LG전자에서 나온 주제 발표자가 지난 11일 열린 ‘GDPR 가이드라인 세미나’에서 한 재치있는 표현이다.

최근 종영한 드라마 ‘이번 생은 처음이라’를 인용했다. 좌중은 웃었다. 모든 기업이 느끼고 있는 현상황을 녹인 농담 한 마디에 공감을 표한 것이다.

하도 여기저기에서 GDPR을 얘기하다보니 이제 웬만한 기업들은 GDPR이 뭔지는 다 알고 있다. 또 이를 위반할 경우 전세계 연매출 4% 또는 2000만유로라는 막대한 과징금을 각오해야 한다는 것도 알고 있다.

하지만 기업들이 여전히 GDPR에 대해 모르는 것이 있다. 다름아닌 ‘슬기로운 GDPR 대응법’이다.

어디서부터 어떻게 대응해야 GDPR을 제대로 준수하고 과징금 철퇴를 맡지 않을지 완벽하게 이해하지 못하고 있다. 막연하다는 말이 더 어울리겠다.

당연하다. EU 집행위조차 기업들이 가장 궁금해 하는 국외이전 등과 관련한 세부 가이드라인을 내놓지 않은 상황이니까. 국내만의 문제가 아니다. 유럽과 교역하는 전세계 모든 기업들도 상황은 마찬가지다.

상황이 이러하니, 정부도 가이드라인을 배포하고 EU 집행위와 만나면서 적정성 평가를 추진하는 등 적극적인 행보에 나서고 있다.

하지만 칼자루는 EU에 있다. 국내기업뿐 아니라 EU조차 이번 생에 처음인 GDPR이다. 첫 시행인 만큼 애매모호한 해석이 많고 관련 사례도 쉽게 찾을 수 없다.

이 때문에 이날 설명회는 GDPR 대응을 위한 해답을 얻기를 기대하는 이들로 인산인해를 이뤘다. 400여명이 넘는 관계자들이 설명회를 찾았으며, 호텔에서 가용할 수 있는 모든 의자를 끌어와도 자리를 찾지 못해 서서 듣는 이들도 다수 있었다. 당황한 주최 측이 참석자들에게 양해를 구하는 장면도 여러 번 연출됐다.

이날 LG전자와 네이버가 기업사례를 발표했지만 국내에서 손꼽히는 대기업인 그들조차 GDPR에 대해 답답한 심정부터 드러냈다. LG전자도 GDPR 시행 시작일부터 모든 것이 자리 잡지 않을 것이라며, 제도가 안착되기 까지 몇 년은 걸릴 수 있다고 내다봤다.

네이버도 서비스 제공에 있어 GDPR과 관련해 사업부서의 세부적 질문을 받을 때가 있는데, 현재 단계에서는 ‘무기력’한 것이 사실이라고 표현하기도 했다.

GDPR은 현실로 다가오고 있지만, 기업들이 이에 대응하는 계획을 세우기에는 모든 것이 불확실하다. 이에 이들 기업은 GDPR 시행 전 EU 적정성평가를 조속히 완료하기를 강하게 요청했다.

EU 개인정보보호 적정성 평가는 제3국이 개인정보 보호를 위한 적정한 수준을 갖추고 있는지 심사해 EU 시민의 개인정보를 이전·처리할 수 있도록 허용하는 제도다.

GDPR 규정에 따르면 EU 시민의 개인정보를 한국으로 전송·처리하려면 별도의 국외이전 계약을 체결하고 회원국별 감독기구의 규제 심사를 거쳐야 한다. 하지만 한국이 적정성평가 승인을 받게 되면 추가적 규제 없이 EU에서 자유롭게 영업활동을 할 수 있다.

스마트 기기의 업그레이드는 6개월에서 1년의 기간이 소요되는데 적정성평가 결과에 따라 정보주체에 명백한 동의를 구하는 부분이 달라진다. 5월 이전에 적정성평가를 완료하면, 동의조항에서 국외이전 부분을 제외할 수 있다는 설명이다.

또, 맞춤화서비스에 대해 명시적 동의를 받아야 하는지, EU 회원국별로 다른 아동의 연령을 어떻게 맞춰야 하는지 모호한 부분들도 많다고 기업은 토로했다.

그렇다고 불평만 하고 손 놓고 있을 수는 없다. GDPR은 5개월 앞으로 성큼 다가왔다. 세부 가이드라인과 정부의 최종안을 기다리다 대응 시기를 놓치면, 기업의 교역활동에 차질이 생길 수도 있다. 기업은 정부에서 발표한 1차 가이드라인을 참고하면서 지켜야 할 주요 항목으로 꼽은 부분이라도 먼저 챙기는 노력부터 행해야 한다.

정부 또한 EU 측과 활발한 논의와 협력을 통해 국내 기업의 애로사항을 해결할 수 있도록 선제적 행보에 나서야 한다.

기업들이 GDPR과 같은 생소한 규제대응 이슈로 인해 불안에 떨지 않도록 하는 것, 그것이 국민의 혈세로 운영되는 정부의 역할이다.

<최민지 기자>cmj@ddaily.co.kr