지난 2018년 5월 25일, 유럽연합의 일반 개인정보보호법(GDPR : General Data Protection Regulation)이 시행되었습니다.
GDPR은 사업장이 EU 내에 있거나, EU에 있지 않더라도 홈페이지를 통해 EU 국민에게 상품과 서비스를 제공하거나 EU 국민과 관련된 데이터를 수집·분석하는 기업이라면 국가를 불문하고 법률 적용 대상이 됩니다.
규정 위반 시에는 사안의 성격과 경중에 따라 최대 전 세계 매출의 4% 또는 2천만 유로에 달하는 금액을 과징금으로 받을 수 있습니다. 올해부터 규정 위반 기업에 대한 과징금이 본격적으로 부과되기 시작했는데, 그 금액이 상당합니다.
영국 대표 항공사인 브리티시항공(BA)은 지난해 9월, 웹사이트와 모바일 앱을 통해 진행된 사이버 공격으로 고객의 이름, 우편주소, 이메일주소, 신용 카드 정보 등이 새어나가는 보안사고로 인해 영국의 정보위원회(ICO)로부터 2억 3000만 달러(약 2700억원)의 벌금을 부과 받았습니다.
대형 호텔 그룹인 메리어트인터내셔널(Marriott International)은 지난해 11월 스타우드(Starwood) 호텔들에 숙박을 했던 5억 명의 고객 정보가 유출되어 영국의 정보위원회(ICO)로부터 1억 2400만 달러(약 1460억원)을 부과 받았습니다.
다국적 IT 기업 구글은 올해 1월, 구글은 사용자 데이터 활용에 대한 정보를 충분히 제공하지 않았다는 이유로 프랑스 개인정보보호위원회(CNIL)로부터 벌금 5700만 달러(약 670억원)을 부과 받았습니다.
그 밖에 페이스북은 8천 700만명 회원정보 유출로 영국 정보위원회(ICO)로부터 50만 파운드(약 7억 3000만원)의 과징금을 부과 받았고, 차량 호출 서비스 기업 우버는 2016년 고객정보 유출로 영국과 네덜란드로부터 수억원의 벌금을 부과 받았습니다.
국내 기업 또한 유럽에 진출해 있거나 진출할 계획인 경우 적용 대상이 되기 때문에 GDPR 규정을 잘 이해하고 대비해야 합니다.
한국인터넷진흥원(KISA)에서는 국내 기업의 GDPR 대응 및 EU 진출을 다방면으로 지원하기 위해 GDPR 전용 온라인 창구(http://gdpr.kisa.or.kr)를 개설하고, 교육 및 세미나를 비롯하여 영세·중소기업을 대상으로 한 컨설팅 등을 시행하고 있습니다.
[강혜린 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>