영국, EU 정보보호법 대비 사이버보안 수요 급증

- 영국 기업들, EU 정보보호법 대응 위해 보안 체질 개선 돌입 -

- 개인정보 관리에 중점, 데이터베이스 관리 SW, 서버 설비 등 수요 증가 -

□ EU 정보보호법 발표 앞두고 기업들 대응책 마련 분주

 ○ EU는 4년에 달하는 긴 논의 끝에 지난 2015년 12월에 새로운 정보보호법 법안에 대한 잠정합의에 도달했으며, 2016년 2월에는 이 법에 포함되는 일반정보보호규정(GDPR: General Data Protection Regulation) 세부 규정까지 확립, 의회를 통과시키는 데 성공

 ○ 2017년부터 발효되고 2년의 유예기간이 있는 이 법은 예전부터 논의돼 오는 GDPR 방식의 보호체계 개념에 따라 기업이 정보를 수집하기 전 단계에서부터 사전에 정보보호 체계를 갖추어놔야 함.

 ○ 또한, 전 세계 어느 곳에 소재한 기업일지라도 EU 시민의 정보를 수집한다면 이 법의 제재대상으로 간주돼 글로벌 매출의 4%까지 벌금을 내게 되며, 이는 사실상 전 세계에서 인터넷을 쓰는 모든 기업들이 해당되기 때문에 대다수 기업들이 반강제적으로 이 규제의 적용을 받게 됨.

□ EU 정보보호법, 무엇이 달라지나?

 ○ 새 법안에 따르면 기업들은 수집한 개인 정보를 당사자의 동의 없이는 공개할 수 없으며, 소비자들의 분명한 동의를 받아야만 개인정보를 사용할 수 있음.

 ○ 기업은 또한 정보보호 위반 사건이 발생하면 72시간 내에 신고해야 하며, 이후 전문가들의 조사를 받아야 함.

  - 조사 결과 해당 기업의 위법사실이 적발되면 전 세계 연 매출액의 4%에 달하는 벌금이 부과될 수 있음.

 ○ 2018년 5월 25일부터는 GDPR에 잊혀질 권리가 추가 적용되므로, 이 시점부터는 고객의 요구에 따라 정보를 삭제해야 하며, 신규고객 정보 수집 시 정보의 삭제 절차 및 과정에 대해 고객에게 사전 공지를 해야 함.

 ○ 정보보호의 법적 책임 주체는 해당 정보를 수집한 기업으로, 해당 기업은 자체적으로 정보를 보호하는 체계(DB 해킹 방어 설비, 암호화 등)를 도입하고 이를 관리하고 책임을 지는 전담자인 DPO(Data Protection Officer)를 두어야 함.

 ○ EU 역내에 서버를 두거나 직접 영리활동을 하지 않는 외국기업이라도 인터넷을 통해 EU 시민의 정보를 취급하게 되는 경우 자동으로 이 법의 제재대상이 됨.

  - 유럽사법재판소(ECJ)는 지난 2014년, 오스트리아 대학생이 구글(Google), 페이스북(Facebook) 등 미국 기업들의 정보 수집과 미국 서버로의 전송이 EU 시민의 프라이버시 권리를 침해했다고 제소한 사건에 대해 유럽 각국이 유럽 가입자의 정보를 미국으로 전송하는 인터넷 기업의 행위를 저지할 수 있다고 판단

  - GDPR 발효 전인 현재에도 디지털 정보의 속인주의 원칙은 작동하고 있으나, 발효 이후에는 현지 기업과 개인의 고소 없이도 EU 각국의 정보관리 당국이 직접 기소할 수 있게 됨.

□ 규제 준수 위한 정보보호 관련 제품 수요 증가세

 ○ 영국 사이버보안 산업 수요 증가

  - 2017년부터 EU 내 모든 기업들이 고객정보 보호의 직접 법적책임 주체가 돼 사고 발생 시 형사처벌되고, 기업은 선제적 정보보호 시스템을 운영해야 하는 의무가 주어짐. EU시민과 상업적으로 접촉하는 모든 기업은 서버 소재지와 무관하게 EU법이 자동 적용되므로 서버 장비 및 보안 SW에 대한 수요가 증가함.

  - 영국 세무청(H.M. Revenue & Customs) 통계에 따르면, 2015년 4분기에 영국의 상업용 서버 수입량은 전년동기대비 약 12.4% 증가

  - 영국 영세기업가협회 IoD(Institute of Directors)가 지난 4월 28일 실시한 GDPR 대비 설문조사 결과, 영국 기업인들 중 34%가 규제준수(compliance) 예산 편성이 완료된 상태라고 답했으며, 12%는 2016년 중 예산 편성이 완료될 계획이라고 답한 상황

  - 컨설팅기업 이노베이터캐피털(Innovator Capital)의 멍고 파크 회장에 따르면, GDPR 준수에 따른 경제적 파급효과를 속단하기는 어려우나, “온라인 서비스를 주력으로 하는 글로벌 IT기업은 준수비용이 수천만 파운드에 달할 것으로 예상되며, 일반 소매상점이나 식당과 같은 기업들도 DPO 인건비 및 암호화 정보관리 시스템 도입 비용 등으로 최소 6만~7만 파운드의 투자가 필요할 것으로 보고 있다”고 밝힘.

  - 또한, 개인정보를 수집하는 모든 기업들은 정보보호책임자(DPO) 직위 신설로 인한 인건비 부담도 증가될 것으로 예상됨.

□ 시사점 및 전망

 ○ 영국 등 EU시장에 직접 진출하지 않은 기업이라도 온라인 특성상 EU 시민 개인정보에 노출되는 것은 불가피하므로, GDPR 발효 전 규제 준수 필요

  - 정보가 저장되기 전 수집단계에서부터 암호화가 필요하기 때문에 웹사이트 및 앱 등의 서비스에 암호화 알고리즘을 새롭게 적용하고 DB화 작업을 위한 투자가 선행돼야 함.

  - (참고) 가이드라인: http://ec.europa.eu/justice/data-protection/reform/index_en.htm

 ○ 중국, 일본 등 대부분의 경쟁국들이 GDPR 대응에 더딘데 비해 한국은 정부 차원에서 국내기준을 EU와 합치시키려 하고 있어 많은 한국 기업들이 국내 규제환경이 정립되기를 기다리며 선제적 대응을 하지 않는 경우가 많으나, 현지 전문가들은 한-EU 정부 간 교섭이 무산될 가능성을 지적하며 기업들이 자발적으로 규제 준수 작업을 추진할 것을 권고

  - 한국의 경우, 행정자치부 주도로 지난 2015년 말부터 'EU 개인정보 보호수준 적정성 평가'를 추진해 EU와 역외 정보 이전 문제에 대한 협력관계를 구축 시도 중. 이를 통해 한국 기업들이 EU에서 영업활동에 필요한 개인정보를 국내로 전송해 처리해야 할 때 EU 회원국과 사전에 역외이전 계약을 체결해 별도 심사없이 정보의 역외반출을 가능하도록 할 계획

  - 따라서 한국 정부는 EU와의 협의를 통해 GDPR 발효 시기인 2017년 상반기 중 정보관리 적정국 승인을 받을 계획. 이에 따라 EU에 진출한 한국 기업들은 개인정보 보호와 관련해 EU 기업과 동일한 조건에서 영업활동이 가능해지고, 추가 절차없이 EU 시민의 개인정보를 우리나라로 이전해 활용할 수 있게 될 것으로 기대

  - 그러나, EU가 역외이전을 인정하고 있는 국가는 스위스, 뉴질랜드, 이스라엘, 아르헨티나 등 제한적이므로 기업들은 자발적으로 EU GDPR 대응작업에 돌입하는 것이 리스크를 최소화할 수 있는 방법임.

 ○ 영국 사이버보안산업 수요 증가 기대됨에 따라 이 분야 진출 기회 모색 필요

  - EU 정보보호법의 강화로 영국 기업들이 자체 보안망에 대한 체질 개선에 돌입함에 따라, 데이터베이스 관리 SW, 서버 설비 등 구매 수요 확대뿐만 아니라 관련 분야의 전문인력 확충이 예상되므로 이 분야 진출 기회에 적극적인 관심을 가질 필요가 있음.

자료원: EU Commission, Ofcom, KOTRA 런던 무역관 자료 종합