[ET단상]GDPR 대비하는 데이터 보호 방법

유럽 개인정보보호규정(GDPR) 시행을 앞두고 글로벌 기업의 우려감이 높아 가고 있다.

올해 5월 25일 시행되는 GDPR는 기존의 유럽연합(EU) 개인정보지침(Directive)에 비해 강도가 높다. 기업은 요구 사항 전반을 포함한 리더십, 개인 정보 처리 관리, 보안 이슈 관리, 정보 주체 권리 보장 방안 등이 필수 요소로 포함된 자체 대응 체계를 마련해야 한다.

GDPR 적용 대상은 EU 거주 시민의 개인 정보를 처리하는 모든 정보통제자, 정보처리자, 정보보호책임자 등이다. 여기에는 △EU 국가에 사업장을 보유한 경우 △EU 지역에 사업장이 있지 않더라도 EU 거주 정보 주체에게 재화 또는 서비스를 제공하거나 정보 주체 행동을 모니터링하는 기업도 해당된다. 이를 어길 경우 최대 2000만유로 또는 세계 매출액 4% 가운데 더 큰 금액을 벌금으로 내야 한다.

그러나 국내 기업은 아직 무엇을 어떻게 준비해야 하는지 대응에 혼선을 빚고 있다. EU 가이드라인이 나오기 시작했지만 많은 기업의 준비는 부족한 실정이다. 부족하지만 우선 GDPR 핵심 내용을 바탕으로 업계가 어떻게 대처해야 하는지 살펴볼 필요가 있다.

GDPR는 전문 173개조, 본문 99개조로 이뤄졌다. 핵심은 본문 5조가 규정한 개인정보처리 7개 원칙이다. 7개 원칙은 △적법성·공정성·투명성 △목적 제한 △데이터 최소화 △정확성 △보관 기간 제한 △무결성과 기밀성 △책임성이다.

전문과 본문의 많은 조항이 이 원칙에 기반을 두고 도출됐고, 위반 여부와 벌금 정도를 판별하는 최종 기준 또한 이 원칙에 따르고 있다. 7개 원칙을 잘 준수하기 위해서는 적절한 기술 조치가 기본으로 요구된다.

현재 기업이 관행으로 행하고 있는 데이터 처리 방식은 GDPR 기준으로 볼 때 심각한 문제를 안고 있다. 우선 테스트 데이터 사용 시 발생하는 문제를 들 수 있다. 대체로 기업은 시스템 개발이나 유지보수를 위해 기존의 고객 데이터를 가져와서 사용한다. GDPR는 고객 보호를 위해 반드시 고객의 동의를 받도록 하는 등 테스트 데이터 사용을 엄격히 규제한다. 그러나 많은 기업이 고객에게 테스트 활용과 관련해 명확한 동의를 받지 않고 있는 실정이다.

테스트 테이터 사용 시 고객 데이터를 제대로 가명 처리하지 않거나 쓸데없이 필요 이상의 데이터를 사용하기도 한다. GDPR는 고객 데이터로 테스트할 경우 고객 데이터를 반드시 가명 처리하고, 최소한의 데이터만을 사용하도록 규정하고 있다. 그러나 일부 기업은 수작업으로 가명 처리를 하는 것이 어렵다는 이유로 이 같은 규정을 제대로 이행하지 않는 경우도 있다. 가명 처리를 하지 않는 것은 GDPR 기본 원칙을 심각하게 위반하는 것이기 때문에 유의해야 한다. 수작업으로 테스트 데이터에 포함된 개인 정보의 가명 처리에 한계가 있다면 자동 변환 솔루션을 사용하는 것도 한 해법이다.

개인 정보 자동 분리 보관 및 파기에도 유의할 점이 있다. GDPR에 따르면 개인 정보는 처리 목적 달성을 위한 필요한 기간에 한해 정보 주체를 식별할 수 있는 형태로 보관해야 한다. 더 이상 필요하지 않은 경우 부당한 지체 없이 개인 정보를 삭제할 의무가 있다. 이때 부당한 지체는 '며칠 이내'라는 의미라고 할 수 있다.

현재 많은 기업이 한 달 또는 그 이상의 기간마다 보관 기간이 지난 개인 정보를 수작업으로 파기 또는 분리 보관하고 있다. 심지어 무기한 보존하기도 한다. 그러나 이 같은 처리는 GDPR에서는 철저히 금기 사항이다. 개인 정보마다 보관 기간이 도래하면 지체 없이 삭제, 분리 보관을 해야 한다. 이를 위해 개인 정보 식별, 파기 대상 선정, 삭제·분리·복원을 통합하고 자동화할 필요가 있다. 수작업으로 진행할 경우 개별 담당자나 업무별 판단만으로 대상을 식별 선정하는 것이 부정확할 수 있기 때문이다.

올해 기업들은 GDPR를 포함해 국내외 개인 정보 보호 관련 컴플라이언스 대응이라는 숙제를 떠안게 됐다. 이 같은 숙제를 하나씩 해결하면서 소중한 고객 정보와 신뢰, 조직의 가치를 지켜내는 한 해가 되길 바란다.

한병창 바넷정보기술 기술연구소장 상무 bchan@banet.co.kr