IBM "유럽 GDPR 온전히 대응 기업 36% 불과"

유럽연합(EU) 일반개인정보보호법(GDPR) 시행에 온전히 대비할 수 있다고 자신하는 기업이 세계 3곳중 1곳에 불과하다는 조사 결과가 나왔다. 오는 25일부터 전면 시행되는 규제를 때맞춰 지키지 못하겠다는 기업이 적지 않음을 시사하고 있어 주목된다.

GDPR은 EU 시민의 개인정보를 보호하며 그걸 이용하는 기업 활동을 장려한단 취지로 2016년 4월 제정됐다. 2016년 5월부터 발효됐고 2년간 유예를 거쳐 이달 25일 전면 시행된다.

기존 '1995년 개인정보보호지침'을 폐지하며, 지침에 없던 법적 구속력을 띤다. 모든 EU 회원국에 직접 적용된다. 물리적으로 현지 사업장을 두고 제품과 서비스를 제공하는 기업은 물론이고 온라인서비스만으로 현지를 겨냥한 기업에도 준수 의무가 발생한다.

위반시 그 정도에 따라 차등적인 과징금이 부과되는데, 최고 수준은 2천만유로 또는 해당 기업의 세계 연매출 4% 중 큰 금액에 달한다. 현행 한국 개인정보보호법과 세부 규정이나 적용의 잣대가 사뭇 달라 세심한 대응이 요구된다. [☞관련기사]

이런 가운데 IBM은 최근 GDPR 시행에 온전히 대비할 수 있다고 자신하는 기업이 36%에 불과하다는 설문조사 결과를 분석한 영문 보고서(The end of the beginning, Unleashing the transformational power of GDPR)를 공개했다. 보고서에 담긴 설문조사는 IBM 비즈니스가치연구소와 옥스포드 이코노믹스가 지난 2월부터 4월까지 세계 34개국 15개 산업군에 속한 조직 내부의 GDPR 대응 책임자에 해당하는 임원(executives) 1천500명을 대상으로 진행됐다.

응답자 직책은 최고프라이버시책임자(CPO), 최고데이터책임자(CDO), 법무책임자(General Council), 최고정보보호책임자(CISO) 등이다. IBM의 보고서에 담긴 설문조사 응답 가운데 국내 기업들이 참고할만한 대목들을 소개한다.

먼저 IBM은 응답자들에게 2018년 5월 25일 GDPR 시행 시점에 맞춰 온전히 규제를 준수할 수 있을거라 예상하냐는 질문을 던졌다. 온전히 준수할 것이라 답한 비율은 36%에 불과했다. 그렇다고 나머지 대다수 조직의 응답자들이 GDPR을 무시하고 있는 건 아니다. 온전히 준수할 것이라 예상하진 못하지만 대응 활동을 시작했다는 응답이 절반 가까운 47%에 달했다.

'대응 활동을 시작하지 않았지만 2018년 5월 이전에 할 계획은 했다'는 응답도 18%를 차지했다. IBM 측은 기업의 대응 현황에 이런 다소 느긋해 보이는 반응이 포함되는 배경에 "(규제준수에 필요한) 리더십의 확신이 부족하거나 일단 지켜보자식 접근(wait-and-see approach)을 원하는 성향"이 작용했으리라 추정했다.

IBM GDPR 설문조사 분석 보고서 'The end of the beginning' 일부.

다수 응답자가 GDPR이라는 규제 효과 자체를 긍정적으로 평가했다. 응답자 39%는 GDPR을 조직의 보안, 프라이버시, 데이터관리 활동을 전환(transform)할 기회로 봤다. 또 응답자 20%는 GDPR이 새로운 데이터 주도 비즈니스 모델의 촉매가 될 수 있다고 여겼다. 물론 이와 달리 GDPR을 단순한 강제적인 규제로 간주하고 있다는 응답자 비율도 36%였다.

IBM은 응답자들에게 GDPR 규제대응시 최우선 주력분야 및 최고 난제도 물었다. 응답자는 자신이 속한 조직의 준비 내용이 IBM이 데이터, 보안, 정보주체(Data subjects), 조직(Organizational), 4가지 범주로 분류한 GDPR선제조건(GDPR-erequisites)의 11가지 구성요소에 들어맞는지 여부를 기준으로 답했다.

11가지 구성요소 중 최우선 주력분야로 '데이터 발견 수행 및 데이터 정확성 보장'을 선택한 응답이 60%였다. 정보주체의 동의, 절차, 통제 확보'를 꼽은 응답도 58%였다.

반면 '정보주체의 동의 확보'를 꼽은 응답이 48%를 기록하고 '데이터 국외이전 처리'를 꼽은 응답이 47%를 기록하면서 가장 후순위 대응 분야로 드러났다. 대응시 최고 난제로는 '데이터 발견 수행 및 데이터 정확성 보장'과 '데이터처리원칙 준수'가 공동 1순위였고 프라이버시정책 개발 및 고지, 정보주체 동의 확보, 데이터보호책임자(DPO) 선임이 후순위를 이었다.

실제로 응답자들이 속한 기업 등 조직에서 GDPR 대응 활동으로 무슨 일을 하고 있을까.

IBM 비즈니스가치연구소는 이 조사 응답자 가운데 22%를 GDPR 준비에 동기부여가 돼 있는 GDPR리더 그룹을 'Sparked'로, GDPR 준비에 상대적으로 부담을 느끼며 확신이 부족한 나머지 응답자 78% 그룹을 'Squeezed'로 분류했다. 동일한 GDPR 대응 항목 조사에서 두 그룹의 실행 비중은 차이를 보였다.

일례로 '성능과 효율 향상을 위한 데이터전략 통합' 실행을 Sparked 그룹은 97%가, Squeezed 그룹은 84%가 수행했다고 답했다. 정보주체가 EU에 있든 아니든 그 모든 데이터를 동일하게 취급하는 방식을 Sparked 그룹은 79%가, Squeezed 그룹은 66%가 수행했다고 답했다.

IBM은 전반적으로 GDPR을 데이터관리 프로세스 정비 기회로 바라보는 응답자가 많다고 평했다. 그 단서로 응답자 80%가 보존할 개인데이터 양을 감축하고 있다는 점, 응답자 78%가 개인데이터에 접근할 수 있는 인원수를 줄이고 있다는 점, 응답자 70%가 더이상 필요하지 않은 데이터를 파기하고 있다는 점 등을 지적했다.

■한국은 제대로 대응하고 있나...조직마다 필요성과 실행 현황 달라

IBM 보고서에 담긴 설문조사 결과는 세계적 동향을 다루고 있어 한국 지역만의 움직임을 짐작하는 단서로 읽기는 어렵다. 한국에서도 GDPR에 대응을 필요로하는 조직마다 그 필요성이나 실행 현황은 제각각 다른 양상을 띨 것으로 보인다.

일례로 한국에선 개인정보보호법을 근거로 보존할 개인정보 항목과 보존기간, 개인정보에 접근할 수 있는 담당자 제한, 불필요한 데이터 파기 관련 규정을 이미 포함하고 있다. 이런 규정을 준수해 온 한국 기업이라면 GDPR에서 요구하는 데이터관리 프로세스를 따르는 데 큰 부담을 지지 않을 것으로 보인다.

앞서 개인정보처리와 관련된 국내 규정을 관할하는 중앙정부부처와 산하기관이 국내외 민간 기업을 대상으로 다양한 GDPR 관련 인식제고와 대응 지원 활동을 수행해 왔고, 일부 IT업체도 컨퍼런스나 세미나를 통해 산업계 전반의 관심을 환기 중이다. 다만 국내 업계서도 GDPR 대응을 바라보는 시각은 제각각이다. 정책 및 법률전문가들 사이에서 오히려 GDPR을 바라보는 인식차도 엿보인다.