EU-DSGVO(유럽 개인정보보호규정)이 너무 늦은 것은 아닐까?

지난 5월 25일부터 유럽 개인정보보호규정 (EU-DSGVO)의 계도기간이 끝나 개인정보보호 위반사례에 대해 높은 벌금이 부과된다. 이 데드라인 직전에 페이스북의 데이터 유출을 둘러싼 큰 소동이 있었다. 정보가 유출된 5천만 명의 고객 가운데 EU 시민이 얼마나 있는지는 아직 명확하지 않지만, 페이스북의 대참사로부터 사람들은 의심의 여지 없이 다음 두 가지 사실을 배울 수 있었다. 첫 번째는 그런 일이 일어나지 않게 하는 방법과 두 번째는 이를 더욱 개선하는 방법이다.

에스더 니더하머(Esther Niederhammer)

페이스북 – 더 이상 좋지 않아!

전세계적으로 성공적이었던 슬로건(좋아요)의 역전이 페이스북 설립자에게 얼마나 고통이 되었을지 상상하기가 어렵다. 페이스북 성공의 걸림돌은 실패한 개인정보 보호전략으로, 페이스북의 개인정보 보호전략은 정보수집과 정보이용에서 시작하여 데이터 거래, 데이터 소홀, 데이터 오용, 신뢰 상실 등으로 끝난 것 같다. 당연히 전통적인 비극처럼 이번 경우도 높은 곳에 있을수록 더 많이 추락한다는 사실이다.

이 사건이 어떻게 끝날지는 아직 모른다. 영국의 데이터 분석회사 Cambridge Analytica가 5천 명의 페이스북 사용자 데이터에 액세스하였다는 사실이 PR 대재앙과 재정적 재난을 초래하였다. 페이스북은 이번 정보 유출사고로 3일 만에 시가 총액 최대 5백억 US달러가 날아갔다. 당시 쥐트도이체 차이퉁은 이 사건에 대해 „파란 거인이 비틀거렸다“라는 제목을 달았다. 추가적인 세부 사항이 밝혀지면 페이스북은 더욱 더 비틀거리게 될 것이다. 사용자 동의 없이 민감한 형태로 데이터를 이용하였으며, 심지어 미국 선거 운동에도 영향을 끼쳤을 가능성이 커졌기 때문이다.

정보 유출은 매일 그리고 도처에서 일어난다

오랫동안 페이스북을 적대시하던 사람들이 고소해하는 마음을 한 편으로 이해가 된다. 그러나 페이스북만 물고 늘어지거나 같은 연못에서 다른 편이 안전하다고 느끼는 것은 합리적이지도 않고 적절치도 않다. 정보유출과 정보도용은 모든 분야에서 또 모든 국가에서 일상적인 일이다. IT 및 통신 정보 서비스 Heise.de는 훌륭한 지표이다. 이 서비스는 기술 혁신과 제품 테스트 외에 기술 결함과 개인정보 보호 실패를 수집 처리하는데, 2018년 3월에 트로이 목마를 지적하였다. 이 악성 프로그램은 아시아의 저렴한 40개 안드로이드 스마트폰에 사전 설치되었고, 눈에 띄지 않게 스마트폰 사용자의 주머니와 생활 속을 헤집고 다니면서 악성코드들을 전파하였다. 또한 최근 몇 개월 동안 교통 서비스인 우버 (피해 내용: 5천 7백만 승객 및 7백만 운전자의 개인 정보), 4G LTE 네트워크 (연구원들이 위험한 취약성을 발견함), 애플(언록 소프트웨어로 iOS 10 및 11 타입의 아이폰을 판독할 수 있게 함), 여러 국가의 정부(17개 연방 정부 컴퓨터를 포함하여 정부 네트워크에 대한 글로벌 해커 공격)가 공격을 받았다. 이 피해 목록은 끝없이 추가될 것이다.

이제 와서 데이터 보호주의가 근본적인 해결책이 될 수는 없다. 데이터 없이는 전세계적으로 아무 것도 돌아가지 않기 때문이다. 개인 관련 정보는 주문 처리, 타겟 광고, 고객 확보, 고객 충성도에 따라 필요하다. „10년 전에 우리가 이해하던 방식의 데이터 보호주의는 더 이상 가능하지 않습니다. 개인정보 처리가 점점 더 중요해졌지만, 점점 더 많은 기업들이 개인정보를 이용합니다. 예를 들어 개인정보는 제품과 서비스를 개선시킬 수 있는 방법 등으로 기업들에게 중요한 정보를 담고 있기 때문입니다.“(니콜라스 볼트만, 뷔르츠부르크 대학 로봇법 연구 센터 연구원, 법학사) 물론 페이스북, 구글, 아마존은 개인정보 수집에 대한 분노에 직면하였다. 하지만 이러한 맥락에서 사람들이 거의 생각하지 않는 기업들에 의해서도 많은 개인정보가 수집되고 있다. „개인정보 수집은 개인정보 보호법을 앞지르는 자체적인 역동성을 발휘하고 있습니다. 개인정보 수집이 많아질수록, 대량의 데이터가 획득되는 곳에서는 유출이나 사이버 공격이 일어날 위험도 커집니다. 이 부분에서 EU-ESGVO의 규칙을 적용하고자 합니다. 이는 개인정보의 오남용을 막기 위한 전제조건입니다.“

페이스북을 통한 비자발적 데이터 보호조항

페이스북에 대한 논쟁은 EU-DSGVO 이행을 위한 각성의 역할을 하고 있다. 이 논쟁은 개인정보 보호론자들과 비판적인 소비자들의 손에 넘어가 많은 대중은 아직도 여전히 괴롭힘을 당하고 있다. 산업계는 페이스북 참사를 학습의 기회로 발판 삼아 개선할 기회로 삼아야 한다.

그렇다면 페이스북과 우버는 무엇을 잘못했는가? 언뜻 보기에도 거의 모든 것이 잘못되었다. 처음에는 과도하게 자신감에 넘쳐 있었고, 마케팅 전략에만 집중하고 사업 모델의 성공에 안주하였다. 이 과정에서 일상 업무에서 본질적이고 치명적인 과제는 잊혀지거나 성의 없이 처리하거나 전혀 처리하지 않았다. 이런 일이 모든 사람에게서 도처에서 매일 같이 일어났다. 이런 상황은 극도로 인간적이었다. 페이스북은 다른 기업들과 달리 비판의 중심에 서 있다. 사람들은 실리콘밸리의 기술이며 혁신 괴물인 페이스북이 개인정보 보호를 우선시 할 것으로 생각했었고 이에 필요한 기술적 능력이 있을 것이라 믿었고 기대했었다.

개인정보 보호론자들의 경고와 비판에도 불구하고 페이스북은 자사의 개인정보 비즈니스의 위험을 충분히 이해하지 못했고 이를 심각하게 받아들이지 않았다. 이러한 맥락에서 주커버그는 언론에 다음과 같이 말했다 „우리가 기만당했다는 점에 대해 회사 전체가 깜짝 놀랐습니다.“ 페이스북은 단순한 범죄 행위의 희생자가 아니다. 존재하는 개인정보를 효율적으로 최신 기술에 따라 보호하지 않았다. 많은 데이터에 너무 많은 사람들에게 접근할 권한이 있었다. 페이스북은 이런 형태의 데이터 오남용을 억제할 기술적으로 또는 계약상의 충분한 방어막을 갖고 있지 않았다. 또한 개인정보가 내부나 외부로 흘러 나가는 것을 알려줄 신뢰할만한 경고 시스템도 없었다. 페이스북 설립자인 마크 주커버그는 구조와 프로세스가 분화되어 있지 않거나 문서화가 불량하여, 먼저는 침묵하였고 뒤에 물러서서 법률가들의 조언을 받은 다음 언론에 다음과 같이 예기했다. „우리가 무엇을 찾아낼 지 말하기가 어렵습니다.“

페이스북에 대해서만 떠들어댈 것은 아니다. 거의 모든 개인정보 보호스캔들에서 관건은 개인 관련 정보를 취급하는 데에 있어 어디서나 동일한 과실과 오류가 있었다. 성공의 역사로 주목 받는 또 다른 기업인 우버도 중대한 실수이자 부정한 돈을 쓰는 실수를 저질렀다. 우버는 X일부터 투명하게 자신들의 데이터 참사를 취급하고 약 600,000 미국 운전자들의 차량 번호판 손실을 보호하고 고객을 더 이상의 손해로부터 보호하는 대신, 우버는 사고를 은폐하기 위해 범죄자들에게 100,000 달러를 건넸다. „이는 최악의 악수였다. 꼭 필요한 만큼만 정확하게 외부로 내맡기는 것을 살라미 전술이라고 합니다. 이는 대기업에게는 기본적인 증상처럼 보입니다.“(볼트만)

독일에서 DSGVO 준비는 어떻게 되어가고 있는가?

개인정보 보호와 관련하여 독일의 산업계로 돌아가보자. EU-DSGVO에 관한 첫 번째 메인 토픽기사에 즈음하여 지난해 8월에 유명한 업체들로부터 우리 MM MaschinenMarkt에 문의한 것이 한 건도 없었다. 회사의 개인정보 보호 메일 어드레스는 아무 것도 전달해 주지 않고, 현재 DSGVO 이행 상태 또는 노력에 대한 전화문의나 서면문의에 대해서는 답변이 없거나 거부되었다. 몇 개월이 지난 후는 어떨까? 결과는 똑같다. 무관심? 과도한 요구? 데이터 보호주의? 데이터 보호 부족? DSGVO과 관련하여 열정적인 배경작업으로 인해 시간이 부족한 걸까? 모두 다 분명하지는 않다. 당연히 질의를 받은 기업들은 표본이었고 개인정보 보호와 관련하여 모범적인 기업들도 있다. 그럼에도 불구하고 다음과 같은 질문을 던질 수 있다. 페이스북은 매일 독일기업의 정보를 수집하고 이용함에 있어 얼마나 성실한가? 그리고 개인 관련 정보 저장을 최우선적인 일로 고려해야 할 때가 아닌가?

EU-DSGVO는 방향을 결정하며 더 나은 데이터 보호를 피해갈 수 없다. 당연히 개인정보 보호조치를 이행하는 것은 조직적으로나 재정적으로 많은 노력을 의미한다. 하지만 최근 며칠, 몇 개월 몇 년 간의 막대한 데이터 유출은 데이터 보호를 그 어느 때보다 심각하게 받아들여야 한다. 새로운 개인정보보호 규정이, 스스로, 개인적으로, 회사 내에서 또는 회사의 데이터 보호 책임자로서 결국 두려워하는 또는 계속 해서 미룬 데이터 보호 주제를 다루도록 하는 데에 유용한 동력이 되는 경우, 이 새로운 개인정보보호 규정은 기회가 될 수 있다.

전문적인 개인정보보호 정책은 네트워크화된 현재의 세상에서 업계 내 자신의 입지와 위치를 공고히하고 대규모 데이터 유출로 인한 고객과 금융 자원의 손실을 예방하기 위해 절대 포기할 수 없는 기업적 조치에 속한다. 이를 보다 쉽게 이해할 수 있도록 이 새로운 규정의 가장 중요한 요점을 아래에 한 번 더 요약하였다.

EU-DSGVO 요약

■ 시행일 2018년 5월 25일

■ DSGVO는 EU 가이드라인 95/46/EC을 대체한다.

■ 개인정보보호 규칙은 유럽 전역에서 통일되었고 모든 국가에 구속력이 있다.

■ 위반 시 최대 2,000만 유로 또는 전세계 연간 매출의 4%에 해당하는 벌금이 부과된다.

■ 시장위치 원칙이 본사위치 원칙을 대체한다. 즉 EU-DSGVO는 제품 공급이 EU 내 고객에게 제공되는 한 EU 밖에 본사를 두고 있는 기업에게도 적용된다.

■ 정보제공 의무와 알림 의무가 확대되고, 빈틈 없이 문서화하도록 규정한다.

■ 제품과 프로그램은 „privacy by design“ / „privacy by default“ 원칙에 따라 형성되어야 한다. 즉 개인정보 보호 친화적으로 DSGVO에 맞게 설정되어야 한다 (현재 기술수준이 중요함).

■ 개인 권리에 대해 리스크가 큰 개인정보 보호 관련 사고에 대해서는 72 시간 이내 고지의무가 적용된다.

■ 고객은 „잊혀질 권리“ / 삭제 권한이 있다.

■ 고객은 데이터 이동권리가 있다.

■ 회사 데이터 보호 책임자는 DSGVO 준수 여부를 모니터링해야 한다 (확장 책임).

■ 데이터 아웃소싱이 자동으로 책임의 아웃소싱으로 이어지지 않는다.

■ 특히 데이터 발생량이 많거나 특히 민감한 데이터 또는 프로파일링 의도가 있는 정보를 갖는 회사는 개인정보 보호 영향 평가를 수행해야 한다.

개인정보 손실에 대한 리스크를 줄이는 방법

■ 데이터 최소화의 기본원칙을 엄격히 준수한다. 수집이나 저장하지 않은 데이터는 손실되거나 오용되지 않는다.

■ 일관된 데이터 보호개념을 통해 운영에 절대적으로 필요한 개인정보를 보호한다.

■ 가능한 명확하고 쉽게 데이터 보호 의무조건을 공식화한다. 내부 지침에서 해석의 여지를 주면 안 된다.

■ 가능하면 기계 데이터와 개인 데이터를 분리한다.

■ 이른 시점에 데이터를 익명화하고 암호화하면 특정 범죄단체가 데이터를 사용할 수 없다.

■ 회사 내에서 개인 정보에 대한 액세스 권한을 소수의 특별히 교육받은 인력에게만 제한한다.

■ 데이터 보호 처리 내에서 프로세스를 자동화하여 잘못된 판단이나 데이터 취급 시 과실을 최소화한다.

■ 외부 노하우(예, 컨설팅 및 감사)를 통해 자사 데이터 보호 컨셉트에서 약점을 식별하고 데이터 유출사고에 대한 비상 상황 계획을 정의한다.

■ 필요 없는 데이터 자동삭제와 기술적 잠금 장치를 설치하여 민감한 데이터에 대해 실수나 부적절하게 접근하는 것을 방지한다.

■ 회사에 대한 내부의 비판을 진지하게 받아들인다. 불만이 많은 직원은 데이터 유출이나 남용에 대한 리스크가 크다.

데이터 유출사고 시 높은 벌금을 피하는 방법

■ 언제 어떤 데이터를 무슨 목적으로 얼마나 오래 수집 저장하고 경우에 따라 전달하였는지를 최신 상태로 명확하게 그리고 직접적으로 해명하도록 노력한다. (확장된 DSGVO 정보 제공 의무).

■ 데이터 보호와 관련된 모든 프로세스를 빈틈없이 언제든지 불러올 수 있도록 문서화한다 (확장된 DSGVO 정보제공 의무).

■ 입증 가능한 방법으로 직원들의 데이터 보호역량에 투자한다(예, 교육, 정기 감사, 데이터 보호 갭을 내부적으로 지적하기 위한 위원회).

■ 특히 데이터를 제 3자에게 전달하는 경우(예, 클라우드) 가능한 이른 시점에 데이터를 익명화하고 암호화한다. 사업 파트너가 해킹 당하거나 파산한 경우, 데이터 보호에 대한 귀사의 의무조건을 충족하였고 귀사에 대한 높은 벌금을 피할 수 있다.

■ 데이터 보호문제에 대해 담당 부서를 정의하고, 고객 및 규제 당국의 모든 개인정보 보호요청에 대비하여 입증 가능하게 부서를 교육한다.

■ 데이터 유출이 발생할 경우에 대비해 비상계획을 수립하고 실천한다. 비상계획을 즉각적으로 실행하면, 긴급 상황에서 추가적인 피해를 제한하고 회사 데이터 보호 컨셉트의 엄정성과 전문성에 대한 증거로서 당국에 제시할 수 있다.

■ 페이스북이나 우버와는 달리 회사에 데이터 유출이 발생한 경우 지체없이 투명성을 마련한다 (DSGVO의 보고 의무). 이 또한 일관적인 데이터 보호 전략에 속하며 응급 상황에서 고객에 대해 신뢰감을 높이는 조치가 될 수 있다.

■ 시행일이 지난 후에도 DSGVO를 심각하게 받아들이고 이 문제를 늘 유념한다. DSGVO에 따르면 최신 기술이 있는 상황에서 낡은 방식의 정보 보호방식은 전혀 정보를 보호하지 않는 것으로 평가된다.

MM 인터뷰

니콜라스 볼트만 ,뷔르츠부르크 대학 석좌 교수 Dr. 에릭 힐겐도르프 로봇법 연구소 연구원이자 법학사

„데이터의 문제는 쉽게 복제할 수 있기 때문에 데이터를 넘겨주는 그 시점부터는 더 이상 그에 대해 통제할 수 없다는 것이 사실입니다.“ 니콜라스 볼트만, 로봇법 연구소

페이스북이 모든 것을 전부 잘못했나요?

현재로서는 명확하게 말할 수 없습니다. 페이스북이 앱을 통해서 제 3자에게 그렇게 많은 데이터와 사용자 계좌에 접근할 수 있도록 하는 것은 어렵습니다. 하지만 이것은 동시에 페이스북과 앱 공급자들의 사업 모델이기도 합니다. 고객의 동의를 얻은 경우, 회사 측이 정보 보호에 실패했다고 말하기 어렵습니다. 진짜로 문제가 되는 것은 사용자의 동의 없이 데이터를 법에 어긋나게 이용하는 경우입니다. 페이스북은 이번 사건은 제3의 회사인 Cambridge Analytica의 사기라고 주장하고 있고, 페이스북이 이를 얼마나 저지할 수 있었느냐 하는 것이 문제입니다. 그러나 제가 결정적으로 실패라고 보는 것은 위기 관리에 있습니다. 페이스북은 2015년부터 정보유출이 있었다는 것을 알고 있었지만, 이를 공개하지 않았습니다. 새로운 개인정보보호규정에 따르면 이를 공개했어야 합니다. 그러한 사건을 감독 당국에 보고해야 할 명백한 의무가 있으며, 사안이 심각한 경우에는 해당하는 사람들에게도 이를 알려야 합니다.

피해를 입은 페이스북 고객들에게 EU-DSGVO는 너무 늦은 걸까요?

EU 고객들도 피해를 입었는지는 아직 모릅니다. 만일 EU 고객이 피해를 입었다면, 이번 사건은 DSGVO을 심각하게 위반한 것이며 최소한 데이터 유출의 일부는 2016년 규제가 발효되고 난 이후 그리고 이행 기한 이내에 일어났습니다. 어떤 제재가 이어질지는 아직 명확하지 않습니다. 제가 흥미를 갖는 점은 이번 사건이 2018년 5월 25일 시행일 몇 주 전에 공개되었다는 것입니다. 제 입장에서는 불순한 의도를 가정할 수도 있겠지만, 재미있는 우연의 일치이기도 합니다.

독일 기업의 입장에서 DSGVO가 던지는 가장 큰 과제는 무엇입니까?

EU-DSGVO은 상당 부분 이전의 연방데이터보호법을 기초로 하기 때문에 유럽과 비교할 때 독일 기업들은 잘 하고 있습니다. 가장 큰 과제는 문서화 의무의 확대로 추가 비용이 드는 것입니다. 저는 기업가로서 현재 지속적으로 내가 무엇을 언제 왜 수집 처리하였고 이러한 정보에 누가 접근 권한을 갖고 있는지를 입증할 수 있어야 합니다. 중간 규모의 업체들에게 이는 비용이 많이 드는 일입니다. 하지만 문서화의 품질과 일관성에서 내 책임이 어떻게 평가되고 위반에 대해 어떤 벌금이 따를지를 결정할 것입니다.

클라우드에 저장되어 있는 데이터는 누구에게 속한 것입니까?

현재 이 문제는 논쟁의 여지가 매우 많습니다. 클라우드 공급자가 데이터를 수신하고 저장하므로, 클라우드 공급자가 데이터에 대해 처리 권한도 갖는다고 말하는 사람들이 있습니다. 하지만 의자, 휴대폰, 유사한 물리적 물건에 대해 소유권을 갖는 것과 달리 데이터 소유권은 없습니다. 데이터의 문제는 쉽게 복제할 수 있기 때문에 데이터를 넘겨주는 그 시점부터 더 이상 통제가 불가능하다는 것입니다.

그럼에도 불구하고 이러한 데이터를 어떻게 보호할 수 있을까요?

계약 범위를 벗어나 데이터를 사용하는 것을 계약으로 배제하는 것이 중요합니다. 저 역시도 데이터 프로세싱 회사가 그들이 원하는 대로 데이터를 처리하는 것을 막을 방법이 없습니다. 그러나 법적으로 볼 때 저는 안전 조치를 취했습니다. 또한 암호화를 통해 적어도 부분적으로 데이터를 사용하지 못하게 만들 수 있고 그렇게 고객의 개인 정보보호권리를 보호할 수 있습니다. 특히 데이터를 익명화하거나 가명화하는 것이 효과적입니다. 그러한 데이터가 나쁜 손에 들어간다고 하더라도 한편으로는 구체적인 신원이 없기 때문에 정보를 사용할 수가 없습니다. 암호화를 우회하려면 스스로 범죄를 저질러야 합니다.

데이터의 문제는 쉽게 복제할 수 있기 때문에 데이터를 넘겨주는 그 시점부터는 더 이상 그에 대해 통제할 수 없다는 것이 사실입니다. 니콜라스 볼트만, 로봇법 연구소