홈페이지PDF파일지난호보기

기업윤리
브리프스

2018년
08월호


윤리연구소 - 인사이트+

GDPR, 일반정보보호 규정(General Data Protection Regulation)

페이스북의 개인정보 유출 사건은 주목할 만한 이슈였다. 내로라하는 글로벌 IT 기업의 안일한 보안의식도 실망스러웠지만 유출된 개인정보를 사들인 곳이 당시 미국 대선 후보였던 도널드 트럼프 선거캠프였다는 것은 충격이었다. 불법 개인정보가 보이스피싱, 스미싱* 등의 금전 탈취를 넘어 개인의 정치 성향을 분석하기 위한 용도로 쓰였기 때문이다.

오늘날의 SNS는 개인의 취향, 가치관, 소비 패턴, 사소한 일상까지도 전부 보여주고 있다. 소수의 지인들과 계정 주인만 보기위해 업로드한 비공개 데이터도 엄청나다. 바야흐로 디지털 개인정보가 곧 개인의 삶의 궤적이 되기 시작한 것이다. 정치권에서도 인터넷 여론을 모니터링 하는 오늘날, 디지털 개인정보는 더 이상 금융재산에 접근하기 위한 인증수단을 넘어 개인의 사생활 자체가 되었다. 유출됐을 경우 한 사람의 삶을 파탄 낼 수도 있는 폭탄이 된 셈이다. 정보보안 인프라의 취약점을 발견하고 반드시 개선해야 하는 이유다.


◎ GDPR, 고객의 사생활 보호

개인정보 유출 사건 소송은 기업에 유리한 판례가 대부분이다. 문제를 일으킨 기업들은 사과와 함께 피해 보상을 약속했지만 그간 국내 소송에서의 최대 보상액은 개인당 10만 원에 불과했다. 그나마 소송에 참여하지 않은 피해자들은 보상조차 받지 못했다.

외국의 상황도 크게 다르지 않다. 미국 유통기업 타깃의 경우 2014년 해킹으로 1억 건이 넘는 개인정보가 유출됐다. 타깃 측은 피해 고객들에게 ‘신용 확인 절차를 무상으로 지원했고 유출된 카드를 교체해주는 서비스를 제공했다’며 앞으로 정보가 남용될 소지를 논하는 것은 ‘사실상의 피해 여부’에 해당되지 않는다고 주장했다. 2006년 판결난 민간 데이터 기업 액시엄의 16억 건 고객 정보 유출 사건 역시 ‘사실상의 피해 여부’ 검열을 통과하지 못했다. 고객들은 사회보장번호, 전화번호 등의 개인정보가 유출돼 스팸메일과 스팸전화에 시달렸지만 주 연방법원은 이를 피해라고 보기 어렵고 명의 도용의 가능성 역시 피해라고 규정지을 수 없다고 판결한 것이다.

보다 실효성 있는 정보보호를 위해 유럽이 도입한 제도가 바로 GDPR(General Data Protection Regulation, 일반정보보호 규정)이다. 올해 5월 25일부터 발효된 GDPR은 유럽연합의 개인정보보호법이다. 기업이 고객의 정보를 사용하려면 동의를 얻어야 하고 권리를 침해한 경우 72시간 내에 감독기관에 알려야 한다. 이를 위반한 기업은 글로벌 매출액의 4% 또는 2,000만 유로(약 260억 원) 중 높은 금액을 벌금으로 내야 한다. EU회원국은 물론 EU에 법인이나 지점이 있는 외국기업, 유럽 시민에게 서비스 및 제품을 공급하는 외국 기업에도 적용된다.

GDPR은 정보 주체의 개인정보 자기결정권을 보장하기 위한 ‘개인정보 제공 사전 동의 규정’이 보강됐다. 프로파일링*에 의한 의사결정 거부권, 잊힐 권리, 자기정보 이전권 등이 그것이다. GDPR은 개인정보보호 외에 EU기업의 경쟁력 강화까지 목표로 하고 있다. 개인정보를 위탁 받아 서비스를 제공하는 업체를 선택할 수 있는 자기정보 이전권은 스타트업과 중소기업의 빅데이터 역량 고취에 큰 도움이 될 것으로 예상되기 때문이다. 즉 GDPR은 미래 사회 핵심자산인 데이터 선점 싸움에서 미국에 주도권을 뺏기지 않으려는 EU의 노력 중 하나이기도 한 것이다.

◎ 아이캔-에팍재판, 필요한 정보만 최소한 수집

GDPR이 발효된 지 4일 후인 5월 29일, 독일 본(Bonn)에서는 GDPR 적용 여부를 둘러싼 첫 재판이 열렸다. 원고는 세계 각국을 대상으로 IP주소 배급을 관장하는 비영리기구 아이캔(ICANN), 피고는 도메인*등록 대행업체이면서 아이캔의 서비스 사용자이기도 한 에팍(EPAG)이었다. 아이캔의 다양한 서비스 중 하나인 후이즈(WHOIS)는 인터넷 IP 보유자의 기본정보가 담긴 데이터베이스를 기반으로 서비스 이용자가 특정 IP주소 보유자의 정보에 대해 질문하면 답해주는 프로토콜이다. 이를 위해 후이즈는 IP주소를 등록하려는 사용자에게 이름, 주소, 전화번호, 이메일 등을 요구한다. 이때 IP 등록업체 대표뿐 아니라 관리자, 기술 책임자, 연락처까지 제공해야 한다. 도메인을 받기 위해 이런 정보까지 다 제공해야 하나 싶은 사용자들이 분명히 있을 테지만 지금까지 별다른 이의를 제기하지 못하고 넘어갔던 것이다. 에팍은 후이즈 시스템을 사용해온 고객으로 EU국가 중 GDPR을 앞장서서 실천하고 있는 독일이 주된 시장이다. 따라서 에팍은 GDPR을 위반하면 엄청난 벌금을 물게 되는 만큼 관리·기술 책임자의 정보 수집을 못하겠다고 선언했고, 아이캔은 ‘에팍의 행동은 명백한 계약 위반’이라며 에팍을 독일 본의 지방법원에 고소하게 된다.

독일 법원은 이튿날인 30일에 판결을 내렸다. ‘GDPR이 발효된 이상 향후 고객 정보는 꼭 필요한 것만 최소한으로 수집하겠다’는 에팍의 입장이 계약 위반이 아니라는 것이었다. GDPR이 과연 얼마나 실효성을 가질까 하며 재판을 예의 주시하던 IT 서비스 업체들에게 보내는 경고 메시지였다.

◎ 국내 개인정보보호 강화

GDPR은 1995년부터 시행된 EU의 개인정보보호지침을 수정, 보완한 후 법령화한 것이다. 우리의 개인정보보호법은 EU의 개인정보보호 지침사항을 참조해 제정한 것이라 GDPR과 거의 비슷한 골격을 가지고 있다. 국내 개인정보보호법처럼 GDPR도 개인정보의 정의와 범위를 폭넓게 규정하고 있다. 다만 GDPR은 개인정보 처리의 동의를 필요할 때만 받게 돼 있고 개인정보 주체는 그 동의를 언제든 철회할 수 있다. 그래서 EU에서는 동의 여부에 근거한 개인정보 활용 빈도가 낮다. 동의를 개인정보 처리 원칙처럼 다루는 한국과는 상반된다.

개인정보 처리의 주체가 정보를 제공하는 사용자인 만큼 GDPR은 기업을 개인정보의 수탁자 개념으로 보고 있다. 기업이 위탁자의 업무와 책임을 상당 부분 대신하도록 규정하고 있는 우리 법하고는 다른 지점이다. 즉 GDPR은 개인정보에 대한 법적인 모든 책임이 행위의 주체에 있다고 보는 것이다.

우리 정부와 유관기관들은 지난 2년 동안 GDPR 발효에 철저히 대비해 왔다. 행정안전부는 한국의 개인정보보호법이 유럽의 것을 참고해서 만들어진 만큼 국내 법률을 성실히 준수해 온 기업이라면 EU의 개인정보보호 방침에서 바뀐 규정을 중심으로 대응하고, 현재 EU 집행부의 세부 가이드라인 수립이 늦어지고 있는 만큼 EU 집행부의 움직임을 지켜봐야 할 필요가 있다고 했다. 또한 정부는 관련 부처를 중심으로 GDPR 대응을 위해 기업 인식 제고, 교육 상담 등 다방면의 지원책을 내놓고 있다.

고객은 사생활을 보호 받을 권리가 있다. 고객의 사생활 보호를 위해 명쾌한 법적 기준을 제시하고 있는 GDPR은 보안 윤리의식이 낮은 우리 기업들이 글로벌 시장에서 성공적인 비즈니스 활동을 위한 주요한 지침이 될 것이다.

GDPR 관련 문의사항은 무역협회, KOTRA, 중소기업수출지원센터, 중소기업중앙회 등에서 운영하는 애로사항 접수창구를 이용할 수 있고 전문적인 상담은 한국인터넷진흥원에서 제공하는 상담 서비스를 활용하면 된다.

*스미싱(smishing) : SMS와 phishing(민감정보 수집을 위한 사기수법)의 합성어로, 인터넷주소를 클릭하면 악성코드가 설치되는 휴대폰 해킹 기법
*프로파일링(profiling) : 자료수집을 뜻하는 말
*도메인(domain) : 숫자로 이루어진 인터넷주소를 알기 쉬운 영문으로 표현한 것



참고



한국 개인정보 유출의 흑역사
우리나라는 세계에서도 손꼽히는 IT강국이다. 금융부터 외식까지 대부분의 산업이 온라인 서비스를 제공하고 있다. 기업들은 원활한 고객관리를 위해 회원가입을 유도하고 동시에 개인정보를 요구한다. 소비자들은 별 수 없이 주민등록번호, 핸드폰 번호 등 예민한 개인정보를 기업에 넘긴다. 문제는 이렇게 고객들의 개인정보를 취합한 기업들의 보안 시스템이 허술하다는 데 있다.
◎ 업종을 가리지 않고 발생하는 유출 사고

거래 사이트의 개인정보 유출사건, 금융사 전산망 마비사건, 선거 관리 위원회 시스템 디도스 사건 등을 봐 도정보보호실패사례는산업과업 종을 가리지 않고 발생했다. 2005년 부터 2018년까지 발생한 주요 보안 사고만 추려 봐도 무려 35건에 이른다. 피해 규모는 상상 이상이다. 피해 인원은 2005년을 시작으로 N사 50만 명, A사 1,863만 명, S사 3,500만 명, E사 400만 명, K사 5,300만 명, L사 2,600만 명, N사 2,500만 명에 이른다. 이쯤 되면 국내에는 개인정보 유출 피해를 안 본 사람이 드물 지경이다.

◎ 심각한 2차 피해

유출사고 피해자들은 스팸문자나 광고전화 같은 공해에 시달린다. 청소년들에게도 음란문자가 전송되고 스미싱으로 인한 피해도 빈번하다. 금전 피해도 발생하고 있다. 2011년 SNS 메신저 해킹 사건은 금전 피해로 이어졌다. 메신저를 통해 자주 대화를 나누던 지인이 급한 사정을 호소하며 돈을 요구하자 많은 사람들이 의심 없이 돈을 송금한 것이다.

2008년 이후 유출된 개인정보는 무려 9,800여만 건에 이른다. 피해 규모가 엄청났기에 오히려 개인정보 유출 피해는 일상화된 불편 정도로 여겨지고 있다. 그러나 기술이 발달할수록 정보보호 실패로 인한 피해 규모는 커지게 된다. 생체 정보를 포함한 개인의 모든 정보와 기록이 디지털화되고 있기 때문이다. 4차 산업혁명은 개인의 삶을 온라인 세계로 빠르게 끌어당기고 있다. 보다 정교한 정보보안 시스템과 규정, 개인의 보안의식 고취가 반드시 필요한 이유다.