2017.07.04

GDPR에 대해 알아야 할 것들 : GDPR 요건과 기한, 그리고 관련 사실들

Michael Nadeau | CSO
유럽연합(EU)에서 영업하는 기업들은 내년 중으로 고객 정보 보호와 관련된 엄격한 신규 규정을 준수해야 한다. 유럽 개인정보보호규정(GDPR)이 도입됨에 따라 소비자가 자신의 정보에 갖는 권리에 대한 새로운 기준이 제시될 것으로 예상되는 가운데, 기업들은 이를 준수하기 위한 시스템 및 절차를 준비하는 과정에서 어려움을 겪을 것으로 보인다.

기업 내 보안팀들은 규정 준수를 위해 걱정해야 할 부분과 새로운 역할을 수행해야 할 부분이 생긴다. 예를 들면 GDPR은 기업이 다루는 개인 식별 정보의 범위를 이름이나 주소, 주민등록번호뿐만 아니라 개인의 IP 주소나 쿠키 데이터 같은 것에까지 확장해 이를 동일한 수준으로 보호할 것을 의무화하고 있다.

GDPR은 해석의 여지가 많다. 일례로, 기업은 개인 정보를 "합리적인" 수준으로 보호해야 한다고 규정하고 있으나, "합리적인" 것에 대한 정의는 내리지 않고 있다. 따라서 GDPR 규율 단체는 정보 침해와 규정 불이행에 대한 벌금 산정에 많은 재량권을 갖게 된다.

본지에서는 GDPR에 대해 모든 기업이 알아야 할 점과 함께 GDPR 요건 충족을 위한 조언을 정리했다. 요건 가운데에는 정보보안과 직접적인 관련이 없는 것도 많지만, 규정 준수에 필요한 절차와 시스템 변경 사항은 기존 보안 시스템과 프로토콜에 영향을 미칠 가능성이 있다.

GDPR이란 무엇인가
유럽의회는 2016년 4월 GDPR를 채택함으로써 1995년에 발효된 구시대의 정보보호명령을 대체했다. GDRP 조항에 따라 회사들은 EU 회원국 내 발생하는 거래에 대해 EU 시민의 개인/사생활 정보를 보호하는 것이 의무화된다. EU 외부로의 개인정보 유출도 규제된다.

GDPR 조항은 EU 전체 회원국 28개국에 동일하게 적용된다. 기업들은 EU 내에서 한 개의 기준만 충족하면 된다는 의미다. 단, 그 기준은 상당히 까다롭기 때문에 이를 충족하고 관리하려면 대부분의 기업에서 대규모의 투자가 필요할 것으로 예상된다.

컨설팅 업체 오범(Ovum) 보고서에 따르면, 미국 기업 가운데 2/3는 GDPR로 인해 유럽 내 전략을 재고해야 한다고 생각하고 있으며 그 가운데 85%는 GDPR로 인해 유럽 업체와 경쟁에서 불리해질 것이라고 보고 있다.

어떤 기업이 GDPR의 영향을 받는가
EU 국가 내에서 EU 시민에 관한 개인 정보를 저장하거나 처리하는 기업이라면 모두 GDPR 준수 의무화 대상이다. 구체적인 조건은 다음과 같다.

- EU 국가에 사업장을 보유한 경우
- EU에 사업장은 없으나 유럽 거주자의 개인 정보를 처리하는 경우
- 직원 수가 250명 이상인 경우
- 직원 수는 250명 미만이지만 정보 처리를 통해 정보 주체의 권리와 자유에 영향을 미치고, 정보 처리가 드물지 않게 일어나거나 특정 종류의 민감한 개인 정보를 처리하는 경우


결국 거의 모든 기업이 해당된다. PwC 설문조사에 따르면 미국 기업 가운데 92%가 GDPR을 정보 보호 최우선 순위로 여기는 것으로 나타났다.

규정 준수 이행 기한은 언제인가
2018년 5월 25일까지 규정 준수 이행 준비를 마쳐야 한다.

회사 내 규정 준수 담당자는 누구인가
GDPR에 규정된 규정 준수 담당자는 정보 통제자, 정보 처리자, 정보 보호 책임자(DPO) 등이다. 정보 통제자는 개인 정보 처리 방식과 목적을 정하고 외부 계약 업체의 규정 준수도 책임진다.

정보 처리자는 개인 정보 기록 유지 관리와 처리를 담당하는 내부 그룹일 수도 있고 이런 활동을 전부 또는 일부 수행하는 외주 업체가 될 수도 있다. GDPR은 규정 위반이나 불이행의 책임을 정보 처리자에게 묻는다. 그렇다면, 해당 기업은 물론 클라우드 제공업체와 같은 정보 처리 협력업체 역시 불이익에 대한 책임을 져야 할 가능성이 있다.

GDPR은 정보 보안 전략과 GDPR 준수를 감독할 DPO를 정보 통제자와 정보 처리자가 지명할 것을 의무화하고 있다. DPO 의무화 대상은 많은 양의 EU 시민 정보를 처리하거나 저장하는 기업, 특수 개인정보를 처리하거나 저장하는 기업, 정보 주체를 주기적으로 감시하는 기업이며 공공 기관도 의무화 대상이다.

GDPR 준비 비용은 얼마가 소요되는가
PwC 설문조사에 따르면, 미국 기업 가운데 68%가 GDPR 요건 충족에 소요될 비용을 100만 달러 내지 1,000만 달러로 예상하고 있다. 1,000만 달러 이상을 예상하는 기업은 9%이다.

GDPR를 준수하지 못하면 어떻게 되는가
GDPR은 불이행 시 엄청난 벌금을 물도록 규정하고 있다. 2,000만 유로를 내거나 전세계 연 매출액의 4%에 해당하는 금액이 더 높다면 그 금액을 내야 한다. 오범 보고서에 따르면, 전체 기업 가운데 52%가 규정 불이행으로 인한 벌금을 물게 될 것으로 예상하고 있다.
경영 컨설팅 업체 올리버 와이먼(Oliver Wyman)은 GDPR 시행 첫 해에 EU에서 거둬 들일 수 있는 벌금이 무려 60억 달러에 달할 것으로 예측하고 있다.

GDPR 하에서 보호되는 개인 정보는 무엇인가
- 이름, 주소, ID 명 등 기본 신상 정보
- 위치, IP 주소, 쿠키 데이터, RFID 태그 등 웹 정보
- 건강, 유전 정보
- 생체 정보
- 인종 또는 민족 정보
- 정치적 의견
- 성적 취향


어떤 GDPR 요건이 기업에 영향을 주는가
GDPR 요건으로 인해 기업들은 고객 개인정보의 처리, 보관, 보호 방식을 바꿀 수밖에 없다. 예를 들면, 개인의 동의가 있어야만 개인 정보의 보관, 처리가 가능하며 그 기간은 "개인 정보 처리 목적에 필요한 기간을 넘을 수 없다." 개인 정보는 한 기업에서 다른 기업으로 가능해야 하며, 요청 시에는 삭제해야 한다.

보안팀에 직접적인 영향을 미칠 요건은 여러 가지가 있다. 그 가운데 하나는 EU 시민의 개인/사생활 정보를 "합리적"인 수준으로 보호할 수 있어야 한다는 것이다. GDPR에서 말하는 "합리적"이 무슨 의미인지는 정확히 규정되어 있지 않다.

또한 정보 침해를 감지한 지 72시간 이내에 침해에 영향을 받는 개인과 감독 당국에게 이를 신고해야 하는 요건은 이행하기 어려울 수 있다. 영향 평가 수행 요건도 있는데 취약점과 그 해결 방법을 파악함으로써 정보 피해 위험을 경감시키는 것이 목적이다.

GDPR 준비를 위해 해야 할 일은 무엇인가
- 최고 경영진의 긴급성 강조 : 위험 관리 업체 마쉬(Marsh)는 사이버 준비성을 우선 순위로 삼으려면 임원진의 리더십이 중요하다는 것을 강조한다. 사이버 준비성의 일환으로 글로벌 정보 위생 기준을 준수해야 한다.

- DPO 고용 또는 임명 : GDPR에는 DPO가 별개의 직책일 필요가 있는지 규정되어 있지 않다. 따라서 이미 유사한 역할을 하고 있는 사람을 지명해도 무방한 것으로 보인다. 그렇지 않다면 담당자를 채용해야 한다.

- 정보 보호 계획 수립 : 대부분의 기업에는 이미 계획이 수립되어 있지만 재검토해서 GDPR 요건과 일치하도록 업데이트해야 한다.

- 위험 평가 실시 : EU 시민에 대한 어떤 정보를 보관, 처리하는지 인지하고 그와 관련된 위험을 이해할 필요가 있다. 위험 평가 시에는 해당 위험 경감을 위해 취한 조치도 간략히 서술해야 한다.

- 위험 경감 조치 이행 : 위험과 그 경감 방법을 파악하고 나면 위험 경감 조치를 시행해야 한다. 대부분의 회사에서 이는 기존 위험 경감 조치를 수정하는 것을 의미한다.

- 사고 대응 계획 테스트 : GDPR은 정보 침해 시 기업들이 72시간 이내에 신고할 것을 의무화하고 있다. 기업이 규정 위반으로 벌금을 물 것이냐는 대응팀이 얼마나 효과적으로 피해를 최소화 하느냐에 직접적으로 좌우된다. 기한 내에 적절한 신고와 대응이 가능하도록 조치해야 한다.

- 지속적 평가를 위한 절차 수립 : 규정은 계속 준수해야 하며 이를 위해서는 감시와 지속적인 개선이 필요하다. editor@itworld.co.kr  

2017.07.04

GDPR에 대해 알아야 할 것들 : GDPR 요건과 기한, 그리고 관련 사실들

Michael Nadeau | CSO
유럽연합(EU)에서 영업하는 기업들은 내년 중으로 고객 정보 보호와 관련된 엄격한 신규 규정을 준수해야 한다. 유럽 개인정보보호규정(GDPR)이 도입됨에 따라 소비자가 자신의 정보에 갖는 권리에 대한 새로운 기준이 제시될 것으로 예상되는 가운데, 기업들은 이를 준수하기 위한 시스템 및 절차를 준비하는 과정에서 어려움을 겪을 것으로 보인다.

기업 내 보안팀들은 규정 준수를 위해 걱정해야 할 부분과 새로운 역할을 수행해야 할 부분이 생긴다. 예를 들면 GDPR은 기업이 다루는 개인 식별 정보의 범위를 이름이나 주소, 주민등록번호뿐만 아니라 개인의 IP 주소나 쿠키 데이터 같은 것에까지 확장해 이를 동일한 수준으로 보호할 것을 의무화하고 있다.

GDPR은 해석의 여지가 많다. 일례로, 기업은 개인 정보를 "합리적인" 수준으로 보호해야 한다고 규정하고 있으나, "합리적인" 것에 대한 정의는 내리지 않고 있다. 따라서 GDPR 규율 단체는 정보 침해와 규정 불이행에 대한 벌금 산정에 많은 재량권을 갖게 된다.

본지에서는 GDPR에 대해 모든 기업이 알아야 할 점과 함께 GDPR 요건 충족을 위한 조언을 정리했다. 요건 가운데에는 정보보안과 직접적인 관련이 없는 것도 많지만, 규정 준수에 필요한 절차와 시스템 변경 사항은 기존 보안 시스템과 프로토콜에 영향을 미칠 가능성이 있다.

GDPR이란 무엇인가
유럽의회는 2016년 4월 GDPR를 채택함으로써 1995년에 발효된 구시대의 정보보호명령을 대체했다. GDRP 조항에 따라 회사들은 EU 회원국 내 발생하는 거래에 대해 EU 시민의 개인/사생활 정보를 보호하는 것이 의무화된다. EU 외부로의 개인정보 유출도 규제된다.

GDPR 조항은 EU 전체 회원국 28개국에 동일하게 적용된다. 기업들은 EU 내에서 한 개의 기준만 충족하면 된다는 의미다. 단, 그 기준은 상당히 까다롭기 때문에 이를 충족하고 관리하려면 대부분의 기업에서 대규모의 투자가 필요할 것으로 예상된다.

컨설팅 업체 오범(Ovum) 보고서에 따르면, 미국 기업 가운데 2/3는 GDPR로 인해 유럽 내 전략을 재고해야 한다고 생각하고 있으며 그 가운데 85%는 GDPR로 인해 유럽 업체와 경쟁에서 불리해질 것이라고 보고 있다.

어떤 기업이 GDPR의 영향을 받는가
EU 국가 내에서 EU 시민에 관한 개인 정보를 저장하거나 처리하는 기업이라면 모두 GDPR 준수 의무화 대상이다. 구체적인 조건은 다음과 같다.

- EU 국가에 사업장을 보유한 경우
- EU에 사업장은 없으나 유럽 거주자의 개인 정보를 처리하는 경우
- 직원 수가 250명 이상인 경우
- 직원 수는 250명 미만이지만 정보 처리를 통해 정보 주체의 권리와 자유에 영향을 미치고, 정보 처리가 드물지 않게 일어나거나 특정 종류의 민감한 개인 정보를 처리하는 경우


결국 거의 모든 기업이 해당된다. PwC 설문조사에 따르면 미국 기업 가운데 92%가 GDPR을 정보 보호 최우선 순위로 여기는 것으로 나타났다.

규정 준수 이행 기한은 언제인가
2018년 5월 25일까지 규정 준수 이행 준비를 마쳐야 한다.

회사 내 규정 준수 담당자는 누구인가
GDPR에 규정된 규정 준수 담당자는 정보 통제자, 정보 처리자, 정보 보호 책임자(DPO) 등이다. 정보 통제자는 개인 정보 처리 방식과 목적을 정하고 외부 계약 업체의 규정 준수도 책임진다.

정보 처리자는 개인 정보 기록 유지 관리와 처리를 담당하는 내부 그룹일 수도 있고 이런 활동을 전부 또는 일부 수행하는 외주 업체가 될 수도 있다. GDPR은 규정 위반이나 불이행의 책임을 정보 처리자에게 묻는다. 그렇다면, 해당 기업은 물론 클라우드 제공업체와 같은 정보 처리 협력업체 역시 불이익에 대한 책임을 져야 할 가능성이 있다.

GDPR은 정보 보안 전략과 GDPR 준수를 감독할 DPO를 정보 통제자와 정보 처리자가 지명할 것을 의무화하고 있다. DPO 의무화 대상은 많은 양의 EU 시민 정보를 처리하거나 저장하는 기업, 특수 개인정보를 처리하거나 저장하는 기업, 정보 주체를 주기적으로 감시하는 기업이며 공공 기관도 의무화 대상이다.

GDPR 준비 비용은 얼마가 소요되는가
PwC 설문조사에 따르면, 미국 기업 가운데 68%가 GDPR 요건 충족에 소요될 비용을 100만 달러 내지 1,000만 달러로 예상하고 있다. 1,000만 달러 이상을 예상하는 기업은 9%이다.

GDPR를 준수하지 못하면 어떻게 되는가
GDPR은 불이행 시 엄청난 벌금을 물도록 규정하고 있다. 2,000만 유로를 내거나 전세계 연 매출액의 4%에 해당하는 금액이 더 높다면 그 금액을 내야 한다. 오범 보고서에 따르면, 전체 기업 가운데 52%가 규정 불이행으로 인한 벌금을 물게 될 것으로 예상하고 있다.
경영 컨설팅 업체 올리버 와이먼(Oliver Wyman)은 GDPR 시행 첫 해에 EU에서 거둬 들일 수 있는 벌금이 무려 60억 달러에 달할 것으로 예측하고 있다.

GDPR 하에서 보호되는 개인 정보는 무엇인가
- 이름, 주소, ID 명 등 기본 신상 정보
- 위치, IP 주소, 쿠키 데이터, RFID 태그 등 웹 정보
- 건강, 유전 정보
- 생체 정보
- 인종 또는 민족 정보
- 정치적 의견
- 성적 취향


어떤 GDPR 요건이 기업에 영향을 주는가
GDPR 요건으로 인해 기업들은 고객 개인정보의 처리, 보관, 보호 방식을 바꿀 수밖에 없다. 예를 들면, 개인의 동의가 있어야만 개인 정보의 보관, 처리가 가능하며 그 기간은 "개인 정보 처리 목적에 필요한 기간을 넘을 수 없다." 개인 정보는 한 기업에서 다른 기업으로 가능해야 하며, 요청 시에는 삭제해야 한다.

보안팀에 직접적인 영향을 미칠 요건은 여러 가지가 있다. 그 가운데 하나는 EU 시민의 개인/사생활 정보를 "합리적"인 수준으로 보호할 수 있어야 한다는 것이다. GDPR에서 말하는 "합리적"이 무슨 의미인지는 정확히 규정되어 있지 않다.

또한 정보 침해를 감지한 지 72시간 이내에 침해에 영향을 받는 개인과 감독 당국에게 이를 신고해야 하는 요건은 이행하기 어려울 수 있다. 영향 평가 수행 요건도 있는데 취약점과 그 해결 방법을 파악함으로써 정보 피해 위험을 경감시키는 것이 목적이다.

GDPR 준비를 위해 해야 할 일은 무엇인가
- 최고 경영진의 긴급성 강조 : 위험 관리 업체 마쉬(Marsh)는 사이버 준비성을 우선 순위로 삼으려면 임원진의 리더십이 중요하다는 것을 강조한다. 사이버 준비성의 일환으로 글로벌 정보 위생 기준을 준수해야 한다.

- DPO 고용 또는 임명 : GDPR에는 DPO가 별개의 직책일 필요가 있는지 규정되어 있지 않다. 따라서 이미 유사한 역할을 하고 있는 사람을 지명해도 무방한 것으로 보인다. 그렇지 않다면 담당자를 채용해야 한다.

- 정보 보호 계획 수립 : 대부분의 기업에는 이미 계획이 수립되어 있지만 재검토해서 GDPR 요건과 일치하도록 업데이트해야 한다.

- 위험 평가 실시 : EU 시민에 대한 어떤 정보를 보관, 처리하는지 인지하고 그와 관련된 위험을 이해할 필요가 있다. 위험 평가 시에는 해당 위험 경감을 위해 취한 조치도 간략히 서술해야 한다.

- 위험 경감 조치 이행 : 위험과 그 경감 방법을 파악하고 나면 위험 경감 조치를 시행해야 한다. 대부분의 회사에서 이는 기존 위험 경감 조치를 수정하는 것을 의미한다.

- 사고 대응 계획 테스트 : GDPR은 정보 침해 시 기업들이 72시간 이내에 신고할 것을 의무화하고 있다. 기업이 규정 위반으로 벌금을 물 것이냐는 대응팀이 얼마나 효과적으로 피해를 최소화 하느냐에 직접적으로 좌우된다. 기한 내에 적절한 신고와 대응이 가능하도록 조치해야 한다.

- 지속적 평가를 위한 절차 수립 : 규정은 계속 준수해야 하며 이를 위해서는 감시와 지속적인 개선이 필요하다. editor@itworld.co.kr  

X