만약, 이 사건이 유럽 일반 개인정보보호법(GDPR) 발효 이후 발생했다면 테스코은행은 2500만파운드 손실뿐 아니라 한화로 2조8000억원이 넘는 19억파운드에 달하는 벌금을 물어야 한다. 피해 고객의 손해배상 청구까지 이어진다면 한 기업을 휘청거리게 할 수 있는 사태로 이어질 수 있다.

25일 매튜 콴 포티넷 아시아태평양지역 솔루션 마케팅 디렉터는 서울 그랜드인터컨티넨탈 호텔에서 열린 기자간담회를 통해 “내년 5월 GDPR 시행을 앞두고 현지시장에 진출했거나 진출을 준비하고 있는 기업들의 긴장감이 고조되고 있다”며 “전세계 많은 기업들이 적절한 대응책을 놓고 고심하고 있다”고 말했다.

기업들이 GDPR 규정을 어길 경우, 천문학적인 과징금을 지불해야 한다. 유럽연합(EU)와 비즈니스하거나 EU 국민의 데이터를 수집·관리하는 모든 기업은 이 규정의 대상이다.

위반정도가 낮을 경우 해당 기업 및 기관의 연관 매출액 2% 또는 1000만유로 중 높은 금액을 내야 한다. 데이터 침해 등 심각한 수준이라면 연간 매출액 4% 또는 2000만유로 중 높은 금액을 부과한다.

매튜 콴 디렉터는 “기업들이 GDPR을 반드시 준수해야 할 정도로 벌금규모가 크며, 위반 때 조직에 악영향을 미칠 수 있을 정도”라며 “피해 주체가 별도로 해당 조직에 금전적 손해배상까지 청구할 수 있는 만큼 규제당국에 유리한 규정”이라고 덧붙였다.

이날 매튜 콴 디렉터는 GDPR 피해 시나리오를 가정하면서 “2018년 8월20일 최초 침해가 이뤄졌다고 보면, 침입발생 후 탐지까지 보통 평균 146일이 소요되는데 2019년 1월13일이 돼야 공격을 알게 된다”며 “탐지 후 3일 내로 통지해야 하는 만큼, 해커는 이 기간 기회를 갖게 되며 중요한 데이터와 정보를 이미 탐지한 이후일 것”이라고 언급했다.

이에 해커의 기회를 좁히기 위해 침입에 대해 빠르게 탐지하는 것이 중요하다고 강조했다. 침해가 이뤄지지 않도록 예방하는 것뿐 아니라 침해사고 후 피해를 최소화하는 방안을 강구해야 한다는 설명이다.

기업들이 보안위협을 보다 효과적으로 관리하고 네트워크 성능을 향상시키기 위해서는 전체 공격 전반에서 인텔리전스를 공유하는 보안 기능을 통해 엔드투엔드(end-to-end) 보안을 구현하고, 모든 보안요소에 대한 가시성을 높여 전체 IT를 조망하는 접근방식을 취해야 한다.

매튜 관 디렉터는 “포티넷 보안 패브릭이 제공하는 엔드투엔드 보안 및 우수한 가시성은 GDPR의 데이터 보안 및 보고 요구사항을 충족시키는데 필수적”이라며 “데이터 유출에 대한 GDPR 요구사항을 충족시키는 것은 어려운 과제가 아니며, 강력한 방어태세를 취한다면 새로운 기회를 창출할 수 있다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr