반대로 기업의 사이버보안 태세 강화에는 긍정적 영향 미쳐
KISA, ‘개인정보보호 법제의 산업·경제 분야 영향에 관한 주요 연구와 시사점 분석’ 보고서 발표
[보안뉴스 원병철 기자] 전 세계 개인정보보호 법제에 영향을 끼친 EU GDPR이 EU 시장 대상 기업의 매출과 이익에 부정적 영향을 끼친 것으로 조사됐다. 반면 기업 보안담당자와 정보주체들은 GDPR 시행 이후 기업의 사이버보안 태세가 강화됐다는 긍정적인 평가를 내렸다. 한국인터넷진흥원(이하 KISA)는 ‘개인정보보호 법제의 산업·경제 분야 영향에 관한 주요 연구와 시사점 분석-GDPR을 중심으로’란 제목의 보고서를 발표하고 이와 같은 내용을 소개했다.
[이미지=utoimage]
2018년 5월 시행된 GDPR(유럽 개인정보보호법)은 엄격한 규율과 정보주체의 새로운 권리 도입, 막대한 과징금 등이 특징이며, EU를 대상으로 한 모든 교역국을 포괄하는 역외적 성격으로 인해 전 세계적 파급효과를 지녔다. 특히 GDPR의 영향을 받는 글로벌 기업들은 규제 준수를 위해 조직 내 개인정보보호 정책과 절차를 강화했지만, 규정 위반으로 막대한 과징금을 부과 받는 사례가 계속 생기고 있다. 실제로 메타(구 페이스북)는 2022년 3월 아일랜드 데이터보호위원회로부터 GDPR 위반 혐의로 1,700만 유로(약 231억원)의 과징금을 부과 받았고, 아마존과 구글, H&M 등도 과징금을 납부했다.
GDPR이 EU 교역 기업에 미친 영향
미국 경제 전문 비영리기관 NBER(National Bureau of Economic Research, 전미경제연구소)가 발표한 ‘GDPR과 혁신 앱의 잃어버린 세대’ 논문에 의하면 GDPR은 앱스토어 시장의 활성화 측면에서는 부정적 영향을 발휘했다. 2016년~2019년 구글 플레이스토어 내 410만 개의 앱을 분석한 결과, GDPR 시행 이후 구글플레이에 등록된 앱의 3분의 1이 퇴출되었으며 신규로 등록된 앱은 47.2% 감소했다. 또한 GDPR 시행 이후 구글플레이에 등록된 앱 수의 감소로 앱 당 평균 사용자 수는 4분의 1가량 증가했으며, 앱당 평균 사용량도 증가했다. 이는 GDPR 시행 이후 앱 개발비용이 증가하면서, 사용자가 적어 낮은 매출이 예상되는 앱 개발이 감소한 실태를 반영했다. NBER 연구진은 GDPR 시행 이후 구글플레이에 등록된 앱의 감소로 장기적으로 소비자 잉여가 32% 감소하고 총 사용량 및 수익이 30.6% 감소하는 것으로 추정했다.
또한 영국 옥스포드대학교 마틴 스쿨의 연구진이 발표한 ‘GDPR 효과: 개인정보보호 규제가 글로벌 기업 실적에 미친 영향’ 논문에 의하면 EU를 대상으로 하는 기업의 이익과 매출액이 GDPR 시행 이후 평균 8.1%와 2.2% 감소한 것으로 나타났다. GDPR은 기업 실적에 두 가지 방식으로 영향을 미칠 수 있는데, 첫째는 GDPR 준수를 위한 절차와 기술을 채택하는 과정에서 발생하는 비용에 따른 기업 이익 감소이며, 둘째로 GDPR은 정보주체의 동의 없는 제3자 정보 공유를 금지하는 만큼, 데이터 수집 비용이 증가해 온라인 매출액의 감소를 가져올 수 있다는 점이다. 이러한 가정을 EU 시장을 대상으로 하는 기업들의 이익과 매출액 추이를 통해 검증한 결과, 기업들의 이익은 평균 8.1%, 매출은 평균 2.2% 감소했다.
독일 프랑크푸르트 괴테대학교의 연구진이 발표한 ‘개인정보보호 법제가 온라인 사용자 행동에 미친 영향’ 논문에 의하면 GDPR 시행 이후 웹사이트를 방문하는 사용자 수와 사용 강도가 모두 감소한 것으로 나타났다. 연구 결과에 의하면 GDPR의 영향을 받는 웹사이트의 총 방문 수는 단기적으로는 4.9%, 장기적으로는 10% 감소했다.
GDPR이 기업 사이버보안에 미친 영향
그럼에도 불구하고 기업의 사이버보안 담당자들은 GDPR이 기업 사이버보안에 긍정적인 영향을 끼쳤다고 밝혔다. 앞서 소개한 미국 NBER의 ‘GSPR과 혁신 앱의 잃어버린 세대’ 논문에 따르면, GDPR은 이용자의 개인정보보호 측면에서는 긍정적 영향이 확인됐다. GDPR 시행 이후 사용자의 프라이버시를 침해하는 앱 수는 유의미하게 감소한 것. GDPR 시행 이전에 출시된 앱의 약 50%가 사용자에게 1개 이상의 민감한 개인정보에 대한 접근을 요구했으나, GDPR 시행 이후 출시된 앱에서는 비율이 44%로 감소했다. 또한, 출시된 앱의 사용량을 기준으로 할 경우, GDPR 시행 이전과 이후 민감한 개인정보를 요구하는 앱의 사용량은 57%와 47%로 더욱 큰 차이를 나타냈다.
이와 관련 연구진은 상기 분석을 바탕으로 GDPR이 개인정보보호에 미치는 긍정적 영향에도 불구하고 혁신을 둔화시키는 의도치 않은 결과를 낳았다는 결론을 내렸다.
2020년 8월 영국 컨설팅 기업 RSM이 발표한 ‘GDPR이 사이버보안 성과에 미친 영향’ 보고서에 의하면 대부분 기업들은 GDPR의 시행으로 사이버보안이 개선되었으며, GDPR로 인한 변화가 지속적으로 유지되고 있다고 평가했다. GDPR 시행 이전과 비교해 대부분 기업들은 기업 경영진 차원에서 사이버보안의 우선순위가 높아졌으며 사이버보안 투자도 증가했다고 응답했다. 또한 대부분 기업은 사이버 공격에 대응해 개인정보와 개인정보 처리 시스템을 보호하기 위해 새롭거나 개선된 데이터 보호 및 기타 사이버보안 정책과 절차를 도입했다고 응답했다. 아울러 지난 3년간 조직 내 사이버보안 변화에 영향을 끼친 다양한 요소 가운데 ‘GDPR의 시행’을 가장 중요한 요소로 꼽은 응답 비율이 23%로 가장 높게 나타났으며, 19%의 응답자는 ‘GDPR 준수 및 과징금 회피’를 가장 중요한 요소로 꼽았다.
정부출연연구기관인 과학기술정책연구원의 ‘유럽 개인정보보호법(GDPR)의 산업적 파급효과와 혁신기술 이슈 분석’ 보고서는 GDPR의 산업적 기회 요소로 GDPR 준수를 위한 관련 기술 산업의 발전과 Privacy as a Service의 확장을 제시했다. GDPR 준수를 위해서는 법률 자문, 개인정보보호 책임자(DPO, Data Protection Officer) 지정 등 관리 부문과 개인정보보호 조치를 서비스 설계에 반영하기 위한 기술 분야 발전이 필요하므로 관련 시장이 확대될 것이라는 판단이다.
또한, GDPR과 관련된 기술 분야로는 암호화, 데이터 관리 및 확인, 신원확인과 데이터 접근권한 통제, 위험 탐지 및 분석, 테스트 데이터 관리 및 인공 데이터 생성, API 관리, 동의 내역 관리, 정보주체 권한 관리 등이 있다.
아울러 정보주체의 정보 보호를 적극적 마케팅 포인트로 삼는 기업이 증가하면서, 정보보호를 별도의 서비스 영역으로 확장한 Privacy as a Service 과금형 사업모델이 등장했다. 정보주체의 권리를 대신 행사해주거나 이를 기업 입장에서 대응하도록 지원하는 서비스도 등장했으며, 일례로 My Data Request 서비스는 정보주체의 개인정보 열람 요청을 자동화하여 처리하며, GDPR Guys, Frontier Privacy, GDPR Form 등의 서비스는 이용자의 개인정보 열람권 요청 시 해당 기업을 대행하여 요구에 대응했다.
보고서는 GDPR이 정보주체의 권리 강화와 개인정보보호 및 사이버보안 강화, 신산업 발전 등 여러 긍정적 효과에도 불구하고 시장 활성화 측면에서는 의도치 않은 부정적 영향을 발휘하면서 국내 법제의 발전 방향에 대한 시사점을 제공한다고 설명했다. 때문에 GDPR의 주요 내용을 그대로 반영하기보다는 국내 상황과 디지털 경제 발전에 맞추어 개인정보 보호와 활용의 균형을 유지하면서 정보주체의 권리와 이익을 확대할 수 있는 방향으로 제도 개선이 필요하다고 강조했다.
[원병철 기자(boanone@boannews.com)]
KISA, ‘개인정보보호 법제의 산업·경제 분야 영향에 관한 주요 연구와 시사점 분석’ 보고서 발표
[보안뉴스 원병철 기자] 전 세계 개인정보보호 법제에 영향을 끼친 EU GDPR이 EU 시장 대상 기업의 매출과 이익에 부정적 영향을 끼친 것으로 조사됐다. 반면 기업 보안담당자와 정보주체들은 GDPR 시행 이후 기업의 사이버보안 태세가 강화됐다는 긍정적인 평가를 내렸다. 한국인터넷진흥원(이하 KISA)는 ‘개인정보보호 법제의 산업·경제 분야 영향에 관한 주요 연구와 시사점 분석-GDPR을 중심으로’란 제목의 보고서를 발표하고 이와 같은 내용을 소개했다.
[이미지=utoimage]
2018년 5월 시행된 GDPR(유럽 개인정보보호법)은 엄격한 규율과 정보주체의 새로운 권리 도입, 막대한 과징금 등이 특징이며, EU를 대상으로 한 모든 교역국을 포괄하는 역외적 성격으로 인해 전 세계적 파급효과를 지녔다. 특히 GDPR의 영향을 받는 글로벌 기업들은 규제 준수를 위해 조직 내 개인정보보호 정책과 절차를 강화했지만, 규정 위반으로 막대한 과징금을 부과 받는 사례가 계속 생기고 있다. 실제로 메타(구 페이스북)는 2022년 3월 아일랜드 데이터보호위원회로부터 GDPR 위반 혐의로 1,700만 유로(약 231억원)의 과징금을 부과 받았고, 아마존과 구글, H&M 등도 과징금을 납부했다.
GDPR이 EU 교역 기업에 미친 영향
미국 경제 전문 비영리기관 NBER(National Bureau of Economic Research, 전미경제연구소)가 발표한 ‘GDPR과 혁신 앱의 잃어버린 세대’ 논문에 의하면 GDPR은 앱스토어 시장의 활성화 측면에서는 부정적 영향을 발휘했다. 2016년~2019년 구글 플레이스토어 내 410만 개의 앱을 분석한 결과, GDPR 시행 이후 구글플레이에 등록된 앱의 3분의 1이 퇴출되었으며 신규로 등록된 앱은 47.2% 감소했다. 또한 GDPR 시행 이후 구글플레이에 등록된 앱 수의 감소로 앱 당 평균 사용자 수는 4분의 1가량 증가했으며, 앱당 평균 사용량도 증가했다. 이는 GDPR 시행 이후 앱 개발비용이 증가하면서, 사용자가 적어 낮은 매출이 예상되는 앱 개발이 감소한 실태를 반영했다. NBER 연구진은 GDPR 시행 이후 구글플레이에 등록된 앱의 감소로 장기적으로 소비자 잉여가 32% 감소하고 총 사용량 및 수익이 30.6% 감소하는 것으로 추정했다.
또한 영국 옥스포드대학교 마틴 스쿨의 연구진이 발표한 ‘GDPR 효과: 개인정보보호 규제가 글로벌 기업 실적에 미친 영향’ 논문에 의하면 EU를 대상으로 하는 기업의 이익과 매출액이 GDPR 시행 이후 평균 8.1%와 2.2% 감소한 것으로 나타났다. GDPR은 기업 실적에 두 가지 방식으로 영향을 미칠 수 있는데, 첫째는 GDPR 준수를 위한 절차와 기술을 채택하는 과정에서 발생하는 비용에 따른 기업 이익 감소이며, 둘째로 GDPR은 정보주체의 동의 없는 제3자 정보 공유를 금지하는 만큼, 데이터 수집 비용이 증가해 온라인 매출액의 감소를 가져올 수 있다는 점이다. 이러한 가정을 EU 시장을 대상으로 하는 기업들의 이익과 매출액 추이를 통해 검증한 결과, 기업들의 이익은 평균 8.1%, 매출은 평균 2.2% 감소했다.
독일 프랑크푸르트 괴테대학교의 연구진이 발표한 ‘개인정보보호 법제가 온라인 사용자 행동에 미친 영향’ 논문에 의하면 GDPR 시행 이후 웹사이트를 방문하는 사용자 수와 사용 강도가 모두 감소한 것으로 나타났다. 연구 결과에 의하면 GDPR의 영향을 받는 웹사이트의 총 방문 수는 단기적으로는 4.9%, 장기적으로는 10% 감소했다.
GDPR이 기업 사이버보안에 미친 영향
그럼에도 불구하고 기업의 사이버보안 담당자들은 GDPR이 기업 사이버보안에 긍정적인 영향을 끼쳤다고 밝혔다. 앞서 소개한 미국 NBER의 ‘GSPR과 혁신 앱의 잃어버린 세대’ 논문에 따르면, GDPR은 이용자의 개인정보보호 측면에서는 긍정적 영향이 확인됐다. GDPR 시행 이후 사용자의 프라이버시를 침해하는 앱 수는 유의미하게 감소한 것. GDPR 시행 이전에 출시된 앱의 약 50%가 사용자에게 1개 이상의 민감한 개인정보에 대한 접근을 요구했으나, GDPR 시행 이후 출시된 앱에서는 비율이 44%로 감소했다. 또한, 출시된 앱의 사용량을 기준으로 할 경우, GDPR 시행 이전과 이후 민감한 개인정보를 요구하는 앱의 사용량은 57%와 47%로 더욱 큰 차이를 나타냈다.
이와 관련 연구진은 상기 분석을 바탕으로 GDPR이 개인정보보호에 미치는 긍정적 영향에도 불구하고 혁신을 둔화시키는 의도치 않은 결과를 낳았다는 결론을 내렸다.
2020년 8월 영국 컨설팅 기업 RSM이 발표한 ‘GDPR이 사이버보안 성과에 미친 영향’ 보고서에 의하면 대부분 기업들은 GDPR의 시행으로 사이버보안이 개선되었으며, GDPR로 인한 변화가 지속적으로 유지되고 있다고 평가했다. GDPR 시행 이전과 비교해 대부분 기업들은 기업 경영진 차원에서 사이버보안의 우선순위가 높아졌으며 사이버보안 투자도 증가했다고 응답했다. 또한 대부분 기업은 사이버 공격에 대응해 개인정보와 개인정보 처리 시스템을 보호하기 위해 새롭거나 개선된 데이터 보호 및 기타 사이버보안 정책과 절차를 도입했다고 응답했다. 아울러 지난 3년간 조직 내 사이버보안 변화에 영향을 끼친 다양한 요소 가운데 ‘GDPR의 시행’을 가장 중요한 요소로 꼽은 응답 비율이 23%로 가장 높게 나타났으며, 19%의 응답자는 ‘GDPR 준수 및 과징금 회피’를 가장 중요한 요소로 꼽았다.
정부출연연구기관인 과학기술정책연구원의 ‘유럽 개인정보보호법(GDPR)의 산업적 파급효과와 혁신기술 이슈 분석’ 보고서는 GDPR의 산업적 기회 요소로 GDPR 준수를 위한 관련 기술 산업의 발전과 Privacy as a Service의 확장을 제시했다. GDPR 준수를 위해서는 법률 자문, 개인정보보호 책임자(DPO, Data Protection Officer) 지정 등 관리 부문과 개인정보보호 조치를 서비스 설계에 반영하기 위한 기술 분야 발전이 필요하므로 관련 시장이 확대될 것이라는 판단이다.
또한, GDPR과 관련된 기술 분야로는 암호화, 데이터 관리 및 확인, 신원확인과 데이터 접근권한 통제, 위험 탐지 및 분석, 테스트 데이터 관리 및 인공 데이터 생성, API 관리, 동의 내역 관리, 정보주체 권한 관리 등이 있다.
아울러 정보주체의 정보 보호를 적극적 마케팅 포인트로 삼는 기업이 증가하면서, 정보보호를 별도의 서비스 영역으로 확장한 Privacy as a Service 과금형 사업모델이 등장했다. 정보주체의 권리를 대신 행사해주거나 이를 기업 입장에서 대응하도록 지원하는 서비스도 등장했으며, 일례로 My Data Request 서비스는 정보주체의 개인정보 열람 요청을 자동화하여 처리하며, GDPR Guys, Frontier Privacy, GDPR Form 등의 서비스는 이용자의 개인정보 열람권 요청 시 해당 기업을 대행하여 요구에 대응했다.
보고서는 GDPR이 정보주체의 권리 강화와 개인정보보호 및 사이버보안 강화, 신산업 발전 등 여러 긍정적 효과에도 불구하고 시장 활성화 측면에서는 의도치 않은 부정적 영향을 발휘하면서 국내 법제의 발전 방향에 대한 시사점을 제공한다고 설명했다. 때문에 GDPR의 주요 내용을 그대로 반영하기보다는 국내 상황과 디지털 경제 발전에 맞추어 개인정보 보호와 활용의 균형을 유지하면서 정보주체의 권리와 이익을 확대할 수 있는 방향으로 제도 개선이 필요하다고 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
