Photo Image

유럽 개인정보보호규정(GDPR) 규정 시행 1년이 지났다. 국내는 아직 위반 사례가 적발되지 않았다. 유럽과 미국 내 주요 기업은 GDPR 변화를 피부로 느낀다. 법 시행 첫날부터 구글, 페이스북 등을 향한 소송전이 이어졌고 일부 국가에서는 실제 벌금 부과도 진행됐다.

1년이 지난 현재 주요 공룡 IT 플랫폼 기업 영향력은 오히려 커졌다. 중소기업 사업기회는 줄었다. GDPR이 추구했던 데이터 규제 표준과는 거리가 먼 변화도 나타난다.

유럽 내에서도 일부 국가는 GDPR 시행을 주저한다. 미국 등 주요국은 독자 노선을 걷는다. GDPR 변화 등에 국내 기업 피해가 없도록 대응하는 한편, 국내 상황을 고려한 데이터 관련 정책이 필요하다는 지적이 나온다.

◇구글, 페이스북 GDPR발표 뒤 전략 변경...광고 등은 쏠림

GDPR은 유럽이 그동안 미국 기업에 빼앗긴 데이터 주도권을 가져오는 동시에 올바른 데이터 활용 등 시장 활성화를 기대했다. 업계 전문가는 GDPR이 시행되면 구글, 페이스북 거대 정보기술(IT) 기업 사업과 수익성에 영향을 주는 만큼 시장에 새로운 기회가 생길 것으로 예상했다.

GDPR을 준수하기 위해 이전보다 높은 개인정보 보호를 제공하기 위한 추가 비용이 발생한다. 뿐만 아니라 유럽 이용자 자발적 탈퇴, 유럽 대상 서비스 제한으로 글로벌 기업 시장 축소가 예상됐다. 법안 시행 전부터 유럽 시민단체 소송과 감독 당국 법금 부과 등이 예상 돼 법률 비용 증가로 거대 IT기업이 타격을 받을 것으로 봤다.

실제 법이 시행되자마자 구글과 페이스북이 제소 당했다. 개인정보보호단체 'Noyb'가 프랑스, 독일, 오스트리아, 벨기에 등에서 구글과 페이스북, 인스타그랩, 왓츠앱 등을 GDPR 위반으로 제소했다. Noyb는 “구글과 페이스북 등 서비스를 이용하려면 개인정보 사용에 무조건 동의해야 한다며 GDPR 위반”이라고 주장했다.

올해 1월 프랑스는 구글이 GDPR 조항 두 가지를 위반했다며 벌금 약 5000만유로를 부과했다. 독일, 포르투갈, 폴란드, 덴마크 등 유럽 역내에서는 최소 몇백만원부터 최대 수십억원 크고 작은 소송, 벌금 부과가 이어졌다. 올해 1월 기준 유럽 내 GDPR 관련 민원접수는 9만5000건 이상에 달했으며, 유출사건도 5만9000건 이상 접수됐다.

Photo Image

하지만 유럽 내에서 거대 IT 기업에 대한 부정적 영향은 확인되지 않았다. 전문가 예상과 달리 GDPR 시행 이후 구글, 페이스북 매출, 이용자 수에는 큰 변동이 없었다. 오히려 상승세가 지속됐다. 모바일마케터가 1월 공개한 자료에 따르면 페이스북 2018년 4분기 매출은 전년 동기보다 61% 증가한 69억달러 순이익을 올렸다. 4분기 월간 기준 사용자 수는 23억2000만명으로 전년 같은 기간보다 9% 증가했다.

광고시장 변화도 마찬가지다. 유럽 광고 물량은 오히려 구글과 페이스북으로 더 집중됐다. 엄격한 GDPR 규정을 준수할 충분한 자원과 인력을 보유한 대형 기업에게 광고를 집중했다. 구글과 페이스북은 GDPR 관련 인력 추가 채용, 개인정보를 제외한 콘텐츠 활용 마케팅 상품 개발에 나서는 등 자구책 마련에도 힘썼다.

블룸버그에 따르면 GDPR이 적용되기 이틀 전 유럽 광고주 마케팅 자금 50%가 구글에 유입했던 반면, GDPR시행 첫날 마케팅 자금 95%가 구글에 쏠렸다고 보도했다.

정일영 과학기술정책연구원(STEPI) 신사업전략연구단 부연구위원은 “데이터를 보호 하고 지킬 수 있는 기업은 결국 돈이 많은 구글, 페이스북이기 때문에 광고, 데이터는 계속 이들 기업에게 몰릴 수밖에 없다”면서 “마이크로소프트(MS)등 거대 기업도 자신들의 서비스를 통해 GDPR을 준수할 수 있다는 마케팅이 가능한 것은 그만큼 자본을 이용해 대비를 했기 때문”이라고 지적했다.

◇중소기업 등 유럽시장 진출 포기?...국내 기업은 집계조차 안돼

구글, 페이스북 영향력 강화뿐 아니라 중소 사업자 사업기회 박탈 가능성이 제기된다. GDPR 위반 시 최대 글로벌 매출 4%에 달하는 벌금을 부과 받거나 데이터 이동권 등 기술적 요구사항 준수를 위해 많은 비용이 필요하기 때문이다. 개별 중소 사업자는 단순히 GDPR뿐 아니라 유럽 각 국가가 마련한 개인정보보호법까지 준수해야 해 부담이 가중된다.

실제 미국 온라인 서비스 기업이 GDPR 준수에 들어가는 비용을 고려해 유럽시장 진출을 포기하는 현상까지 나타났다. 지난해 마테크투데이는 미국 뉴스사이트 1/3이 접속지 IP주소기반으로 EU 사용자를 차단했다고 보도했다.

최경진 가천대 교수는 “글로벌 사업자 서비스를 이용할 수밖에 없는 이용자는 GDPR에 따른 고지와 동의를 거부할 수 없다”면서 “반면 중소 사업자, 스타트업이 제공하는 서비스는 보다 신중하게 동의 여부를 결정할 가능성이 높아 장벽으로 여길 수밖에 없다”고 설명했다.

한국은 현황 집계조차 어려운 상황이다. 한국인터넷진흥원(KISA) 등에 따르면 아직까지 GDPR준수 문제로 유럽 내 사업을 포기한 사례는 없다. 2018년 기준 230여건 관련 상담을 했으며 GDPR 적용여부, 개인정보 역외이전, 대리인 및 개인정보보호책임자(DPO) 지정 등에 집중됐다. 이외 산업군, 기업별 GDPR영향 등은 별도 조사는 하지 않았다.

국내기업 적용여부 등은 집계되지 않았다. 실제 게임사 등 일부 기업은 네이버 등 대기업에 관련 법제도를 문의하는 등 스스로 자구책을 찾기도 했다.

정 부연구위원은 “국내서는 어떤 기업이 어떻게 영향 받았는지 파악조차 못하는 실정”이라면서 “GDPR이 얼마나 영향을 미치는지 현황을 먼저 파악해야 향후 계획 등을 세울 것”이라고 덧붙였다.

Photo Image

◇“GDPR 만능론 경계하되, 새로운 사업기회 찾아야”

GDPR 만능론을 경계해야 한다는 목소리도 나온다. GDPR은 글로벌 데이터 시장 표준이 될 것으로 전망했으나 현재 12개 회원국만 GDPR 시행법을 채택했다. 16개 회원국은 여전히 법률 입안 중이다. 미국도 캘리포니아가 관련 법안 제정을 위한 활동을 보이지만 이외 주는 별다른 움직임이 없다.

GDPR에 쏠린 시선만큼 이외 법안에 대한 균형 있는 시각 등도 필요하다. GDPR 타당성은 적극 발굴하고 이외 부분은 냉정하게 평가해 국내 상황에 적합한 법제도 개선에 나서야 한다. GDPR 등 법안도 유럽 내 문화 등을 반영해 법이 만들어진 만큼 국내 상황과 부합하지 않는 부분도 있기 때문이다.

최광희 한국인터넷진흥원(KISA) 개인정보정책단장은 “유럽 내에서도 GDPR 법 제정을 미루기도 하고 웹사이트 배너증가, 일부 서비스 유럽배제 등 역효과도 발생한다”고 말했다.

최 교수는 “GDPR은 현재보다 미래 데이터 경제 시대 중요성이 더해질 법령으로 현실적으로 당장 국내 사업자가 준수해야 할 법령도 많다”면서 “외국법제인 GDPR과 다른 규제법령에 대해 고루 관심을 갖고 대응노력을 하는 것이 중요하다”고 말했다.


GDPR 시행1년차로 글로벌 기업이 해당 법안에서 새로운 사업기회를 찾는 것처럼 국내서도 다양한 사업 진출 기회가 있다. GDPR 준수를 위한 법률 자문, DPO 지정 등이 따라야 한다. 암호화, 데이터 관리·확인, 신원확인·데이터 접근권한 통제, API관리 등 다양한 보안 산업에 새로운 사업 기회가 열렸다.


정영일기자 jung01@etnews.com