컨텐츠 바로가기

03.19 (화)

[총성 없는 데이터 전쟁] EU ‘보이지 않는 무역장벽’ GDPR에 돌아서는 한국 기업들

댓글 1
주소복사가 완료되었습니다
<중> 유럽 개인정보보호법이 온다

구글 등 GDPR 어겨 천문학적 벌금… 국가차원 대응 필요
한국일보

GDPR 시행 후 1년간 EU 벌금 부과 사례. 그래픽=강준구 기자

<이미지를 클릭하시면 크게 보실 수 있습니다>


최근 독특한 서비스를 개발해 주목 받은 국내 스타트업 A사는 유럽 진출을 준비하다가 암초를 만났다. 유럽연합(EU) 소속 시민권자들의 개인 자료(데이터)를 수집해 EU지역 바깥으로 가져가지 못하도록 한 일반 개인정보보호규정(GDPR)이 A사의 발목을 잡았다.

A사가 해외에서 제공하려는 서비스는 사람들이 실생활에서 사용하는 각종 상품을 그대로 가상 공간에 적용해 꾸밀 수 있는 ‘버추얼 라이프 커뮤니티’다. 예를 들어 유명 브랜드의 의류, 신발, 휴대폰, 가전제품 등을 그대로 흉내 낸 아이템을 가상 공간에 배치하고 한류 스타의 음악이나 캐릭터를 활용하는 식이다.

이를 위해 A사는 실제 유명 브랜드들과 제휴를 맺고 세계 각 지역에서 서비스를 제공할 예정이었다. 그런데 유럽에서 이 서비스를 하려면 EU 시민들의 개인 정보가 필요해 GDPR 심사를 받아야 한다. A사 대표 김 모씨는 “GDPR 인증 절차가 복잡하고 까다로웠다”며 “어쩔 수 없이 다음달 서비스 지역에서 유럽을 제외하기로 했다”고 말했다. A사는 GDPR에 가로막혀 결국 유럽 서비스를 못하게 된 셈이다.

반면 스타트업 닷은 GDPR 심사를 통과했지만 막대한 비용을 치렀다. 이 업체는 시각장애인을 위한 점자 스마트워치를 개발해 프랑스 통신업체 오렌지에 수출했다. 이 과정에서 GDPR 심사를 받았는데 3개월 이상 걸렸고 비용도 6,000만원이나 들었다. 수출로 얻는 매출이 3,000만원이어서 배보다 배꼽이 더 큰 셈이었다. 이 업체는 독일에도 수출을 준비하고 있는데 똑같은 과정을 되풀이해야 하는 상황이다.

문제는 GDPR의 적용이 정보통신기술(ICT) 업체에 국한되지 않는다는 점이다. 의류, 식품, 금융, 전자, 자동차 등 유럽에서 사업상 개인정보가 필요한 업체라면 산업 분야에 상관없이 GDPR 적용을 받는다.

한국인터넷진흥원(KISA)은 유럽에서 사업을 하는 삼성, LG 등 대기업을 비롯해 700여 중소기업이 GDPR의 영향을 받는다고 보고 있다. 결국 ICT뿐 아니라 비(非) ICT 분야에서도 유럽이 주요 수출 시장인 우리 기업 입장에선 GDPR이 보이지 않는 무역 장벽인 셈이다.

◇GDPR 위반 영국항공 2,700억 벌금

지난해 5월 EU가 도입한 GDPR의 핵심은 개인정보 보호의 강화다. 우선 EU 소속 시민권자들의 개인정보를 수집할 때 엄격한 처리기준을 따르도록 했고, 개인이 기업이나 기관에서 수집한 데이터를 삭제 요청할 수 있도록 했다. 이를 위해 기업들은 반드시 데이터보호책임자(DPO)를 두어야 한다. 또 EU 시민들의 데이터를 수집한 경우 EU 집행위원회의 사전 인정을 받지 못하면 유럽 이외 지역으로 가져가지 못한다.

이를 어긴 기업에겐 전년도 전 세계 매출의 4% 또는 2,000만 유로(약 257억원) 중 높은 금액이 벌금으로 부과된다. 실제 영국항공은 지난해 50만명의 개인정보 유출 사고로 GDPR 적용을 받아 1억8,339만 파운드(약 2,745억원)의 벌금을 냈다. 구글도 지난 1월 프랑스의 정보처리자유국가위원회(CNIL)로부터 GDPR 위반으로 5,000만 유로(약 642억원)의 벌금을 부과 받았다. 유럽 민간단체인 NOYB는 아마존과 애플이 GDPR을 위반했다고 주장했고, 넷플릭스, 유튜브에 대해서도 같은 혐의로 조사하고 있다.

EU 시민들의 데이터를 수집하는 기업이 유럽 외 지역에 있어도 GDPR의 적용을 받는다. 해당 기업이 유럽 이외 지역에 사무실을 두고 있더라도 EU 시민들의 데이터를 수집하면 GDPR 적용 대상이다. 그래서 법 적용 영역이 무한대로 확장됐다는 지적이 나온다.

◇GDPR 어떻게 대처해야 하나

대처 방법은 국가 차원의 대응과 개별 기업 대응 등 두 가지다. 국가 차원의 대응은 정부에서 GDPR에 준하는 개인정보보호법을 만들어 EU와 상호 양해 조치를 취하는 것이다. 즉 상대국의 개인정보 보호조치가 믿을 만하니 해당 국가의 기업들이 상대 지역에서 사업을 할 때 별도 인증 심사를 받지 않도록 양해하는 조치다. 일종의 개인정보 보호 분야 자유무역협정(FTA)인 셈이다.

일본은 2015년 개인정보보호법을 개정해 EU의 GDPR 적정성 인증을 통과했다. 이에 따라 일본 기업들은 EU에서 개인정보 수집과 관련된 사업을 할 때 따로 EU의 GDPR 적정성 심사를 받지 않아도 된다. 일본은 개인정보보호법 개정을 통해 일본으로 이전된 EU 소속 시민의 개인 정보를 다른 곳으로 다시 이전하지 못하도록 했다.

전문가들은 이 과정에서 정부의 외교적 노력이 필요하다고 강조했다. 경제정의실천시민연합 소비자정보센터의 김보라미 변호사는 “일본은 GDPR 적정성 통과를 위해 수년 전부터 법 개정을 준비했고 외교적 접촉을 셀 수 없이 많이 가졌다고 들었다”며 “우리 정부도 외교적 노력을 많이 해야 한다”고 말했다.

개별 기업이 대응할 수 있는 방법은 GDPR 적정성 인증을 기업이 알아서 받거나 일일이 정보 수집 대상자의 동의를 얻는 일이다. 그러나 두 가지 모두 만만치 않다. 김현경 서울과학기술대 IT정책전문대학원 교수는 “개별 기업이 GDPR 인증을 받으려면 한 나라에서만 받아서는 안되고 EU 소속 모든 국가에서 일일이 받아야 하기 때문에 많은 비용과 시간이 든다”며 “대기업을 제외하고 중소기업이나 스타트업이 이런 방법으로 대응하는 것은 현실적으로 어렵다”고 지적했다.

기업이 개인의 개별 동의를 받는 것은 더 힘들다. 김 교수는 “개인에게 동의를 받으려면 GDPR 적정성을 획득하지 못한 국가의 기업이라는 점을 밝히고 동의 여부를 물어야 해서 매우 힘들다”고 말했다.

따라서 전문가들은 GDPR 적정성 획득을 위한 국가적 노력이 필요하다고 입을 모았다. 김 교수는 “국가차원에서 GDPR 적정성을 획득하는 것이 국가 경쟁력을 높일 수 있는 방법”이라며 “그렇지 않으면 유럽 시장에 진출하는 우리 기업들의 타격이 클 것”이라고 말했다.

최연진 IT전문기자 wolfpack@hankookilbo.com
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.