개인정보보호법 시행 1년, 어떤 변화 있었나

아직 따르지 못한다는 기업 절반 웃돌고 100% 규제 준수가 불가능하다는 답변도 20%

11개국의 GDPR 감독기관이 데이터 프라이버시 위반과 관련해 총 5595만5871유로 (약 750억원)에 달하는 벌금을 부과했다. / 사진:MLADEN ANTONOV-AFP/YONHAP

일각에서 우려와 패닉이 일었다. 유럽연합(EU) 개인정보보호법(GDPR)이 임박하면서 기업에 뚜렷한 메시지를 던져줬다. 프라이버시 보호 규칙을 따르지 않으면 구글 신세가 될 수 있다는 것이었다. 구글은 EU 반독점 규제 위반 혐의로 무려 50억 달러의 벌금을 맞을 참이었다. GDPR은 강력한 이빨을 갖고 있었으며 누구든 건드리기만 하면 물릴 판이었다.

지난해 초 기업들은 사람들에 관한 수많은 데이터를 오랫동안 잊힌 서버와 데이터베이스에 저장했었다. 개인정보보호법이라는 적절한 이름으로 불리는 이 규칙에 따라 개인에 관한 데이터를 보유한 기업들은 개인들에게 데이터 이동이나 삭제의 권한을 부여해야 한다. 기업들은 또한 데이터 전담 책임자를 고용하고 해킹으로 데이터가 유출될 경우 곧바로 고객에게 통보해야 한다. 이를 위반할 경우 2000만 유로(약 268억원) 또는 연간 글로벌 매출액의 4% 중 더 큰 금액의 벌금을 맞을 수 있다.

이런 규제는 머신러닝에 의존해 데이터를 수집하는 데이터 업체에 특히 큰 부담을 지웠다. 이런 기업 다수가 전에는 데이터를 대규모로 닥치는 대로 수집하고 공유했지만 앞으로는 훨씬 더 조심스럽게 데이터를 수집해야 한다는 의미였다. GDPR이 지난해 5월 25일 실시됐으니 1년 이상의 기간 동안 어떤 영향을 미쳤는지 알아볼 수 있다. 그 규정이 소비자와 기업 모두에 영향을 미쳤다는 데는 의심의 여지가 없다. 9개월에 걸친 GDPR의 영향 요약보고서에서 유럽데이터보호위원회는 지난 3월 기준으로 20만6326건의 신고가 접수됐으며 데이터 프라이버시 관련 신고가 10만 건에 육박했다고 밝혔다. 11개국의 GDPR 감독기관이 총 5595만5871유로(약 750억원)에 달하는 벌금을 부과했다.

데이터 프라이버시를 보장하는 임무를 맡은 EU 감시단체들은 줄기차게 그 규칙을 집행해 왔다. 거의 모두가 신고(그리고 벌금)를 피하지 못했다. GDPR 규정에 따라 청구서를 받은 기업 중에는 구글과 페이스북 같은 대형 데이터 업체도 있지만 중소 업체들도 감시망을 빠져나가지 못했다. 예컨대 노르웨이의 한 지자체는 공용저장 구역에서 학생·근로자 3만5000명의 로그인 정보가 담긴 한 개의 파일이 현지 GDPR 검사관들에게 발견돼 17만 유로의 벌금을 물었다.

데이터를 자동으로 선별·스캔·분류하는 새로운 시스템을 구축해 GDPR이 요구하는 이용자 데이터 관련 태도 변화에 맞출 필요가 있다. / 사진:WEF

EU가 규제 수준에 부응할 시간을 기업에 주면서 ‘느슨하게 대응했음’에 유의해야 한다. 1년여가 지난 지금 국제프라이버시전문가협회(IAPP)의 조사에선 규제준수 이행에 수십억 달러를 지출했음에도 아직 GDPR을 따르지 못한다는 기업이 절반을 웃돌았다. 100% 규제 준수가 가능하다고 보지 않는다는 답변도 20%에 달했다.

기업에 요구되는 준법수준에 도달하려면 ‘큰 총(big guns)’을 꺼내 들어야 한다. 이 경우엔 데이터 이동 과정을 자동으로 추적하고 준법에 무엇이 필요한지 찾도록 돕는 도구다. 기업에 최대 취약점 중의 하나는 메타데이터다. 데이터베이스와 데이터 저장 시스템의 정보 분류에 사용되는 라벨을 가리키는 말이다. GDPR 아래에서는 기업이 개인에 관한 특정 개인정보를 삭제하고자 할 경우 모든 곳에서 삭제되도록 해야 하는데 결코 간단한 작업이 아니다. 예컨대 기업이 한 이용자의 신용카드 번호를 삭제할 때 정보가 저장된 모든 보고서·데이터베이스·ETL(추출·변환·적재) 툴을 살펴봐야 한다. 그러려면 보통 사업정보팀이 수작업으로 일일이 집중적이고 광범위한 데이터 매핑을 해야 한다.

사업정보팀은 수작업으로 데이터를 검사해야 하며 조직의 사업정보 환경 내에서 어디를 살펴봐야 할지 알아내기가 불가능한 경우도 많다. 수동 데이터 매핑 과정에 수 주 또는 수개월이 걸릴 수 있으며 실수가 발생하고 정확도가 떨어지기 쉽다.

머신러닝 시스템을 이용한 데이터 출처 검사는 특히 GDPR 준수 압력을 감안할 때 훨씬 더 효율적이다. 데이터를 자동으로 선별·스캔·분류하는 새로운 시스템을 구축해 GDPR이 요구하는 이용자 데이터 관련 태도 변화에 맞출 필요가 있다. 기술이 발전하면서 공개되는 이용자 관련 데이터가 나날이 늘어난다. 그에 따라 그런 데이터의 처리를 담당하는 기업들이 고객들 사이의 평판과 법적 지위 측면에서 갈수록 중추적인 역할을 맡게 된다. 불법적으로 저장된 데이터를 사업정보팀이 수작업으로 일일이 찾아내고 그것이 회사 준법 시스템의 토대가 되기를 기대하는 것은 비현실적이다. 체계적이고 자동화된 데이터 감독의 실행은 만시지탄의 감이 있다.

GDPR은 이젠 ‘다가오는’ 중이 아니라 이미 우리 앞에 닥쳤다. 집행과 그에 따르는 페널티는 명백한 현실이 됐다. 그런 페널티를 피하고자 하는 기업은 가능한 한 빨리 데이터 감독체제를 정비해야 한다.

– 암논 드로리

※ [필자는 자동 메타데이터 관리 업체 옥토파이의 공동창업자 겸 CEO다.]