2018.05.18

"아태지역 기업 71%, GDPR 준비 안 됐다"

Divina Paredes | CIO Australia
GDPR 시행일 5월 25일이 코앞으로 다가왔지만 아태지역에서 이에 대비한 기업은 29%에 불과한 것으로 나타났다.

ISACA가 최근 공개한 'GDPR 준비 상황 조사' 보고서를 보면 현재 기업의 준비 정도와 가장 큰 애로점, 향후 계획 등을 확인할 수 있다. GDPR은 EU의 새 정보보호 규정으로 유럽내에서 활동하는 기업은 물론 유럽 시민의 정보를 활용하는 모든 기업에 적용된다. 5월 25일부터 본격 시행된다.

이번 조사는 지난 4월 ISACA 회원 중 약 6000명을 대상으로 실시했다. 조사 결과, 기업 대부분은 이 시행일까지 준비를 마치지 못하는 것으로 나타났다. 응답 기업의 절반인 51%는 올 연말까지 GDPR 대비를 마칠 수 있을 것으로 예상했고, 40%는 언제 마칠 수 있을지도 모르겠다고 답했다.

이번 조사 결과 GDPR 관련해서 기업이 가장 힘들어하는 점은 <그림 1>과 같이 5가지였다. 이어 6위는 비용(33%)이었다. 응답 기업의 약 20%가 GDPR 준수 관련 예산으로 100만 달러 이하를 책정했고, 14%는 100만 달러 이상이었다. 나머지 2/3는 어느 정도 비용이 들지 모르겠다고 답했다.

<그림 1> GDPR 준비 과정의 어려움

ISACA에 따르면, GDPR에서 규정하는 데이터 보호는 특정 지역이나 업계의 문제가 아니다. 전 세계 규모로 적용된다. 보고서는 "디지털 경제는 전 세계적인 것으로, 국경이 없다. 업종간 융합도 활발해 온라인 유통업체가 금융과 은행 서비스를 제공하기 시작했다. 업종간의 경계가 허물어지고 있는 것이다. 이런 사례가 더 늘어날 것이다"라고 전망했다.

이에 따라 ISACA는 기업이 생태계 측면을 고려해야 한다고 조언했다. 상거래와 법적 규제, 커뮤니케이션 측면에서 전 세계 규모로 연결된 생태계로, 이는 이미 현대 문명의 일부가 됐다. 보고서는 "생태계 관점에서 데이터 보호를 고려해 이 생태계를 더 단단하게 만들기 위해 노력해야 한다. 전 세계에 걸쳐 이 생태계를 더 강건하게 만들어야 한다"라고 설명했다.

이것은 GDPR 같은 데이터 보호 공공 정책이 예외적인 규제가 아니라 전 세계적인 표준이 될 가능성이 매우 높다는 것을 의미한다. 새로운 기술이 등장해 데이터 보호에 영향을 주면, 이런 우려에 대응하는 새로운 데이터 보호 법률과 규제를 마련하는 논의로 이어진다는 것이다.

또한, 이는 GDPR의 다음 버전 작성에 참여하는 이해당사자가 더 넓고 깊게 종합적인 시야를 가져야 한다는 것을 가리킨다. 공공과 개인 분야, 학계, NGO 커뮤니티 등 가능한 한 다양한 측면과 수준을 검토해야 한다. ISACA는 "데이터 중심의 미래가 본격적으로 도래하기 전에 이에 대비해야 할 시점이다"라고 지적했다.

이번 조사의 또다른 흥미로운 결과는 GDPR과 이에 따른 역할에 대한 직원 교육의 실태를 파악한 것이다. 현재 속한 기업에서 GDPR을 준수하기 위해 지켜야할 의무에 대해 만족스러운 수준으로 교육을 받았다는 응답이 42%에 불과했다.

ISACA의 GDPR 워킹 그룹 의장인 크리스 K. 디미트라이어디스는 "직원 인식과 교육은 GDPR 규제의 핵심적인 부분이다. 잘 정의된 보안과 데이터 관리, 프라이버시 정책과 절차에 대한 인식이 기업 최고 경영자부터 말단 직원까지 기업 문화의 일부로 통합돼야 한다"라고 말했다.

다행인 것은 APAC 지역의 기업 임원 대부분이 GDPR과 그 영향의 중요성에 대해 인식하고 있다는 점이다. 조사 결과 응답자의 2/3인 66%가 현재 속한 기업의 임원이 GDPR 준수를 중요한 업무로 인식하고 있는 것으로 보인다고 답했다. 또한, GDPR에 대한 가시적인 혜택도 예상하고 있었는데, 가장 기대되는 혜택 3가지를 꼽으면 <그림 2>와 같았다.

<그림 2> GDPR에 따른 긍정적 효과

이번 조사를 재정적으로 지원한 티투스(TITUS)의 CEO 팀 업톤은 "기업이 GDPR과 관련 규정을 충족하는 가장 실용적이고 비용 효과적인 방법은 직원에게 그들이 일상적으로 다루는 정보가 사업적으로 얼마나 큰 가치를 가졌는지 이해시키는 것이다. 업무 처리 과정에서 데이터를 다루고 보호하는 것 관련해서 직원이 그들의 책임을 더 잘 알 수 있도록 해야 한다. 기업도 돈을 벌고 고객과 직원의 신뢰를 유지하는 것에 더 많은 관심을 가져야 한다"라고 말했다. ciokr@idg.co.kr 

2018.05.18

"아태지역 기업 71%, GDPR 준비 안 됐다"

Divina Paredes | CIO Australia
GDPR 시행일 5월 25일이 코앞으로 다가왔지만 아태지역에서 이에 대비한 기업은 29%에 불과한 것으로 나타났다.

ISACA가 최근 공개한 'GDPR 준비 상황 조사' 보고서를 보면 현재 기업의 준비 정도와 가장 큰 애로점, 향후 계획 등을 확인할 수 있다. GDPR은 EU의 새 정보보호 규정으로 유럽내에서 활동하는 기업은 물론 유럽 시민의 정보를 활용하는 모든 기업에 적용된다. 5월 25일부터 본격 시행된다.

이번 조사는 지난 4월 ISACA 회원 중 약 6000명을 대상으로 실시했다. 조사 결과, 기업 대부분은 이 시행일까지 준비를 마치지 못하는 것으로 나타났다. 응답 기업의 절반인 51%는 올 연말까지 GDPR 대비를 마칠 수 있을 것으로 예상했고, 40%는 언제 마칠 수 있을지도 모르겠다고 답했다.

이번 조사 결과 GDPR 관련해서 기업이 가장 힘들어하는 점은 <그림 1>과 같이 5가지였다. 이어 6위는 비용(33%)이었다. 응답 기업의 약 20%가 GDPR 준수 관련 예산으로 100만 달러 이하를 책정했고, 14%는 100만 달러 이상이었다. 나머지 2/3는 어느 정도 비용이 들지 모르겠다고 답했다.

<그림 1> GDPR 준비 과정의 어려움

ISACA에 따르면, GDPR에서 규정하는 데이터 보호는 특정 지역이나 업계의 문제가 아니다. 전 세계 규모로 적용된다. 보고서는 "디지털 경제는 전 세계적인 것으로, 국경이 없다. 업종간 융합도 활발해 온라인 유통업체가 금융과 은행 서비스를 제공하기 시작했다. 업종간의 경계가 허물어지고 있는 것이다. 이런 사례가 더 늘어날 것이다"라고 전망했다.

이에 따라 ISACA는 기업이 생태계 측면을 고려해야 한다고 조언했다. 상거래와 법적 규제, 커뮤니케이션 측면에서 전 세계 규모로 연결된 생태계로, 이는 이미 현대 문명의 일부가 됐다. 보고서는 "생태계 관점에서 데이터 보호를 고려해 이 생태계를 더 단단하게 만들기 위해 노력해야 한다. 전 세계에 걸쳐 이 생태계를 더 강건하게 만들어야 한다"라고 설명했다.

이것은 GDPR 같은 데이터 보호 공공 정책이 예외적인 규제가 아니라 전 세계적인 표준이 될 가능성이 매우 높다는 것을 의미한다. 새로운 기술이 등장해 데이터 보호에 영향을 주면, 이런 우려에 대응하는 새로운 데이터 보호 법률과 규제를 마련하는 논의로 이어진다는 것이다.

또한, 이는 GDPR의 다음 버전 작성에 참여하는 이해당사자가 더 넓고 깊게 종합적인 시야를 가져야 한다는 것을 가리킨다. 공공과 개인 분야, 학계, NGO 커뮤니티 등 가능한 한 다양한 측면과 수준을 검토해야 한다. ISACA는 "데이터 중심의 미래가 본격적으로 도래하기 전에 이에 대비해야 할 시점이다"라고 지적했다.

이번 조사의 또다른 흥미로운 결과는 GDPR과 이에 따른 역할에 대한 직원 교육의 실태를 파악한 것이다. 현재 속한 기업에서 GDPR을 준수하기 위해 지켜야할 의무에 대해 만족스러운 수준으로 교육을 받았다는 응답이 42%에 불과했다.

ISACA의 GDPR 워킹 그룹 의장인 크리스 K. 디미트라이어디스는 "직원 인식과 교육은 GDPR 규제의 핵심적인 부분이다. 잘 정의된 보안과 데이터 관리, 프라이버시 정책과 절차에 대한 인식이 기업 최고 경영자부터 말단 직원까지 기업 문화의 일부로 통합돼야 한다"라고 말했다.

다행인 것은 APAC 지역의 기업 임원 대부분이 GDPR과 그 영향의 중요성에 대해 인식하고 있다는 점이다. 조사 결과 응답자의 2/3인 66%가 현재 속한 기업의 임원이 GDPR 준수를 중요한 업무로 인식하고 있는 것으로 보인다고 답했다. 또한, GDPR에 대한 가시적인 혜택도 예상하고 있었는데, 가장 기대되는 혜택 3가지를 꼽으면 <그림 2>와 같았다.

<그림 2> GDPR에 따른 긍정적 효과

이번 조사를 재정적으로 지원한 티투스(TITUS)의 CEO 팀 업톤은 "기업이 GDPR과 관련 규정을 충족하는 가장 실용적이고 비용 효과적인 방법은 직원에게 그들이 일상적으로 다루는 정보가 사업적으로 얼마나 큰 가치를 가졌는지 이해시키는 것이다. 업무 처리 과정에서 데이터를 다루고 보호하는 것 관련해서 직원이 그들의 책임을 더 잘 알 수 있도록 해야 한다. 기업도 돈을 벌고 고객과 직원의 신뢰를 유지하는 것에 더 많은 관심을 가져야 한다"라고 말했다. ciokr@idg.co.kr 

X