레이더M M-PRINT GFW CITYLIFE LUXMEN 매경이코노미 MBN골드 MBN 매일경제
로그인|회원가입 |시청자 게시판
종목검색
  • 종목검색
  • 통합검색

헤드라인

광고
프로그램 바로가기
프로그램 바로가기 닫기
가나다순 카테고리순
광고
> 뉴스 > 기사
기사목록|||글자크기 
우루과이도 GDPR 인증…손놓은 정부·국회에 기업만 `발동동`
기사입력 2019-06-12 17:56
  • 기사
  • 나도 한마디
공유하기 
◆ EU 개인정보보호규정 비상 ◆
[사진출처 = 게티이미지뱅크]
# 의료기기를 만드는 중소기업 A사는 유럽 개인정보보호 규정(GDPR) 시행 이후 고민에 빠졌다.

제품 특성상 민감한 생체정보가 기기 안에 쌓이는데, 유럽 지역에 납품한 제품은 유지·보수를 위해 원격으로 접속해 국내 서버와 데이터를 주고받아야 하기 때문이다.

우리나라는 유럽연합(EU) 적정성 인정을 받지 못해 역외로 자유롭게 개인정보 반출이 불가능하다.

개별로 EU 승인을 얻으려 해도, 구체적인 국내법과 달리 GDPR는 포괄적인 부분이 많아 불안함은 여전하다.

법을 위반하면 막대한 과징금을 물 수 있어 유럽 사업을 계속해야 할지 검토 중이다.


# 해외 출장으로 쌓아둔 대한항공 마일리지로 가족 제주도 여행을 계획하던 서울 방배동 거주 이 모씨(49)는 대한항공 홈페이지를 통해 예약하려다 난관에 부딪쳤다.

본인 마일리지로 항공권을 예약하려면 먼저 아이 셋을 일일이 모닝캄 회원에 가입시킨 다음 가족 등록 절차를 거쳐야 하는데 미성년자 아이핀 인증 등 본인 인증과 개인정보 동의 절차가 너무 까다로웠다.

인터넷을 뒤지던 이씨는 묘수를 찾았다.

대한항공 홈페이지 좌측 상단에 표시된 지역명을 한국이 아니라 미국 등 제3국으로 바꾸자 휴대폰 인증 절차 없이도 가족 마일리지 항공권 발급이 30분 내에 모든 게 해결됐다.

이씨는 "세계에서 유례없이 강한 개인정보보호법 때문에 한국에 사는 사람들이 일상생활에서 겪는 불편이 너무 크다"며 "개인정보보호도 좋지만 글로벌 스탠더드와 현실에 맞게 법이 고쳐졌으면 한다"고 밝혔다.


세계적으로 유례없이 강력한 개인정보보호 규제를 적용하고 있는 대한민국의 두 얼굴이다.

한쪽에서는 개인정보 유출을 막겠다고 열심히 둑을 쌓고 있지만 클릭 한 번이면 넘어갈 수 있는 '샛길'이 있다.

'호미로 막을 일을 가래로 막는다'는 속담처럼 정보 보호에만 급급하다 글로벌 표준에서 멀어져 버리면서 정작 해외 진출에 나선 우리 기업들은 보호하지 못하고 있다.

EU가 데이터의 자유로운 거래와 개인정보보호 강화를 골자로 하는 GDPR를 시행한 지 1년이 지났지만 국내 기업들은 속수무책이다.

EU가 한국의 개인정보보호법이 글로벌 기준과 맞지 않는다는 판정을 내린 지 벌써 3년이 지났지만 국회 여야 대치가 계속되면서 관련법 개정도 요원한 상태다.

개별 기업이 각각 EU에서 승인을 받아야 하는 상황이어서 비용, 인력 등이 턱없이 부족한 중소기업과 스타트업은 이중고에 시달리고 있다.


12일 KOTRA 유럽지역본부가 최근 유럽 17개국에 진출한 우리 기업 79곳을 대상으로 실시한 GDPR 시행에 따른 애로사항 실태조사 결과에 따르면 유럽에 진출한 국내 중소기업들은 대다수가 규정을 준수하지 못하고 있는 것으로 드러났다.

GDPR란 유럽 시민 개인정보보호를 위해 제정된 법규로, 지난해 5월부터 시행됐다.

자기 개인정보 삭제·이동을 요구할 권리, 개인정보보호관리자(DPO) 지정, 개인정보 역외 유출 제한 등 내용을 담고 있다.

이를 위반하면 연 매출의 4% 혹은 2000만유로에 달하는 높은 과징금이 부과된다.

대기업을 제외한 대부분의 기업이 현재까지 GDPR 규정 중 '개인정보 활용에 대한 동의' 등 일부 내용만 시행했으며 개인정보 역외 이전 조건 충족 등 전체 규정을 따르지 못하고 있다고 밝혔다.


KOTRA는 "대기업과 달리 중소기업은 전문성을 확보하기 위한 예산과 인력 투입 부담으로 대응이 미흡했다"며 "본사 지원 없이 현지법인 자체적으로 GDPR 대응책을 준비하고 있거나 비용 부담으로 대응책 마련을 무기 연기한 사례가 대부분"이라고 지적했다.


이번 조사 결과는 빙산의 일각이다.

유럽에 직접 진출하지는 않았지만 웹페이지·애플리케이션·게임 등으로 유럽 이용자와 만나야 하는 인터넷 업계도 GDPR 시행 이후 개별 기업 차원 대응을 강구해 왔다.

당장 국내 인터넷기업 양대 산맥인 네이버·카카오 모두 적용 대상이다.

네이버는 2017년 프랑스 '제록스연구소'를 인수해 네이버랩스 유럽으로 개편하고, 프랑스 파리에 스타트업 육성 기관 '스페이스 그린'을 열며 유럽시장 진출의 포문을 열었다.

카카오도 게임 자회사 카카오게임즈 유럽법인이 있으며, 엔씨소프트·컴투스 등 게임기업도 해당 지역에서 매출이 발생하고 있다.

민감한 생체정보를 다루는 헬스케어 기업도 적용 대상이다.

블록체인 서비스도 신분 확인·인증을 요구할 경우 GDPR를 준수해야 하는 등 다양한 분야 기업들이 적용 대상에 포함된다.


특히 기업들은 유럽 이외 지역으로 개인정보를 이전해 활용해야 할 때 많은 애로사항이 있다며 호소하고 있다.

유럽 지역에 직접 진출하지 않은 기업은 물론이고, 현지법인이 있더라도 사업상 본사와 데이터를 주고받아야 하는 경우가 많다.

이때 EU 적정성 평가를 통과한 국가의 기업은 자유롭게 역외 지역으로 개인정보를 이전할 수 있다.

그러나 우리 정부는 현재까지 EU 적정성 평가를 받지 못해 기업이 개별적으로 GDPR에 대응해야 한다.

당국 승인을 받더라도 이용자에게 적정성을 인정받지 못한 국가의 서비스라는 사실을 알려야 해 개인정보 사용에 동의를 구하기 어렵다.

유럽 지역 매출 비중이 크지 않은 기업 가운데 아예 서비스·사업 철수를 고려하는 곳도 있다.

반면 이미 13개 국가가 발 빠른 대응으로 자국 기업의 부담을 줄이고 있어 국내 기업의 경쟁력이 떨어지고 있다는 지적이 나온다.

EU는 GDPR 발효 시 캐나다, 뉴질랜드, 이스라엘, 우루과이, 미국(일부) 등 다수의 국가·지역에 대해 적정성을 인정했다.


한국인터넷진흥원(KISA) 관계자는 "GDPR는 구체적인 국내법과 달리 포괄적인 부분이 많고 구체적인 적용 사례나 유권해석 등을 구하기 어려워 전문가가 아니면 대응이 어렵다"며 "이런 모호성 때문에 무엇부터 시작해야 할지, 어떻게 처리해야 할지 갈팡질팡하는 기업의 문의가 많아 대책 마련이 시급하다"고 말했다.


[오대석 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]


#대한항공 #카카오 #엔씨소프트 #컴투스

기사목록|||글자크기