라에 대한 보도 때문에 받고 있는 스트레스의 발로라는 평가가 많음

▸ 미디어 신뢰성 평가 사이트를 구축한다면서 신뢰성에 의문이 제기되는 구소련 공산당 기관지의 이름을 가져온 것은, 미디어에 대한 일론 머스크의 유머라는 것

▸ 그러나 전기자동차부터 로켓 개발까지 사람들이 예상하지 못했던 사업을 전개해 온 머스크의 이력 때문에 이번에도 실제 구축할 것이라 보는 견해도 있음

모든 ICT 서비스의 기본 요건이 될 일반정보보호규정(GDPR) 발효.pdf

[ 요 약 ]

[ 본 문 ]

◾ 유럽연합이 기업의 개인정보보호 의무를 대폭 강화시킨 ‘일반정보보호규정(GDPR)’이 발효된 첫날부터, 구글과 페이스북 등 주요 기업들에 대한 제소가 줄을 이었음

▸ 오스트리아 소재 디지털 권리 보호 비영리단체인 ‘Noyb(None of your business)’는 구글, 페이스북, 인스타그램, 왓츠앱 등이 GDPR을 위반했다고 주장하며, 이들 기업을 프랑스, 독일, 오스트리아, 벨기에 등에서 제소하였음

▸ Noyb는 GDPR이 서비스 이용에 필요한 개인정보 수집을 ‘반드시 필요한 수준’으로 제한하고 있으나, 구글과 페이스북 등은 광고를 위해 이용자가 개인정보 사용에 동의하도록 사실상 강제하고 있다며 제소 이유를 밝혔음

▸ 페이스북과 구글은 EU의 GDPR의 가이드라인 준수를 위해 1년여 넘게 최선을 다해 준비해 왔으며, 개인정보보호 규정을 지킬 것이라 약속해 왔음에도 불구하고 제소를 피하지 못했는데, Nyob 외에도 다수의 단체에서 GDPR 규정 위반을 지적하고 있음

▸ 한편 일부 미국 기업들은 이 같은 피소 사태를 우려해서인지 GDPR 발효 첫날에 아예 유럽 국가에서 서비스를 차단하기도 했는데, 특히 LA타임스, 시카고 트리뷴, 리 엔터프라이즈 등 언론사들이 웹사이트 접속을 중단시켰음

<자료> SXM IslandTime

[그림 1] 5월 25일 발표된 EU의 GDPR

◾ 규정 발효 첫날 벌어진 이러한 사태는 GDPR의 가장 무서운 점은 기업에 미치는 영향을 가늠할 수 없는 ‘불확실성’에 있다는 분석을 실제로 확인시켜 주었음

▸ GDPR은 EU의 데이터 보호법을 현대화하려는 노력의 일환으로 5년 이상의 작업을 거쳐 2016년 4월에 채택되었으며, EU 거주민의 개인정보를 취급하는 경우, 그 데이터가 처리되는 장소가 어디든 상관없이 적용되는 말 그대로 ‘장난 아닌’ 규정임

▸ GDPR은 또한 감독 기관에 강력한 힘을 부여하고 있으며, 무엇보다 규정을 위반한 기업이나 단체에 거액의 벌금을 부과하는데, 최대 2000만 유로 혹은 전년도 ‘글로벌 매출’의 4% 중 ‘더 높은’ 금액을 부과하도록 되어 있음

▸ 사이버 보안과 정보위험관리에 초점을 둔 글로벌 비영리 정보보호 기구인 ISF(Information Security Forum)는 GDPR이 기업들에게 치명적인 이유는 규정 위반이 언제든 발생할 수 있으나 그 발생 시기를 가늠할 수 없다는 데 있다고 보고 있음

▸ ISF에 따르면 그동안 기업의 관행을 GDPR 조항과 비교할 때 규정 위반이 될 가능성이 높은데, 문제는 GDPR의 지속적인 준수를 위해 요구되는 기업의 근본적인 변화가 단기간에 달성되기 어렵다는 데 있음

▸ 기업들로서는 서비스 접속 자체를 아예 중단하거나 아니면 서비스를 유지하되 최단 기간 내에 비즈니스 시스템을 규정에 맞도록 변화시켜야 하는데, 후자의 경우 패러다임 전환 완료 전까지 언제든 규정 위반 처분을 받을 수 있는 불확실성이 상존하게 됨

▸ 반면 딜로이트 컨설팅은 자체 정보망을 통해 규제 당국이 조사를 완료하기까지는 시간이 좀 걸릴 것이며, 규제 처분이 나오기까지는 6~8개월이 걸릴 것이기 때문에, 실제 사건이 발생하기 전까지는 문제가 없을 것이라는 분석을 내놓은 바 있음

▸ 이 말은 GDPR 준수 프로그램을 기업 내부적으로 마련하는데 좀 늦었다 하더라도, 조사에 시간이 걸리기 때문에 지금이라도 시작하는 게 낫다는 권고의 의미를 담고 있는 것이었는데, 발효 첫날 벌어진 상황은 예상보다 시간이 훨씬 부족할 수 있음을 시사

◾ 비즈니스 불확실성 제거를 위한 신속한 GDPR 대응 시스템의 구축은 규정에 대한 이해에서부터 시작해야 하는데, GDPR은 다음 6개 원칙에 따른 개인 데이터 처리를 규정하고 있음

[표 1] GDPR의 개인 데이터 처리 6원칙

<자료> IITP 정리

▸ 한마디로 GDPR은 유럽인의 개인 데이터를 보유하고 있는 조직이 그 데이터를 합리적인 방식으로 사용하는 동시에, 그 개인 데이터의 선한 관리인이 될 것을 강제하는 규정임

▸ GDPR은 유럽 시민이 기대하는 바와 일치되도록 기업과 조직이 개인 데이터를 사용할 것을 확실히 하기 위한 것이었으나, 최근에는 GDPR의 컨셉이 비단 유럽뿐만 아니라 예상을 뛰어 넘어 전세계적으로 확산되어 가는 움직임이 나타나고 있음

▸ 가령 GDPR의 개념은 현재 아시아 지역의 규제 기관들에 의해서도 도입되고 있으며, 자국민의 데이터를 처리하고 사용하는데 있어 하나의 기준점이 되고 있음

▸ 이에 따라 현재 누구나 다 GDPR 준수를 준비하고 있는데, 기업들은 데이터 주권의 관점에서 그 데이터가 물리적으로 어디에서 나온 것인지 주의를 기울일 필요가 있으며, 금융기관, 의료기관, 심지어 석유와 가스 회사들도 GDPR에 대응하고 있음

◾ 아직 GDPR 준수 프로그램을 도입하지 않은 기업은 자신들이 적용 대상인지 여부를 신속히 검토할 필요가 있는데, EU 지역에 사업장이 없어도 대상이 될 수 있다는 것이 포인트

▸ ISF의 ‘GDPR 구현 가이드(Implementation Guide)’에 따르면 다음과 같은 기업이나 단체는 모두 GDPR이 적용 대상이 됨

▸ ① EU 역내에 본사를 둔 기업이나 단체, ② EU 역외에 본사를 두지만 EU 역내의 데이터 주체를 상품과 서비스의 대상으로 하고 있는 기업이나 단체, ③ EU 역외에 본사를 두지만 EU 역내 개인의 행동을 파악하거나 추적하고 있는 기업이나 단체

▸ 여기서 주의 깊게 볼 것은 GDPR의 보호 대상은 EU 시민의 개인 데이터라는 점이며, 이러한 데이터를 취급하는 기업이라면 사업장 소재지와 상관없이 GDPR을 준수할 의무가 있다는 사실

▸ 가령 미국의 호텔이 EU 역내에 사는 숙박자의 정보를 보유하는 경우나, 미국의 병원이 유럽에서 치료를 받기 위해 건너온 환자의 상태 정보를 주기적으로 모니터링 하는 경우에도 GDPR의 적용 대상이 된다는 것임

▸ 유럽 시민이 관련된 비즈니스를 하는 기업은 그 사업 내용이 무엇이든 GDPR에 단단히 주의를 기울일 필요가 있다는 것인데, 이는 사람의 이동이 자유화되고 글로벌화 된 이런 시대에는 사실상 모든 기업이 잠재적 대상이 될 수 있음을 의미함

▸ IT 엔지니어들의 커뮤니티를 운영하는 스파이스웍스는 GDPR에 대해 아직 잘 모르겠다며 대응에 손을 놓고 있는 기업이 많은데, 아직 준비를 시작하지 않은 기업들은 지금이라도 관심을 갖고 더 많은 주의를 기울여야 한다고 권고하고 있음

◾ GDPR의 적용 대상이 되는 기업이나 단체는 우선 EU 역내의 주요 감독 기관이 어디인지를 확인할 필요가 있는데, ISF의 GDPR 구현 가이드에 따르면 확인 방법은 다음과 같음

▸ EU 역내에 설립된 기업이나 단체는 본사 소재지를 기준으로 자신들의 주요 감독 기관이 어디인지 확인해야 함

▸ 본사가 EU 역내에 없는 경우, 데이터 주체의 대부분이 존재하거나 개인 데이터 처리가 이루어지는 EU 회원국의 감독 기관이 주요 감독 기관이 되어야 함

▸ EU 지역에 거점이 없는 기업이나 단체가 GDPR의 적용 대상이 되는 개인 데이터를 처리하는 경우, 데이터 주체의 대부분이 존재하거나 개인 데이터의 처리가 이루어지는 EU 회원국 내에 반드시 대리인을 선임해야 함

◾ 기업 차원에서 GDPR 준수 프로그램의 첫 단계는 ‘발견(discovery)’하는 것인데, 자신들이 처리하는 개인 정보의 범위와 본질적 특성을 명확히 확인할 필요가 있음

▸ GDPR 규정에 따르면 식별된 또는 식별 가능한 자연인(데이터 주체)과 관련된 ‘어떤 정보(any information)’라도 모두 개인 데이터(personal data)가 됨

▸ 또한 특별 카테고리에 속하는 개인 정보로 ‘① 인종 또는 민족적 배경, 정치적 견해, 종교적 또는 철학적 신념, 노동조합원 자격 등을 드러내는 데이터, ② 자연인은 고유하게 식별하기 위해 처리하는 유전자 혹은 생체 데이터, ③ 건강에 관한 데이터, ④ 자연인의 성생활 또는 성적 취향에 관한 데이터' 등을 규정하고 있음

◾ 다음 단계로는 모든 개인 데이터 처리에 관해 최신의 정확한 세부 내역을 제공할 수 있도록 관련 기록을 유지하는 것인데, 이 요구사항은 다음의 경우에 적용됨

▸ 기업이나 조직의 직원 수가 250명 이상인 경우

▸ 기업이나 조직의 직원이 250명 미만이더라도, ① 그 개인 데이터의 처리가 데이터 주체의 권리와 자유에 위험을 초래할 수 있는 경우, ② 데이터 처리가 간헐적으로 발생하는 것이 아니라 정기적으로 발생하는 경우, ③ 데이터 처리가 개인 데이터의 특별 카테고리를 포함하거나 전과 기록 및 범죄와 관련된 경우

◾ GDPR의 요구 사항은 기업이나 단체가 개인 데이터의 ‘관리자(controller)’인지 ‘처리자 (processor)’인지에 따라 달라지기는 하나, 많은 기업이 양자 모두에 해당함

▸ 관리자는 개인 데이터 처리의 목적과 수단을 결정하는 개체를 말하며, 처리자은 관리자를 대신하여 개인 데이터를 처리하는 개체를 의미함

▸ 일반적으로 GDPR은 동의의 취득, 동의 철회 관리, 개인 데이터에 접근할 수 있는 권리의 활성화와 관련된 사항에서는 데이터 관리자에게 책임을 부과하고 있으며, 따라서 데이터 관리자는 GDPR을 충족하는 데이터 처리자를 선택할 책임이 있음

◾ GDPR의 대상이 되는 데이터를 식별하고 보존할 필요가 있는 기록과 데이터를 어디서 어떻게 처리할 지를 결정한 다음에는 GDPR의 요구 사항 ‘갭(Gap) 분석’을 실시해야 함

▸ 갭 분석은 기업이나 조직의 현재 GDPR 준수 상태를 정확히 평가하는 것으로, 이 작업은 GDPR 준수 프로그램의 범위의 식별과 목표에 도달하기 위해 실행해야 하는 핵심 조치들을 식별하는 데 도움을 줌

▸ ISF는 GDPR 구현 가이드에서, GDPR 준수 갭 분석을 통해 식별한 과제를 해결하기 위한 우선순위를 결정할 때 고려해야 할 4가지 요소를 다음과 같이 제안하고 있음

[표 2] GDPR 준수를 위한 기업의 실행 우선순위 결정시 주요 고려 요소

<자료> ISF GDPR Implementation Guide, IITP 정리

◾ GDPR 요구사항의 대부분은 오랜 시간동안 논의되어 온 것이므로 가장 주의 깊게 볼 부분은 새롭게 등장한 요구사항인데, 대표적인 것이 ‘개인 데이터 처리 인벤토리(inventory)’임

▸ 딜로이트 컨설팅은 GDPR 중에는 오래 전부터 적용되어 온 내용도 많다는 점을 지적하며 GDPR의 전신인 ‘1995년 EU 데이터 보호 지침’을 기반으로 발전시켜 오다, 보호 지침을 대체하기에 이른 것이라 보고 있음

▸ 따라서 딜로이트는 이전 보호 지침에 없었던 새로운 요구사항에 주목하는데, 기업이 가장 크게 우려해야 할 내용으로 ‘개인 데이터 처리 인벤토리’를 꼽고 있음

▸ 인벤토리에는 기업이 EU 시민으로부터 모은 모든 정보, 그것을 어떻게 사용했는지, 누구와 공유했는지, 어떻게 전송했는지, 어떻게 보호하고 있는지가 모두 기록되어야 함

▸ 또한, 데이터 이동성(portability) 및 제거에 대한 요구사항도 큰 위험요소인데, EU 시민의 요구가 있다면 기업은 의무적으로 자신들이 보유하고 있는 그 시민에 관한 모든 개인 데이터를 하나의 데이터 파일로 생성해야만 함

▸ 이 파일은 다른 주체에 양도 가능해야 하고, 요청이 있을 경우에는 그 시민의 개인 정보 일체를 제거

할 수 있어야 하는데, 여기에는 서비스 이용자뿐 아니라 기업 및 조직의 직원 데이터도 포함됨

▸ 즉, 직원 한 명이 회사에 대하여, 회사가 자신에 대해 어떤 데이터를 보유하고 있는지를 물어보고, 그 데이터의 삭제를 요청하며, 삭제했다는 증거를 보여 달라고 할 때 기업은 이에 응해야 할 의무가 있다는 것임

◾ 이러한 상황을 종합해볼 때, 딜로이트 컨설팅은 기업의 CIO와 최고 정보보안책임자(CSO)가 GDPR 준수를 위해 고려해야 할 4가지 핵심 사항으로 다음의 4가지를 제시하고 있음

[표 3] GDPR 준수를 위한 IT 설계시 CIO와 CSO가 고려해야 할 요소

◾ 한편 GDPR은 일견 사람과 무관해 보이는 IoT(사물인터넷) 서비스와도 매우 깊은 관계가 있기 때문에, 이 분야 사업을 준비하는 기업들도 면밀한 검토와 대응을 할 필요가 있음

▸ 앞서 살펴보았듯 GDPR은 다양한 장면에서 발생할 수 있는 개인정보 데이터를 보호하는 데 목적이 있으므로, 사람을 직접 대상으로 하지 않는 비즈니스를 영위하는 기업이라도 자신들의 데이터가 개인정보와 연관될 관련성에 대한 검토가 필요함

▸ 전문가들은 스마트홈 등 가정에서의 IoT 서비스는 결국 일상생활의 편리함을 목적으로 하는 것이며, 이 편의성은 어느 정도 개인정보 공여를 전제로 하기 때문에 IoT는 본질적으로 GDPR의 주요 대상이 될 가능성이 아주 높다고 보고 있음

▸ 또한 개인정보 데이터와 무관하더라도 IoT 데이터의 분석을 통해 얼마든지 개인정보를 유추할 수 있는 가능성이 있기 때문에, 기본적으로 사업을 하려면 GDPR 규정은 무조건 준수해야 한다는 입장을 견지하는 것이 필요할 수 있다고 조언하고 있음

◾ 개인정보와 무관한 IoT 데이터가 GDPR을 위반할 가능성이 발생할 수 있는 대표적인 예로는 스마트 미터( smart meter) 서비스가 꼽힘

▸ 현재 전력, 가스, 수도 등의 공급 회사들은 스마트 미터를 통해 이용자의 사용량을 측정하여 네트워크를 통해 기업에 전송하고 있는데, 스웨덴이나 이탈리아 등에서는 스마트 미터가 주택의 100% 가까이 보급되어 있음

▸ 스마트 미터를 설치하면 이용자와 기업 모두 아무것도 할 필요가 없는데, 이용자는 스마트폰 앱으로 사용량을 실시간으로 확인할 수 있고, 기업은 조사원을 보낼 필요가 없으며 요금이 자동으로 계산되어 청구서를 보내고 받을 수 있음

▸ 그런데 스마트 미터는 주택과 연결되어 있고, 따라서 주택 거주자의 데이터와 연결될 수밖에 없는데, 자동화 서비스가 작동하려면 기업의 빌링 시스템에서 관리하는 개인 데이터와 스마트 미터로 계측한 데이터가 상호 연결되어 있어야 함

▸ 따라서 만일 대시보드가 해킹 당한다면 중대한 개인 정보가 누출될 수 있는데, 가령 여느 때는 전기와 가스 사용량이 많은 집에서 사용량이 확 줄어든 현상이 나타난다면, 여행 등을 갔기 때문에 집에 부재중일 것이란 사실을 쉽게 짐작할 수 있게 됨

▸ 집을 비운다는 사실은 개인에게는 아주 기밀에 해당하는 것이지만, 결과적으로 스마트 미터 데이터를 통해 손쉽게 빈집털이 피해를 당할 가능성이 생길 수 있는 것임

▸ 만일 이런 상황이 발생한다면 영락없이 범죄에 악용될 소지가 있는 프라이버시 침해이기 때문에 GDPR과 무관할 수 없게 되는데, 유럽에서 빠르게 보급되고 있는 스마트 미터는 절대적으로 GDPR 준수 의무를 지켜야 할 IoT 사업 분야라 할 수 있음

▸ 스마트 미터의 사례는 사용자의 주행기록을 통해 운전자의 취미와 취향, 경우에 따라서는 종교와 같이 개인 데이터의 특별 카테고리 정보까지 높은 확률로 추측할 수 있는 커넥티드 카에도 해당되는 것이며, AI 스피커 서비스 등에도 해당될 수 있는 것임

▸ 아마존의 경우 AI 가상비서 알렉사의 개인정보보호 설정 기능을 두고 있지만, 트레이드-오프 관계에 있는 프라이버시와 기능성 사이에서 GDPR을 어떻게 준수해 나갈 지에 대한 새로운 고민을 부여받고 있음

<자료> Paul Coulton

[그림 2] 아마존 알렉사의 프라이버시 설정

◾ 이렇듯 GDPR이 비즈니스에 상당한 위험요인인 것은 사실이나, 어차피 준수해야만 하는 상황이므로, 데이터 관리 개선의 전기로 삼아 신속한 대응에 나설 것이 요구되고 있음

▸ IBM이 5월 17일 발표한 자체 조사 결과에 따르면 전세계 기업의 약 60%는 GDPR을 단순히 규정 준수의 문제나 위험 요소로 보지 않고, 개인정보 및 보안 데이터 관리를 개선 할 수 있는 기회, 혹은 새로운 비즈니스 모델의 기폭제로 파악하고 있음

▸ 이번 조사는 IBM이 2018년 2월부터 4월에 걸쳐 34개국 15개 산업에 속하는 1,500개 기업의 최고 개인정보보호 책임자 및 최고 데이터 책임자, 법률 고문, 최고 정보보안 책임자, 정보보호 담당자 등을 대상으로 실시하였음

▸ 조사 결과 발효일인 5월 25일까지 GDPR을 완전히 준수할 수 있다고 생각하는 응답자는 전체의 36%에 그쳤지만, 84%의 응답자는 GDPR 준수가 소비자에게 플러스 요인이 될 것이라 생각하고 있음

▸ 또한 76%의 응답자는 GDPR 의해 데이터 보호와 관련해 개인과 기업간 신뢰 관계 강화가 가능하다고 답변했으며, 많은 기업이 관리하는 데이터의 양을 전체적으로 감소시킬 기회로 GDPR을 활용하고 싶어 한다는 점도 드러났음

▸ 70% 이상의 응답자는 보유 중인 개인 데이터의 양을 줄이거나 개인 데이터에 접근할 수 있는 권한을 가진 사람의 수를 줄이거나, 필요 없는 데이터를 폐기하겠다고 밝혔으며, GDPR의 시행을 기다리지 않고 수집·관리하는 데이터의 범위를 줄이겠다는 기업도 다수 있었음

▸ 이는 그 동안 마케팅과 영업, 광고 비즈니스 등을 위해 기업들이 최대한 많은 고객 데이터의 확보를 위해 갖은 애를 썼지만, 이러한 관행은 최소한 기업의 IT 부서와 보안 부서에는 적잖은 업무 부담이었음을 시사함

▸ 기업들에게 GDPR 준수 의무는 현재 비즈니스 관행에 비추어 과도하게 느껴질 수 있겠으나, 규정의 발효 배경이 바로 그간 비즈니스 관행에 의해 피해를 호소한 시민들의 요구를 배경으로 한 것임을 감안할 때 기업들로서도 재정비 시간을 마련할 필요가 있음

▸ 그 간의 관행이 소비자뿐 아니라 기업 내부적으로도 상당한 부담을 야기하고 있었다면 개선의 전기를 마련하는 것이 당연하며, 또한 AI나 IoT, 자율주행차 등 미래 산업이 제대로 꽃피우게 하기 위해서라도 GDPR에 능동적으로 대응해 나갈 필요가 있음