스타트업 닷(Dot)은 시각장애인용 점자 스마트워치를 만드는 회사다. 2015년 창업했다. 김주윤 대표는 미국에서 함께 공부하던 시각장애를 가진 친구가 점자를 읽어주는 수백만원짜리 디바이스를 항상 들고 다니는 걸 보게 됐다. 시각장애인들은 시각 장애 보조기구에 의존해야 한다. 정작 관련 기술 발전은 더디다.
닷의 스마트워치는 액정에 점자가 출력된다. 터치가 가능한 점자 디스플레이와 그 위에 네 글자의 점자를 출력하는 전자석 셀이 부착돼있다. 액정 화면에 글씨가 출력돼 시각장애인이 활용할 수 없는 다른 스마트워치와 달리 점자로 읽을 수 있다. 가격도 30만원 대로 다른 시각 장애인용 기기에 비해 훨씬 저렴하다. 해외 시장에서도 인기다. 13개 나라와 350억원 규모의 수출 계약을 맺었다. 누적 투자액만 100억원에 이른다.
유럽 사업을 막 확장하려는데 걸림돌을 예상치도 못한 부분에서 만났다. 유럽연합(EU)이 2018년 5월 도입한 일반개인정보보호규정(GDPR)이다. 시범 운영 상태다. 2020년 5월 정식 적용될 예정이다.
GDPR은 글로벌 기술기업이 EU 역내 국민 개인정보를 해외로 이전하는 것을 막기 위해 도입한 법안이다. 구글과 페이스북 등 미국 대형 기술기업을 겨냥해 만든 법안이다. 한국 기도 EU 역내 국민의 정보를 처리한다면 이 법을 준수해야 한다.
한국 기업이 EU 국가 내에서 개인정보 처리 사업을 하려면 두 가지 기준을 갖추면 된다. 하나는 한국 정부 차원에서 EU와 동등한 수준으로 개인정보보호를 준수하도록 법률로 정한 인증 절차인, 적정성 심사를 통과하면 된다. 문제는 한국이 이미 적정성 평가에서 두 차례나 고배를 마셨다.
이 때문에 한국 기업은 EU에 진출하려면 표준계약(SCC), 구속력 있는 기업규칙(BCR) 등 개인정보 보호를 위한 안전장치를 갖췄다는 점을 직접 입증해야 한다. 또한 정보 주체가 명시적으로 정보 활용을 동의한다는 점도 증명해야 한다.
스타트업 입장에서 이같은 입증 절차와 서류를 준비하는 것이 여간 까다로운 일이 아니다. 닷도 2018년 12월 프랑스 제1통신사인 오렌지(Orange) 텔레콤에 점자 스마트워치를 수출하려다 큰 고충을 겪었다. 파일럿 제품이었음에도, GDPR에 준하는 입증서류가 필요했다.
닷이 수집한 개인정보는 이용자 이름과 아이디, 비밀번호, 이메일 주소 뿐이다. 그래도 GDPR 규정을 지키는 것은 중요했다. 어기면 세계 연간 매출 4%나 2000만유로(263억원) 중 높은 금액을 과징금으로 내야 하기 때문이다. 오렌지 텔레콤이 닷의 개인정보 처리 기준을 꼼꼼하게 검토했던 이유다. 닷이 당시 거래로 얻을 매출은 3000만원 수준이었지만, 법률 자문료로만 6000만원이 들었다 현지에서 한국보다는 프랑스 로펌의 공증을 선호한 분위기도 있었다.
닷 관계자는 "프랑스는 어떻게 해결했지만 곧 진출할 독일에선 또 어떻게 준비해야 할지 모르겠다"며 "비용도 비용이지만 개별 기업 입장에서 일일이 법적 요건을 챙기는 것이 쉽지 않다"고 토로했다.
업계엔 닷의 사례처럼 GDPR로 유럽 시장 진출에 부담을 느끼는 사례가 는다고 지적한다. 특히 스타트업 입장에서 대응하기엔 인력과 비용에 한계가 많다. 이 때문에 정부 차원에서 대응책을 마련해줄 것을 요구하는 목소리가 높다.
한국이 GDPR 적정성 결정을 받지 못한 주된 이유로, 개인정보보호 관리 감독 기관이 여러 부처로 쪼개져있다는 점이 꼽힌다. 2016년 진행한 첫 번째 적정성 평가 탈락 이유는 ‘개인정보 보호기관의 완전한 독립성과 집행권한 미비’였다.
한국의 개인정보 보호 관할 부서는 정보 성격에 따라 방송통신위원회와 행정안전부, 금융위원회 등으로 나뉘어있다. 관련 법안도 마찬가지다. EU 로선 한국이 일원화한 기관을 통해 개인정보 보호를 철저히 관리감독한다고 판단하기 어려울 수 있다.
국회 정쟁 탓에 GDPR 대응 법안 통과도 쉽지 않다. 인재근 더불어민주당 의원이 2018년 발의한 관련 법안에 비식별 정보활용 범위를 규정한 개인정보 활용 관련 내용도 함께 담았다. 이 법안은 국회 문턱을 넘지 못했다. 개인정보 활용 논란과 엮여 찬반 논쟁으로 번진 탓이다.
업계는 GDPR이 2020년 5월 정식으로 시행되기 전 대비책을 마련해야 한다는 요구가 높다. GDPR을 정식 시행하면 중소 벤처기업들을 중심으로 법률 위반으로 대거 적발되는 사례가 발생할 수 있다. 개인정보 활용 법안과 별개로 GDPR을 대비한 법안을 별도 발의해 대비해야 한다는 지적이다.
김현경 서울과학기술대학교 IT정책전문대학원 교수는 "법안 통과 과정에서 이견이 큰 부분은 뒤로 미루더라도 당장 적정성 평가를 통과할 수 있는 입법 과제부터 해결하는 것이 필요하다"고 말했다. 유성엽 민주평화당 의원실도 관련 내용으로 법안 발의를 준비중이다.