GDPR 역대 최고 과징금 1조 200억원!! 국내도 예외는 아니다?

자그마치 1조 200억원, 많은 분들이 제목에 쓰여진 금액을 보시고 이번 포스팅을 클릭하셨다고 생각됩니다. 위 금액은 최근 EU가 GDPR에 의거해 글로벌 IT기업 아마존에 부과한 과징금 액수입니다. 도대체 GDPR이 무엇이길래, 위반 기업은 이 정도의 과징금을 내야 하는 것일까요?

GDPR (General Data Protection Regulation, 개인정보보호 규정)은 유럽 의회에서 개인의 데이터보호를 위해 시행하는 규정으로, 기업 및 기관이 고객 데이터 활용을 적법한 절차로 진행하지 않았을 경우, 과징금을 부과하는 근거가 되는 법률입니다. 이러한 과징금 규모는 GDPR의 등장 시기부터 뜨거운 감자였습니다.

그 이유는 기업이 개인정보를 적정한 수준으로 관리하지 못했을 경우, 최대 ‘글로벌 연 매출 기준 4%’에 해당하는 금액을 지불해야 하기 때문이죠. (아마존이 현재 지불해야 하는 과징금은 2020년 매출액의 0.2% 수준이라고 합니다. 글로벌 연 매출의 4%가 얼마나 기업에게 치명적일 수 있는지 쉽게 예측이 되시나요? ^^;;)

파수가 말씀 드리고 싶은 사실은 그저 ‘유럽의 GDPR이 이렇게 무시무시하다’가 아닙니다. 바로, 국내 법 또한 이미(!) 글로벌 개인정보보호 체계에 따라 유사하게 진행되고 있다는 사실입니다!! 이 부분이 오늘 포스팅의 핵심이기도 합니다!

현재 개인정보보호위원회는 개인정보보호법이 글로벌 기준과 동등할 수 있도록 적극적인 개정을 실행하고 있습니다. 이를 보여주듯이 8월 초, 개인정보보호위원회는 개인정보보호법 강화에 매진하겠다는 의사를 강하게 밝혔습니다. 여기서 가장 주목해야 할 사항은 ‘과징금 기준의 상향’입니다.

현재 개인정보보호법에 따르면, 기업은 규정 위반 시, 위반 행위와 관련된 매출액에서 최대 3%를 과징금으로 내야 합니다. 하지만, 만약 법규가 개정된다면, 기업이 위반 상황에서 지불해야 하는 과징금은 전체 매출액의 최대 3%로, 상당한 부담을 안게 됩니다. 그럼에도 불구하고, 국내 기업의 대응은 아직까지 다소 미비한 상황입니다.

최근에 발생한 한 명품 브랜드의 고객 정보 유출 사건이 이를 단적으로 잘 보여주는 사례가 될 것 같습니다. 팬데믹 상황으로 인해 온라인 사업이 갑작스럽게 커졌고, 이 과정에서 유입된 고객 정보를 적절히 분류하고 처리하지 못한 것이 사건 발생의 주요 원인이었죠. 해당 사건이 반 년만 늦게 벌어 졌어도, 과징금의 규모는 비교할 수 없을 만큼 커질 수도 있는 상황이었습니다.

이러한 규정이 기업 입장에서는 조금 억울할 수도 있다고 생각합니다. 하지만, 개인정보 소유에 대한 패러다임이 기업에서 개인으로 바뀌는 것은 전세계적인 트렌드이며, 이것을 역행하기는 이제 어려울 것으로 보여집니다. 그렇기에 이제는 정말 철저한 대비가 필요합니다.

 

 

그렇다면, 기업이 개인정보를 적절히 관리하기 위해서 어떤 과정을 거쳐야 할까요? 여러분, 잠시 사고가 왜 일어나는지 생각해 봅시다. 사고는 대부분 잘 대비된 곳이 아닌, 미처 생각하지 못한 곳에서 일어나기 마련이죠. 이러한 공식이 개인정보보호에도 적용됩니다. 개인정보가 데이터베이스처럼 잘 정리된 경우도 물론 있겠지만, 사실 그렇지 않은 경우가 대다수입니다.

그 이유는 우리가 업무에 사용하는 문서, 메일 등에 쓰이는 정보가 특정한 구조를 갖고 있지 않은 비정형 데이터이기 때문이죠. 문제는 이러한 비정형 데이터가 우리가 ‘미처 생각하지 못한 곳’이 될 수 있다는 점입니다. 따라서 개인정보보호를 위해 가장 먼저 행해야 하는 일은 개인정보가 저장된 위치와 그 양을 식별하고, 보안 수준에 따라 단계적으로 분류하는 것입니다.

‘아, 이 정도 있구나~’라고 확인까지 하고 그치면 당연히 안되겠죠. 더 확실히 기업의 개인정보를 관리하기 위해선 중요 수준에 따른 적정한 ‘후처리’가 필수적입니다. 모든 정보에 똑같은 후처리를 한다면, 비교적 중요하지 않거나 활용도가 높은 정보를 열람할 때, 생산성이 떨어질 수 밖에 없겠죠. 이러한 측면에서 일반, 암호화, 격리, 삭제 등과 같이 분류된 정보 수준에 따라 적정한 후처리를 하는 것까지가 안전하고 효율적인 개인정보관리의 첫걸음이라고 말씀 드리고 싶습니다.

 

 

이번 포스팅을 읽은 각 기관 및 기업의 개인정보보호 담당자 분이 계시다면, 식별/분류부터 후처리까지의 다양한 과정이 필요한 만큼, 어떤 식으로 솔루션 구성을 추천 받아야 할지 고민이 많이 되실 것 같습니다. 파수가 이런 걱정을 한시름 덜게 도와 드리겠습니다! Fasoo Data Radar (파수 데이터 레이더)는 업계에서 유일하게 위의 전 과정을 지원하고 있습니다.

실제로 파수는 고객들로부터 개인정보 관리와 보안이 통합적으로 제공되지 않아 불편함을 겪었다던 사례를 자주 들을 수 있었습니다. 예를 들어, A 제품은 데이터 식별/분류 기능만을 지원해 후처리 기능을 위한 추가 제품 도입이 필요하다거나, B 제품의 경우 식별 과정에서 개인정보가 존재할 경우, 경고 알림만 해 주는 수준에서 그치기도 했습니다.

파수 데이터 레이더는 PC, USB, 스토리지 등 다양한 저장소의 문서 속 개인정보를 관리자가 지정한 정책대로 탐지하고 분류해, 단계적인 후처리를 통합적으로 제공할 수 있습니다. 개인정보보호를 위한 관리와 보안, 이제 파수 데이터 레이더로 한 번에 해결하세요!

 

>> Fasoo Data Radar (파수 데이터 레이더) 자세히 보러가기

https://www.fasoo.com/products/fasoo-data-radar

데이터 및 애플리케이션 보안 소프트웨어 기업 | Fasoo