1일 오전 서울 강남구 무역센터에서 한·EU 간 개인정보 유통에 대한 협력 강화 방안을 논의한 이효성 방송통신위원장과 베라 요로바 EU 집행위원이 적정성 평가 가속화 방향에 합의한 후 악수를 하고 있다. (방송통신위원회 제공)/뉴스1

지난달 25일 발효된 유럽연합(EU) 일반개인정보보호법(GDPR)에 대응하고 있는 국내 기업들이 법률적 해석에 어려움을 겪고 있는 것으로 나타났다.1일 한국인터넷진흥원(KISA)에 따르면 EU 시장에 진출했거나 진출을 준비 중인 기업 9곳을 대상으로 GDPR 심층인터뷰를 진행해 이같은 요구사항을 확인했다.

GDPR은 전체 EU 회원국에 적용하는 새로운 개인정보보법으로, 정보 주체의 권리를 강화하고 기업의 개인정보보호 의무를 강화한 게 특징이다. EU 회원국 국민에게 재화나 서비스를 제공하는 모든 기업이 적용 대상이다. 현지에서 이 법을 위반하면 매출액 4% 또는 2000만유로(251억원) 중 더 큰 금액을 과징금으로 부과하는 징벌적 성격을 갖고 있다.

이 때문에 유럽에 진출하거나 준비 중인 기업들은 대응책 마련에 분주하다. 이번 조사를 보면 기업들은 사내 정보보호 정책을 GDPR 기준에 맞게 전환하거나, 자체 가이드라인을 만들어 직원 교육에 나서고 있다. 하지만 GDPR 규정 자체가 명확한 기준 대신 자율적으로 판단하도록 명시한 부분이 많아 대응이 쉽지 않다고 기업 관계자들이 입을 모았다.

윤재석 한국인터넷진흥원(KISA) 개인정보협력팀장은 "GDPR에 대한 막연한 두려움이 있다"며 "특히 GDPR 조항에 대한 법률적 해석이 가장 어렵다"고 설명했다.EU 국가에 법인을 설립해 온라인 서비스를 제공 중인 A사는 "약 150만명 규모 개인정보를 보유했지만, 유권해석 등 법률적 해석이 가장 어렵다"고 호소했다. 제조업을 운영하는 B사는 "현지 사내 개인정보보호 정책을 GDPR에 맞게 수정하고 있다"고 설명했다. 하지만 법률적 해석에 어려움이 크고, EU 시민들 역시 GDPR에 대한 인식이 아직 높지 않아 직원 교육이 쉽지 않은 상황이다.

EU 전역에 이용자를 가진 의료 온라인 서비스기업 C사는 "GDPR 실제 사례를 포함한 가이드와 문의할 수 있는 포털 사이트가 필요하다"고 요구했다. 개인정보를 클라우드로 관리하는 방안을 추진 중인 D사는 "컨설팅 업체 자문과 세미나 내용에 대해 공신력 있는 기관의 검증이 필요하다"고 지적했다.

사정이 이렇다 보니 KISA는 EU에 진출할 예정인 기업에 대해 법률 자문을 지원한다. 이미 시장에 진출한 기업은 GDPR 진단 및 컨설팅 등을 제공할 계획이다. 또 GDPR 자가진단 점검 도구를 개발해 제공하고, 상담 서비스 운영, 사례별 가이드라인을 개발할 계획이다.

정현철 KISA 개인정보보호본부장은 "GDPR은 기업들이 자율적으로 판단할 것이 많아 전문성이 있는 정보보호담당자(DPO) 지정을 의무화하고 있다"며 "국내 기업들이 스스로 개인정보보호 역량을 키워야 할 시점"이라고 말했다.

한편 이번 조사에서는 한국에 대한 EU 개인정보보호 적정성 승인이 GDPR 대응 비용과 노력을 줄여줄 것이란 의견이 많았다. EU는 원칙적으로 개인정보 역외이전을 금지하고 있지만, 제3국의 개인정보보호 수준을 가늠하는 적정성 평가를 통해 EU와 동등하다고 인정하면 해당국 기업들이 개인정보를 자유롭게 이전하도록 허용한다.

방송통신위원회는 GDPR 발효에 대비해 지난 2015년부터 적정성 평가를 추진해 이르면 올해 안에 승인받을 것으로 기대하고 있다.

이번 조사에 참여한 금융기업 E사는 한국이 적정성 평가를 통과하면 컨설팅 비용과 인건비, 법무비용 등 10억원 이상을 절감할 것으로 기대했다. 온라인 서비스기업 F사 역시 적정성 승인이 나면 GDPR 예산의 40% 이상을 절감할 것으로 예상했다.


hyun@