[ET단상]유럽 개인정보보호규정(GDPR) 준수, 해법은 암호화에 있다

5월 유럽연합(EU) 개인정보 보호 규정(GDPR)이 시행됐다. GDPR는 소비자가 기업의 개인 데이터 수집·처리 행위를 감시하고, 제한·통제할 수 있도록 했다.

규제를 준수하지 않는 기업에는 연매출 4% 또는 2000만유로(약 260억원)에 이르는 벌금을 부과한다. 막대한 벌금 지불 리스크를 감수하지 않으려면 규제 준수는 필수다.

또 개인 데이터 '파괴, 손실, 변경, 무단 공개, 접근' 인지 이후 72시간 이내에 침해 사실을 공시할 의무를 부과했다. 공시 절차 자체에도 막대한 비용이 소모되고, 기업 명성에 심각한 악영향을 미칠 수 있다. 소규모 사업자 경우 데이터 침해 사고로 인해 시장에서 퇴출 당한 전례도 있다.

GDPR는 유럽 거주민의 개인정보를 처리하는 모든 개인과 기업에 적용된다. 지역 규제이지만 세계 기업에 폭넓게 영향을 미치는 글로벌 규제다.

GDPR 규제 영향권 안에 있는 우리 기업도 규제 준수 방안 마련을 위해 동분서주하고 있다. 자금력과 정보력에서 앞서 있는 대기업은 대규모 개인정보보호 전담 인력 체계를 구축하고, 현지 법인에서 적극 대응하고 있다.

반면에 중소기업은 대책 마련에 어려움을 겪거나 아예 방법조차 모르는 경우도 있다. 중소기업이 규제에 효과 높은 대비를 하려면 근본적이면서도 도입 가능한 현실적 GDPR 대응책 마련이 필요하다.

GDPR 대응에 가장 효과 높은 방법은 암호화다. 탈레스가 올해 발표한 '2018 탈레스 데이터 위협 보고서'에 따르면 절반에 가까운 기업 응답자가 각종 데이터 보호 규제에 대한 가장 효과 높은 준수 방법으로 암호화를 꼽았다.

응답자 77%와 75%가 각각 저장 데이터과 이동 데이터 침해 예방 해법으로 암호화를 지목했다.

암호화 장점은 데이터가 유출되더라도 정보를 해독할 수 없기 때문에 남용 가능성이 낮다는 것이다. 이러한 점은 GDPR 세부 조항에서도 명백히 부각된다. GDPR 32조는 모든 기관이 데이터 위협에 대응하도록 개인정보 가명화와 암호화를 실시할 것을 요구하고 있다.

GDPR 34조는 암호화 권한이 부여된 자에 한해서만 데이터를 열람하도록 조직·기술 조치를 취한 기업은 정보 침해 사실 공시 의무가 없음을 명시한다. 유출 피해를 본 개인정보 데이터에 이를 적용한 기업도 마찬가지다.

암호화를 성공적으로 도입할 경우 유출된 데이터를 무효화해 막대한 비용이 드는 유출 공시 프로세스를 피할 수 있다는 의미다. 치명적인 기업 이미지 손상을 예방해 개인정보를 다루는 기업을 보호할 수 있다.

암호화는 개인정보 보호에 대한 사후 대응책이 아닌 데이터 자체를 보호하는 근본적인 해결책이라는 점에서 의미 있다. 성공적 데이터 암호화는 GDPR와 같은 개인정보 보호 규제의 영향권 내에 있는 기업 리스크를 최소화하고 운신 폭을 넓힐 수 있다. 국내 기업의 글로벌 경쟁력 제고를 위해서라도 데이터 암호화를 적극 검토해야 할 시점이다.

김기태 탈레스 이시큐리티 한국지사장 KeeTae.kim@thales-esecurity.com