나래인포시스템

일찌감치 GDPR 준비한 구글, 어떻게 대응했나

 
업데이트 약관, CMO 체크리스트, 파트너 웹사이트 등 GDPR 대응방안 11 가지
 

[보안뉴스 김경애 기자] 오는 5 월 25 일부터 유럽 개인정보보호법(GDPR)이 본격 시행됨에 따라 기업들의 우려도 커지고 있다. 이러한 가운데 세계 최대 IT 기업인 구글의 준비상황에 대한 관심도 뜨거워지고 있다. 구글의 경우 데이터 보호 솔루션을 자체 개발해 운영하고 있으며, 파트너를 위한 웹사이트 지원 등 파트너들의 효과적인 대응을 돕는데도 만전을 기하고 있다. 이에 본지는 구글의 GDPR 대응사례에 대해 소개하고자 한다.
 

[이미지=구글코리아]
 
구글은 GDPR 준수를 위해 “수년 동안 많은 시간을 투자해 유럽의 데이터 보호 당국과 긴밀히 협력했으며, 이미 당국의 지침을 반영하는 개인정보보호를 구현했다”며 “새로운 법률 준수를 위해 파트너와 협력해 나갈 것”이라고 밝혔다.

 1. 업데이트된 약관 개인 데이터를 처리하게 되는 경우, 구글은 애드워즈 고객 일치 타겟팅, 애드워즈 스토어 판매(직접 업로드) 등에 관해 2018 년 5 월까지 관리업체와 처리업체의 의무를 반영해 계약을 업데이트하고 요구되는 데이터 처리 계약을 제공할 것이라고 밝혔다. 또한, 구글과 고객이 개인 데이터를 독립적으로 관리하는 온라인 광고 제품의 경우, 계약을 업데이트하거나 관리 주체 간 데이터 보호 약관을 작성했다. 
 
2. CMO 체크리스트 구글은 마케팅 담당자에게 조직 내의 규정 준수 계획을 확인해 보도록 권장한다는 계획이다. 조직에서 어떻게 사용자 투명성을 보장하고 데이터 사용을 제어하는지, 조직에서 GDPR 의 요구에 따라 필요한 올바른 동의를 받았는지, 조직이 사용자 선호도와 동의를 기록하기 위한 시스템을 올바르게 갖추고 있는지, 조직이 GDPR 의 원칙을 준수하며 책임 있는 조직이라는 것을 규제기관과 파트너에게 어떻게 보여줄 것인지에 대해 집중적으로 체크할 방침이다.
 
3. 보호 장치 보호 장치 측면에서 구글은 최신 기술 및 조직적인 보호장치 구현과 함께 전담 보안팀 및 개인정보보호팀의 지원을 받고 있다. 구글의 프로그램은 매년 제 3 자 감사기관의 심사를 받고 있는 것으로 알려졌다. 
 
4. 사고 대응 사고 대응 측면에서는 향후 업데이트되는 계약의 데이터 사고 조항에 따라 고객 데이터와 관련된 사고를 즉시 통지할 것이라며, 첨단 위협 탐지 및 회피 기술과 엄격한 사고관리 프로그램을 연중무휴로 항상 유지하고 있다고 밝혔다. 또한, 사용자가 보안 또는 개인정보보호와 관련된 사건(GPDR 에 따른 개인정보 침해 포함)을 식별하고, 이에 곧바로 대응할 수 있도록 관련 투자 확대와 정보 공유에도 만전을 기하고 있다. 
 
5. 사용자 투명성 광고 제품과 관련해서는 데이터 이용에 관한 투명성을 지속적으로 강화하고, EU 사용자에게 광고 맞춤 설정을 위해 데이터를 이용할 수 있는 권한을 요청할 방침이다. 또한 ‘이 광고가 표시된 이유’를 통해 실시간으로 데이터 이용 현황을 투명하게 공개할 예정이다. 이에 대해 사용자는 광고 설정을 사용해 광고 개인 최적화와 구글에서 표시하는 모든 광고, DoubleClick 상품에 표시되는 광고에 이용되는 데이터를 제어할 수 있게 된다.
 
6. 국가간 데이터 전송 구글은 다양한 국제 데이터 전송 매커니즘을 제공하고, 인증된 조직이 유럽연합 데이터 보호법에 부합하는 수준의 보호장치를 제공하도록 보증하고 있다. 이에 대해서는 EEA 및 스위스에서 미국으로 개인 데이터를 전송하도록 허용하는 법적 매커니즘인 유럽연합과 미국 간, 스위스와 미국간 프라이버시 실드 프레임워크 인증을 획득했다. 2017 년 9 월 25 일에는 미국 상무부로부터 유럽연합과 미국 간 프라이버시 실드 인증의 연례 갱신을 승인받았으며, 2017 년 4 월 18 일에 스위스와 미국 간 프라이버시 실드 인증을 승인받았다. 또한, 구글은 서비스에 따라 EU 에서 승인한 모델 계약 조항을 제시하고 있다. 이외에 GDPR 에 따라 국제 데이터 전송 매커니즘을 지속적으로 모니터링할 예정이다.
 
7. 개인정보보호 관행 개인정보보호 관행과 관련해 구글은 “이미 초창기부터 제품에 개인정보보호 프로세스를 적용하고 있다”며 “‘설계 단계부터의 개인정보보호(Privacy by Design)’ 및 ‘기본적인 개인정보 보호(Privacy by Default)’에 관한 GDPR 의 요구사항을 충족하기 위해 데이터 보호 영향평가와 같은 조항을 더욱 발전시키고 있다”고 밝혔다.
 
8. 파트너 퍼블리셔를 위한 솔루션 세트 지원 구글은 파트너를 위한 솔루션 세트도 지원할 계획이다. 예컨대 AdSense for Content, AdSense for Games, AdMob 등에 대한 새로운 통제 솔루션을 출시해 유럽 사용자를 대상으로 온라인 및 모바일 광고를 측정하고 퍼블리싱하는 서드파티 업체를
관리할 수 있도록 지원할 방침이다. 
 
특히, 표적 광고를 위한 데이터 수집을 거부하는 소비자에게 개인화되지 않은 광고만 표시할 수 있는 솔루션을 출시할 계획이다. 이와 함께 구글 애널리틱스(Google Analytics) 사용자들이 데이터 보유 및 삭제 문제를 더욱 잘 관리할 수 있는 툴과 어린이의 PII 처리를 제한하기 위한 단계들을 제시하고, 5 월 GDPR 시행에 앞서 솔루션 세트에 대한 상세사항을 공개할 예정이다.
 
9. 고객 및 파트너들을 위한 새로운 웹사이트 개설 지난해 8 월 8 일에는 고객 및 파트너들을 위한 웹사이트도 개설했다. 이를 통해 기업은 구글과 공유하고 있는 데이터, 구글의 인프라 보안, 구글이 제시하는 데이터보호 관련 법규 준수 계획, 구글이 제공하는 무료 리소스 및 교육 훈련에 대한 정보를 얻을 수 있다.
 
10. Google Cloud 의 GDPR 준수 자료 또한, 구글은 자사의 G Suite 와 Google Cloud Platform 서비스가 GDPR 을 준수하고 있다는 점에 대해 Google Cloud 고객에게 자료를 제공하고 있다. 웹페이지를 통해 GDPR 에 대한 전반적인 설명, G Suite 와 Google Cloud Platform 의 GDPR 준수 지원 기능 및 장점, 자주 묻는 질문(FAQs) 등을 게재하고 있다.
 
11. 구글-SAP, 데이터 보호 솔루션 공동 개발 이외에도 구글은 SAP 과 함께 클라우드 활용 기업이 GDPR 을 준수할 수 있도록 지원하는 데이터 보호 솔루션인 데이터 커스터디안(Data Custodian)을 SAP 와 함께 2017 년 공동개발했다.

[이미지=한국인터넷진흥원]
 
데이터 보호 솔루션인 데이터 커스터디안 솔루션은 클라우드 사용자(개인)가 자신의 데이터가 어떻게 보관되고 활용되는지 확인할 수 있도록 지원한다. 데이터 커스터디안은 데이터 관리자 또는 관리 솔루션을 가리키는 용어로 데이터의 저장·전송 및 활용(비즈니스 적용) 영역을 관리한다. 
 
[김경애 기자(boan3@boannews.com)]

• 구글 GDPR 준비 상황.pdf