법제도/정책

GDPR 위반 때 과징금 폭탄…국내기업 61% 준비 미흡 “어쩌나”

최민지

[디지털데일리 최민지기자] 유럽연합(EU)을 대상으로 비즈니스를 하는 기업들 발등에 불이 떨어졌다. 국내기업도 예외는 아니다. 유럽 일반 개인정보보호법(GDPR)이 내년 5월 시행되는데, GDPR을 미준수할 경우 기업들은 과징금 폭탄을 맞게 된다. 시행까지 1년이 남았지만, 국내기업 61%는 기한 내 대비할 수 있을지 우려하는 상황이다.

16일 베리타스테크놀로지스(www.veritas.com/kr, 대표 조원영)는 코엑스 그랜드 인터콘티넨탈 호텔에서 기자간담회를 열고 ‘2017 GDPR 보고서’를 발표하고 글로벌 및 국내 기업들의 준비 현황에 대해 발표했다.

EU는 개인정보보호 권리를 강화하고 기존의 개인정보보호법을 재정비하기 위해 GDPR을 마련, 내년 5월25일부터 시행된다. 새롭게 제정된 GDPR은 개인정보 관리에 대해 강도 높은 규제 수준을 포함하고 있다.

GDPR은 EU 회원국의 데이터 보안을 위한 법적 규정으로 개인정보, 신용카드, 금융 및 의료 정보 등의 데이터가 저장되거나 전송되는 위치·방법, 정보에 접근할 때 적용되는 정책에 관한 관리·감독을 요구한다.

특히, 심각한 위반이라 판단될 경우 전세계 연간 매출액의 4% 또는 2000만유로(한화 약 250억원) 중 더 높은 금액을 과징금으로 부과한다. 이는 가장 강력한 과징금 수준이 될 것으로 예상된다.

한국에서도 상당수의 기업들이 GDPR을 준수해야 할 것으로 전망된다. EU 거주자를 대상으로 상품이나 서비스를 제공하는 것뿐 아니라 모니터링, 웹사이트 쿠리 수집 등 관련 사업체에 모두 적용되기 때문이다.

베리타스 2017 GDPR 보고서에 따르면 국내 응답자의 61%가 GDPR 시행 기한을 지키지 못할 것이라고 답했다. 글로벌 평균은 47%다. GDPR 시행까지 1년이 남았지만, 임박한 규제 적용 기한을 준수할 수 있을지에 대한 우려가 높다.

박철한 베리타스 글로벌 정보 거버넌스 프랙티스 리드 겸 아시아 자문 컨설팅팀 총괄은 “실제로 유럽 내 고객사 중 한 곳에서는 GDPR 시행 전까지 컴플라이언스를 모두 준수하는 것을 최우선순위로 삼았다”며 “GDPR 준수를 위해 더 많은 노력과 투자가 필요하며, 한국도 빨리 준비해야 한다”고 말했다.

GDPR 미준수에 따른 과징금 폭탄은 기업들 입장에서 가장 큰 우려사항으로 꼽힌다. 조사 결과 국내기업 93%는 GDPR을 준수하지 않을 때 사업에 심각한 악영향을 미칠 수 있다고 응답했다.

23% 응답자는 과징금 부과로 인한 인원 감축과 잠재적 정리해고를 가장 걱정했다. 미디어 및 소셜네트워크상 부정적 노출로 인한 고객감소와 브랜드가치 하락도 각각 21%, 18% 비율로 우려사항으로 꼽혔다. 글로벌의 경우, 응답자 19%는 과다한 과징금에 따른 비즈니스 파산을 GDPR 미준수로 발생 가능한 부정적 영향으로 선택했다.

아울러, 국내 응답자들은 GDPR 대비를 위해 평균 약 112만달러(한화 약 13억원) 이상 투자가 필요할 것으로 예측했다. 글로벌 평균으로는 약 140만달러(한화 약 15억원)로 나타났다.

이와 함께 많은 기업들이 GDPR 준수의 중요한 첫 단계인 어떤 데이터를 보유하고 있는지, 해당 데이터가 어디에 있는지, 비즈니스와 어떤 관련이 있는지 파악하는데 심각한 어려움을 겪고 있는 것으로 조사됐다. GDPR 준수를 위한 적절한 기술을 갖추지 못하고 있기 때문이다.

국내 응답자의 40%는 실시간으로 데이터를 모니터링할 수 있는 툴을 갖추고 있지 않아 효율적인 데이터 관리가 불가능하다고 응답했는데, 글로벌 평균 32%보다 높은 수치다. 이는 곧 GDPR 준수의 핵심 요건인 데이터 검색과 발견과 검토를 어렵게 할 수 있다.

응답자 29%는 소속 기업이 관련 데이터를 정확하게 식별하거나 위치를 파악하지 못한다고 했다. GDPR에 따르면 요구가 있을 경우 기업은 30일 이내에 정보주체에게 개인정보의 사본을 제공하거나 해당 데이터를 삭제할 수 있어야 한다. 이에 데이터의 정확한 식별과 위치 파악 역량을 갖추는 것이 중요하다.

응답자 45%는 가치에 따라 어떤 데이터를 저장하거나 삭제해야 하는지 결정할 수 있는 메카니즘이 없다고 답했다. 기업은 개인정보 데이터를 수집할 때 정보주체에게 고지된 목적으로 사용하는 경우 데이터를 보유할 수 있지만, 해당 목적으로 더 이상 필요하지 않은 경우에는 삭제해야 한다.

박 총괄은 “GDPR 시행이 1년여밖에 남지 않았지만 전세계적으로 시급함을 간과하는 기업들이 있다”며 “기업들은 컨설팅을 통해 GDPR 준수를 위한 준비상태를 점검하고 전략을 수립해야 하며, 지금 대비하지 않으면 브랜드 평판 및 비즈니스 생존이 위태로울 수 있다”고 강조했다.

한편, 베리타스는 시장조사 전문기관 밴슨 본을 통해 지난 2월부터 3월까지 한국의 100명을 포함해 미국, 영국, 프랑스, 독일, 호주, 싱가포르, 일본의 비즈니스 의사결정자 900명을 대상으로 조사를 진행했다. 응답자는 직원수 1000명 이상, EU 내에서 비즈니스를 하고 EU 거주자에 대한 개인식별정보를 보유한 기업의 직원으로 구성했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널