Search

'보편적데이터보호규정'에 해당되는 글 1건

  1. 2018.10.31 페이스북에 16억 달러 벌금 부과 가능성, 현실화 된 EU의 GDPR 리스크

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1870호(2018. 10. 31. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

페이스북에 16억 달러 벌금 부과 가능성, 현실화 된 EU의 GDPR 리스크.pdf



[ 요 약 ]


페이스북의 2,900만 명 개인정보 누출 사고에 유럽연합의 강력한 개인정보보호 법안인 ‘GDPR(보편적데이터보호규정)’이 어떻게 적용될 지에 세간의 관심이 모이고 있음. 페이스북에는 최소 8~최대 16억 달러 이상의 벌금이 부과될 수 있는데, 이는 GDPR 리스크가 기업의 영속성에 치명적일 수 있음을 의미함. 유럽을 대상으로 서비스를 운영하지 않는 기업도 의도치 않게 GDPR을 위반할 위험이 있으므로 모든 기업은 핵심 내용을 이해하고 대응 태세를 점검할 필요가 있음



[ 본 문 ]


이용자 2,900만 명의 개인정보가 누출된 페이스북 사태가 유럽연합(EU)의 새로운 개인정보보호 정책인 보편적데이터보호규정(GDPR)' 적용의 첫 시험대가 될 것으로 보임


페이스북은 지난 9월에 사용자 2,900만 명의 이름과 연락처 정보가 노출되었다고 인정했으며, 이 중 1,400만 명은 성별, 거주지 등의 개인정보가 추가 도난당했다고 밝혔음


<자료> TechCrunch

[그림 1] GDPR을 위반하게 된 페이스북


사건이 터지자 베라 주로바 EU 법무 담당 집행위원은 유럽연합은 매우 엄격한 규정을 가지고 있으며, 페이스북을 포함해 개인정보를 위험하게 취급하는 기업들을 징계할 수 있는 강력한 수단을 가지고 있다는 입장을 표명하였음


외신들은 EU가 해킹당한 유럽인 이용자의 규모에 따라 처벌 수위를 정할 것이라고 내다보고 있는데, 페이스북이 유럽 피해자의 규모를 정확히 밝히고 있지 않은 가운데, 해킹 피해 계정의 10~15%300~500만 개가 유럽 이용자의 것이라는 보도들이 나오고 있음


GDPR에 따르면 유럽인들의 개인 정보를 필요로 하는 기업들은 그 정보의 보유와 보안에 대한 엄격한 요구사항을 준수해야 함


만일 이를 지키지 못하면 EUGDPR에 의거, 전년도 기업 매출의 최대 4%를 벌금으로 부과할 수 있는데, 페이스북의 경우 2017년 매출이 406.53억 달러이므로 벌금은 최대 16.26억 달러에 달할 수도 있음


GDPR은 유럽연합의 규정이므로 다른 지역과는 무관할 것이라 생각할 수도 있는데, 페이스북의 사례에서 보듯 유럽 거주자의 정보를 보유한 기업이라면 고객정보 유출시 GDPR의 대상이 됨


올해 525일 시행된 GDPR은 유럽연합 거주자의 개인정보보호를 목적으로 제정된 법률이지만, 인터넷 시대에는 어떤 기업이든 용이하게 글로벌 서비스를 전개할 수 있고 유럽인들을 서비스 회원으로 받아들일 수 있기 때문에 사실상 EU라는 지역적 제한은 없는 셈


GDPR은 여러 면에서 논란이 있는데, 대표적인 것이 고객정보 유출 사고에 관한 것으로 페이스북 사례에서 보듯 EU 거주자가 포함될 경우 EU 내에 있는 기업이 아니더라도 정보 누출 사실을 신속하게 신고하지 않으면 최소 1천만 유로의 벌금을 부과하게 되어 있음


기업 입장에서 더욱 조심해야 할 것은 자신들이 직접 해킹을 당한 것이 아니라 정보 업무를 대행해 주는 기관에서 발생한 해킹 사건으로 인해 고객 정보가 유출되었을 경우에도, 정보 업무를 위탁한 기업에게 신고 의무를 규정하고 있다는 사실임


실제로 지난 6월 말 호텔 예약 시스템을 운영하는 프랑스 패스트 부킹사이트에서 정보 누출 사고가 있었는데, 이 호텔에 예약 업무 대행을 맡긴 전세계의 호텔들 대부분이 GDPR 당국에 사고 사실을 통지하지 않았음


이 경우는 정보 대행업체로부터 개인정보가 누출된 것이지만, GDPR은 이때도 위탁원에 통지의무가 발생한다고 규정하고 있어, 통지하지 않거나 통지가 늦어지면 GDPR 위반으로 고액의 벌금을 부과 받게 되는 것임


이처럼 의도하지 않게 GDPR 규정을 위반할 수 있다는 위험 때문에, 준비해 온 서비스 런칭을 포기하는 기업의 사례나, 위반 사실을 빌미로 돈을 요구하는 협박 사례도 나오고 있음


서비스와 관련된 정보 처리를 모두 직접 수행하지 않고, 일부 프로세스를 외부와 연계하여 처리하는 기업이라면 GDPR 규정에 특히 주의를 요할 필요가 있음


대개 정보처리를 위탁받거나 하청받은 업체는 사고가 발생할 경우, 이 사실을 드러내지 않고 신속히 수습하려는 시도를 먼저 하기 마련임


 이는 기업 내부가 아니라 기업 외부에서 GDPR이 위반될 위험이 상존한다는 것을 의미하는 것이며, 정보보호 컨설팅 기관으로부터 이런 위험을 지적받은 업체들 중에서 준비해 온 서비스를 포기하거나 보류하는 사례도 나오고 있음


 GDPR은 사고 발생 통지 의무뿐 아니라 개인정보의 취급이나 사용자에 대한 대응, 보안 대책 등에 많은 의무를 부과하고 있고, 위반하면 고액의 벌금을 부과 할 수 있기 때문에 GDPR 규정 위반 사실을 볼모로 기업에 협박을 하는 사례도 발생하고 있음


 불가리아에서는 기업에 대해 당신들 서비스의 개인 정보를 훔쳤으며, 이 개인 정보들이 공개되는 걸 원하지 않으면 지정된 시간 안에 돈을 입금하라고 협박하는 사건이 있었는데, 요구 금액은 기업 규모에 따라 1~2만 달러 수준이었음


 이 사건을 공개한 불가리아의 보안 기업 TAD 그룹에 따르면, 대부분의 기업은 어떤 식으로든 GDPR 위반 가능성이 있으며, 누군가 정보 유출 사실을 알고 GDPR 감독 기관에 알려주면 적발될 수 있는데, GDPR의 제재금은 최소 1,000만 유로임


 이 제재금에 비하면 협박범의 요구 금액은 상당히 약소한 수준이기 때문에, 보안상 취약점을 알리겠다는 협박을 받으면 실제 돈을 지불할 것을 고려하는 기업들이 있다고 함


이런 위험 때문에 정보보호 컨설팅 기관들 중에는 외국의 이용자 비중이 많지 않은 서비스라면, 특히 유럽 이용자의 비중이 낮은 서비스를 운영하는 기업이라면, 아예 유럽에서는 사업을 전개하지 않거나 서비스 접속을 차단하는 것이 나을 수도 있다고 조언하고 있음


GDPR은 최악의 경우 기업의 존폐에까지 영향을 미칠 수 있는 중요한 규정이기 때문에, 내용을 정확히 파악해 두어야 할 필요가 있는데, 가장 유념해야 할 조항은 크게 5가지임


 GDPR은 유럽 의회에서 2016427일 채택되어 약 2년간의 준비 기간을 거쳐 시행된 것인데, 이 만큼의 준비 기간이 있었음에도 상당수의 기업, 특히 비유럽권 국가의 기업들 대부분은 대응 태세를 갖추고 있지 못하고 있음


GDPR 시행 직전인 올해 4월경에 미국에서 시행된 설문 조사 결과들에 따르면 ‘GDPR의 내용을 이해하고 있다고 응답한 기업은 조사 대상의 약 3분의 1 수준이었으며, 시행 후 5개월이 지난 9월말에 GDPR 대응을 마쳤거나 마쳐가는 기업은 약 45% 수준임


GDPR에 대해 무관심한 이유는 대부분의 국가에서 어떤 형태든 개인정보보호법을 시행하고 있고, GDPR은 유럽 지역의 개인정보보호법일 뿐이라 생각하기 때문


가장 위험한 오해는 GDPR이 요구하는 것이 단순히 비유럽 지역 국가의 개인정보보호법 보호 대상에 EU 시민들을 포함시켜 달라는 것 정도로만 이해하는 것임


이런 접근은 자칫 큰 문제로 이어질 수 있어 정확히 이해할 필요가 있는데, 특히 5가지 포인트에 유의하지 않으면 스타트업들은 문을 닫아야 할 위험에 처할 수도 있음


[1] 국내 기업이 유의해야 할 GDPR 규정의 5가지 포인트

핵심 규정

주요 내용

대상이 되는 개인의 범위

유럽경제지역(EEA)에 존재하는 사람

적용 서비스 범위

유럽연합 내에서 개인정보를 관리하고 처리하는 서비스

EU 거주자에게 제공되는 서비스

EU 거주자의 행동을 모니터하는 서비스

보호해야 할 주요 개인정보

이름, 식별번호, 위치정보, 이메일 주소, IP 주소, 쿠키

개인을 특정할 수 있는 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 사회적 특징

정보 누출 사실 통지 의무

정보취급 관리자가 72시간 내에 감독기관에 통지(감독기관은 유럽 내 각국에 소재)

누출된 정보의 소유자가 거주하는 곳에 있는 감독기관마다 통지해야 함

제재금

경미한 위반은 1천만 유로 또는 전년도 매출의 2% 중 높은 쪽

중대 위반은 2천만 유로 또는 전녀도 매출의 4% 중 높은 쪽

<자료> IITP 정리

 


우선 가장 크게 오해하고 있는 것은 대상이 되는 개인의 범위인데, GDPR은 유럽의 거주자뿐 아니라 EU 국적이 없더라도 단기간 EU에 체류하는 사람까지를 포함함


GDPR의 보호 대상은 정확하게는 유럽경제지역(EEA)’있는 사람인데, EEAEU에 가입하는 28개국에 아이슬란드, 노르웨이, 리히텐슈타인의 3개국을 더한 것으로, EU를 탈퇴한 영국을 뺀 사실상 유럽 전역으로 생각하면 됨


혼란이 발생하는 지점은 있는 사람에 대한 해석인데, EU 국적과 주소가 없어도 EU를 방문한 사람은 모두 대상이 되며, 며칠간의 단기 출장이나 여행으로 방문한 사람도 대상이 될 수 있기 때문에 EU 거주자로만 한정하는 것은 잘못된 이해임


다음은 GDPR의 적용 대상인데, EU 내에서 운용되는 서비스 외에 지리적 한계와 상관없이 EU에 있는 사람과 관련된 서비스를 모두 포함하고 있음


GDPR은 서비스 대상으로 EU에서 개인정보를 관리하고 처리하는 서비스, EU 거주자에게 제공되는 서비스, EU 거주자의 행동을 모니터하는 서비스의 세 가지를 들고 있음


, EU에 비즈니스 거점이 없는 서비스 사업자라 할지라도, EU 거주자에게 제공되는 서비스EU 거주자의 행동을 모니터하는 서비스라는 조항의 적용을 받게 되는 것임


구체적으로는 가령 클라우드 서비스나 전자상거래 사이트, 암호화폐 거래소 등이 모두 해당하며, 국내용 서비스라 하더라도 이용자가 EU 거주자 혹은 EU에 잠깐 머문 사람이라면 적용 대상이 된다는 점을 유의해야 함


PwC 컨설팅은 자국 언어(비유럽권 언어)로만 되어 있는 서비스이므로 EU 거주자를 대상으로 한 것이 아니다는 논리로 GDPR 법 적용을 피할 가능성은 낮다고 보고 있음


따라서 적용을 받지 않으려면, ‘EU 거주자는 사용할 수 없는 서비스임을 고지하거나 혹은 ‘EU 거주자를 위한 서비스가 아님을 명시할 필요가 있음


보호 대상이 되는 개인정보를 개인 식별 정보로 오해하는 경우도 많은데, 실제 범위는 더 넓어서 GDPR은 하드웨어 식별 정보나 쿠키까지도 정보보호 대상으로 규정하고 있음


GDPR는 개인 정보로 이름과 식별번호, 위치 정보, 이메일 주소, IP 주소, 쿠키 등을 명시하고 있는데, 특징적인 것은 IP 주소와 쿠키로 하드웨어를 식별하는 정보는 대부분 국가의 개인정보보호법에는 포함되지 않는 것임


쿠키는 모르겠으나 IP 주소에는 개인정보가 없다고 판단해 정보를 획득하고 있는 서비스도 적지 않은데, GDPR에 개인정보의 하나로서 명시되어 있기 때문에 IP 주소를 받을 경우에 반드시 사용자의 동의를 얻을 필요가 있음


GDPR은 정보처리를 기업 외부에 위탁하는 경우 위탁자와 수탁자(실제 처리자)의 의무를 각각 규정하고 있는데, 비교적 잘 알려진 72시간 이내 통지 의무는 대표적인 관리자의 의무임


GDPR는 개인정보 취급 방안을 관리자(controller)'처리자(process)'라는 두 주체의 관점으로 나누어 각각 의무를 규정하고 있는데, 72 시간 이내에 통지 의무는 관리자의 의무임


관리자는 개인정보를 주체적으로 취급하고 개인에게 서비스를 제공하는 조직과 사람을 가리키며, 처리자는 관리자를 대신해 개인정보를 처리하는 조직과 사람을 가리키는데, 통상 관리자는 여러 처리자와 계약을 하기도 하며 처리자는 다시 부처리자와 재계약을 하기도 함


관리자가 직접 개인정보를 처리하면 처리자는 없게 되지만, 관리자가 자신을 대신해 외부에 개인정보 처리를 일부라도 위임하게 되면 관리자와 처리자가 각각 존재하게 됨


GDPR에서는 72시간 이내 통지 외에도 다양한 관리자의 의무를 명시하고 있는데, 개인정보를 취득 할 때 이용 목적 및 보관 기간 등의 조건을 제시하고, 본인의 요청이 있으면 보관하고 있는 개인정보를 공개하는 것 등이 대표적임


<자료> Delete Agency

[그림 2] 데이터의 주체-관리자-처리자’ 관계


관리자의 경우 통지가 구체적으로 어떤 작업인지를 정확히 알아야 하는데, 우선 GDPR의 감독기관은 한 곳이 아니라 EU의 각국에 산재해 있다는 것을 알 필요가 있음


GDPR 대응을 지원하는 개인정보보호위원회의 웹사이트에 가면 감독기관 목록을 확인할 수 있는데(현재 67개 기관이 지정되어 있음), 유의할 것은 통지에 사용하는 포맷이 감독기관에 따라 다르고 각 나라의 언어로 작성할 것을 요구하는 경우가 많다는 점


정보 유출이 발생했을 때 어떤 감독기관에 통지해야 할지도 이슈가 되는데, EU 내에 거점이 있는 사업자는 그 거점이 있는 국가의 감독기관에 통보하면 되지만, EU에 사업 거점이 없는 사업자들이라면 상당히 불편을 겪을 수 있음


GDPR는 원칙적으로 유출된 개인정보의 소유자가 거주지한 곳의 감독기관마다 통지하도록 규정하고 있는데, 정보 누출 피해자가 여러 국가에 걸쳐있는 경우 그 국가 수만큼의 기관에 통지해야 한다는 뜻임


결론적으로 피해자가 여러 국가에 걸쳐 있는 경우, 각국의 감독기관에 각 나라의 언어로 통지서를 작성해 알려야 한다는 것으로, 이는 기업 입장에서는 불합리하게 느껴질 수 있는 점이나 현실이 이러하므로 72시간 내 통지가 그리 넉넉하지 않을 수 있다는 것을 인식해야 함


72시간 이내 통지 의무에서 또 하나 이슈가 되는 것은 기산 시점언제부터 72시간 이내인가 하는 것인데, 이에 대해서는 명확한 규정이 아직 없음


일단은 사업자가 이때부터라고 결정한 곳이 기산점이 되는데, 자체적으로 시스템을 운용하는 경우 시스템이 이상 징후를 발견하면 경고 메시지를 보내고, 관리자는 사실 확인을 통해 정보 누출 가능성을 판단할 수 있는데, 이런 판단 시점이 기산점이 될 수 있음


PwC 컨설팅은 누출 가능성을 인지했을 경우는 사 내에서 회의를 열어 기점을 언제로 할지 정하는 것이 좋다고 조언함


또한 누출 가능성은 있으나 흔적을 발견하지 못했을 때는 흔적을 찾는 시한을 정해 놓고, 시한 때까지 흔적을 찾지 못하면 누출 가능성이 있다고 일단은 통지할 필요가 있다고 조언


누출 흔적이 발견될 때까지 통지하지 않는 것은 위험할 수 있는데, 최종적으로는 GDPR 당국이 판단을 하겠지만 가능성을 인지한 시점과 실제 흔적을 발견할 때까지의 시간이 상식선을 넘어간다면 통지 의무 위반으로 결정될 가능성이 높기 때문임


처리자로부터 정보 유출이 발생한 경우는 그 보고를 받은 때가 기점이 될 것인데, 처리자로부터 보고가 신속히 올라오지 않을 가능성이 있기 때문에, PwC는 정보처리 위탁계약을 할 때 정보 유출 발생부터 보고까지 소요 시간을 계약내용에 포함시키는 것이 좋다고 조언


마지막으로 제재금의 엄중함도 반드시 염두에 두어야 하는데, 벌금 없이 주의로 끝날 수도 있지만, 일단 범금이 부과될 사안이라고 판단되면 최소 1천만 유로가 부과되기 때문


GDPR 위반이 발생한다고 해서 즉시 벌금이 부과된다는 것은 아니며, 감독기관이 위반 내용과 상황을 확인하고 주의만으로 끝내는 경우도 있음


주의 수준을 넘어서는 경우, 경미한 위반은 1천만 유로 또는 전년 매출의 2% 중 높은 금액, 중대 위반은 2천만 유로 또는 전년 매출의 4% 중 또는 높은 금액을 부과하게 되어 있음


주의와 경미한 위반 및 중대 위반 사이에 다른 유형은 존재하지 않기 때문에 정상참작의 여지가 있어도 제재금을 낮춰줄 방법이 없기 때문에 일단 위반하지 않는 것이 중요함


경미한 위반은 관리자 및 처리자의 의무를 위반하는 경우로, 가령 관리자의 72시간 내 통지 의무 위반은 경미한 위반으로 간주되며 중대 위반은 아님


중대 위반은 동의를 비롯한 개인정보 처리의 기본 원칙을 위반한 경우, 정보주체의 권리를 보장하지 않는 경우, 3국이나 국제기구에 개인정보를 이전할 때 준수해야 할 규정을 위반한 경우 등 개인 정보권을 침해할 때 적용됨


인터넷을 통해 모든 기업, 특히 콘텐츠와 서비스 기업들의 용이한 글로벌 비즈니스가 가능하게 된 지금, GDPR이 사업의 중대 위협이 되지 않도록 보다 철저히 준비할 필요가 있음


내수 시장의 한계라는 구조적 문제를 겪고 있는 우리나라의 기업들은 필연적으로 글로벌 서비스를 전개할 수밖에 없는데, 인터넷 시대의 도래로 그 어느 때보다 용이한 글로벌 사업의 전개가 가능해진 것은 국내기업들에게 호조건이 되고 있음


특히 현지에 직접 진출하지 않더라도 서버 운영만으로 수출 효과를 낼 수 있다는 것이 인터넷 비즈니스의 장점이며, 영어가 사실상 세계 공용어의 역할을 하고 있기에 영어로 서비스만 운영하면 전세계 사람을 소비자로 맞이할 수 있는 것도 장점임


그러나 이런 장점들은 GDPR의 발효에 따라 글로벌 비즈니스를 전개하는 국내 기업들에게 동시에 위협 요인으로 전환될 가능성이 생겼는데, 직접 유럽을 대상으로 서비스를 운영하지 않더라도 GDPR을 위반할 수 있기 때문


K-팝을 위시해 최근 유럽 내에서 K-콘텐츠에 대한 관심이 커지며, 유럽의 이용자들 중에는 미국의 서버에 접속하거나 심지어 한글을 배워 한국 서비스에 직접 접속하는 경우도 생겨나고 있음


따라서 유럽을 직접 겨냥한 서비스를 운영하지 않는 곳이라도, 현재 GDPR 규정 준수 태세를 갖추고 있는지 점검할 필요가 있는 것임


아울러 GDPR을 과도한 규제정책으로만 치부하고 외면할 것이 아니라, 개인의 정보권 보호라는 측면에서 국내의 개인정보 취급 관행에 대해서도 성찰하는 계기로 삼는 노력도 필요할 것임


인터넷으로 인해 사람들이 얻고 있는 혜택은 가늠할 수 없을 만큼 크지만, 그 과정에서 벌어진 부작용과 폐해를 바로 잡고자 하는 노력들도 한편에서 시작되고 있으며, 그 중 GDPR은 개인의 정보권을 보호하기 위한 강경한 흐름을 대변하고 있음


특히 GAFA(구글, 애플, 페이스북, 아마존닷컴)로 대표되는 미국 기업들에 의한 개인정보 집중화의 폐해를 막기 위한 유럽의 대응이라는 측면에서, GDPR의 기조가 변할 가능성은 별로 높지 않으며 오히려 강화될 가능성도 있음


보기에 따라 GDPR의 규제 내용이나 제재 수준이 과하다고 느낄 수도 있지만, GDPR이 요구하는 것은 데이터를 다루는 행정적인 절차가 아니라 개인정보 데이터를 대하는 기본 입장과 철학에 관련된 이슈임을 인식할 필요가 있음


GDPR이 요구하는 개인의 정보권리 강화는 사실 당연한 것인데, 이것이 과도하게 느껴진다는 것은 반대로 생각하면 그 동안 개인의 정보권 보호보다 기업의 이익을 앞세운 행위들이 당연한 듯이 행해져왔음을 방증하는 것임


이는 비단 GAFA 같은 글로벌 거대기업에만 해당하는 것은 아니며, 크던 작던 규모에 상관없이 국내용 서비스를 운영하는 업체들 모두가 짚어 보아야 할 지점임


향후 서비스 모델 경쟁의 한 축은 개인의 정보권 강화 흐름을 수용하면서 동시에 고객 가치와 편의성을 어떻게 제공할 것인지가 될 것이며, 이 난제를 영리하게 해결하는 기업들만이 성장을 지속할 수 있을 것으로 보임