"EU 데이터 유출 신고 6만 건"··· GDPR 제재에 떨고 있는 기업들

CSO
유럽연합(EU)이 GDPR(General Data Protection Regulation)을 본격 시행한 지난해 5월 이후, EU 기업의 데이터 유출 사건은 6만 건에 달한다. 그러나 규제 당국에 의해 벌금이 부과된 것은 현재까지 채 100건이 되지 않는 것으로 나타났다.

© Getty Images Bank

다국적 로펌 DLA 파이퍼(DLA Piper)의 새 보고서를 보면, 2018년 5월 25일에서 2019년 1월 28일(이날은 데이터 보호의 날이다)까지 유럽 위원회에 접수된 데이터 유출 신고는 4만 1502건이다. 그러나 이 통계에는 EU 가입국 28개 중 21개만 포함돼 있다. 노르웨이와 아이슬랜드, 리히텐슈타인(Lichtenstein) 등 EU 회원국이 아니지만 EEA(European Economic Area)의 일부로 GDPR이 적용되는 국가의 통계는 빠져 있다.

DLA 파이퍼의 자체 분석에 따르면, 같은 기간 유럽 전역에서 5만 9430건의 데이터 유출 사고가 발생했다. 네덜란드와 독일, 영국이 가장 많았는데, 각각 1만 5400건, 1만 2600건, 1만 600건으로 전체 데이터 유출 신고의 2/3에 육박했다. 

GDPR은 기업이 개인정보 유출 사고가 발생했을 때 사고를 인지한 후 72시간 이내에 규제 당국은 물론 정보가 유출된 당사자에게 알리도록 규정한다. 기업에 데이터를 보호하는 강력한 보호 조치도 요구하는데, 이를 어기면 1000만 유로 혹은 해당 기업의 전 세계 연 매출의 2%까지 벌금을 부과할 수 있다.

현재까지 규제 당국은 GDPR 위반에 대해 총 91건의 벌금을 부과했다. 그러나 DLA 파이퍼의 보고서를 보면 이들 모두가 개인정보 유출과 관련된 것은 아니었다. 예를 들어 벌금 최고액 중 하나였던, 프랑스 개인정보보호청(CNIL)의 구글에 대한 벌금 5000만 유로는, 광고 목적으로 개인정보를 처리할 때 필요한 GDPR의 승인을 받지 않은 것이 이유였다.

독일에서는 규제 당국이 한 기업에 2만 유로의 벌금을 부과했는데 직원 암호를 암호화 해시로 제대로 보호하지 않았기 때문이다. 오스트리아에서는 일반 거리를 비추는 승인되지 않은 CCTV 시스템을 운영한 기업에 4800유로의 벌금을 부과했다.

구글 건을 제외하면 벌금 부과 건수와 금액은 알려진 데이터 유출 사고보다 훨씬 적다. 이유 중 하나는 일부 국가의 규제 당국이 늘어난 감시와 조정 업무에 맞춰 여전히 개편을 진행 중이기 때문이다. DLA 파이퍼의 연구자들은 보고서를 통해, "많은 규제 당국이 조직을 확대했고 내부에 데이터 유출에 대한 사건을 쌓아두고 있다. 현재는 조사 인원을 배치할 때 대규모의 중요한 사건에 먼저 배당하는 것으로 보인다. 아직도 많은 기업이 자신이 알린 데이터 유출 사고에 대한 규제 당국의 후속 처분을 기다리고 있는 상황이다"라고 말했다.

고강도 제재를 받을 가능성이 있는 많은 기업이 그동안 GDPR의 데이터 유출 신고 요건을 준수하기 위해 노력해 왔다. 그러나 지역과 문화에 따라 여전히 상당한 격차가 있다. 예를 들어 데이터 유출 신고 건수를 인구수와 연동해 분석하면 네덜란드와 아일랜드, 덴마크는 10만 명 당 데이터 유출 신고 건수가 상위 3개에 해당한다. 독일과 영국은 10위, 11위다. 루마니아, 이탈리아, 그리스는 1.2, 0.9, 0.6건으로 가장 비율이 낮다.

DLA 파이퍼의 연구자들은 "GDPR 아래에서 데이터 유출을 은폐하는 것은 매우 위험한 행위가 될 수 있다"라고 지적했다. ciokr@idg.co.kr