GDPR 시행 일주일...시중은행 TF 등 대응 강화해야

관련종목▶

국내 주요 은행들이 새로운 유럽 개인정보보호법(GDPR)에 보다 적극적으로 대응해야한다는 지적이 나왔다.

지난달 25일부터 본격 시행된 GDPR은 법규 위반시 최대 세계 매출 4%까지 벌금으로 물리는 등 처벌 수위가 매우 강력하다. 이처럼 GDPR 위반에 따른 페널티가 큰 만큼 법 시행 이후에도 관련 리스크 축소를 위한 조직, 시스템 및 프로세스 구축을 위한 노력을 강화할 필요가 있다는 지적이다.

■시중은행 TF 인력·전문성 부족
GDPR은 EU회원국 모두에게 적용되는 만큼 6년전부터 도입이 예고돼 왔다. 국내은행들도 내부적으로 대비해 왔지만 인력 규모는 크지 않은 것으로 나타났다.

3일 시중은행에 따르면 유럽 시장에 진출한 국내 주요 은행들은 주로 3~9명 사이의 인력을 배정해 GDPR에 대응하고 있다. 이들은 전담 부서가 아닌 태스크포스(TF)의 형태이며 담당자들도 다른 정보보호 업무를 병행하는 것으로 나타났다. 한 은행 관계자는 "담당자들은 주로 국내 개인정보보호를 총괄하는 부서에 속해있는데 향후 글로벌 정보보호 전담인력을 충원할 필요성이 있다"고 밝혔다.

이는 국내 은행들의 해외 포트폴리오가 동남아시아 등 아시아권에 집중된 탓도 있다. 금융감독원 통계에 따르면 국내 은행들의 해외 점포 수는 지난해말 기준 아시아 129곳 유럽 22곳, 북미 21곳이다.

국제금융센터 안남기 연구원은 '유럽 GDPR 시행에 대한 은행권 대응' 보고서에서 "GDPR의 제재 조항은 99개로 종전 지침 34개의 3배에 달한다"며 "제재 범위가 늘어난 것 뿐만 아니라 처벌 규정도 강화돼 심각한 위반사항이 발견되면 최대 2000만유로(약251억원), 혹은 전세계 매출액의 4%를 과징금으로 내야한다"고 지적했다. 위반 사항이 경미하다 하더라도 최대 1000만유로 혹은 전세계 매출액의 2%가 과징금으로 매겨진다.

■현지 직원 인사 파일도 대상
시아파트너스에 따르면 GDPR에 가장 크게 영향을 받는 업종은 은행이다. 시아파트너스가 GDPR 이행에 드는 비용을 평균산출한 결과 은행권은 평균 6600만파운드(약 942억원)가 드는 것으로 나타났다. 두번째로 비용이 많이 드는 통신기술업종(2000만파운드)의 약 3배 규모다.

신한은행 정보보호본부 박근본 부부장은 "GDPR이 시행된지 일주일 가량 됐는데 유럽 네트워크의 업무 과정이 상당 부분 달라졌다"면서 "국내은행들이 해외에 진출하면 한국기업과 현지거주 한국인들을 대상으로 영업을 많이 하다보니 개인정보보호법에 대해 크게 인식하지 못하는 경우가 많았는데 이제부터는 강화된 절차를 모두 지켜야한다"고 말했다.

예를 들어 현지 직원들에 대한 정보 역시 본점으로 인계할 경우 이를 인사관리 목적으로만 쓰겠다는 동의를 개개인으로부터 받아야한다.
현지 기업들의 여신 심사 정보도 국내로 넘어올 경우 이를 고지하고 동의를 받아야한다. 이는 유럽내 정보를 외부로 반출하는 것을 규제하는 항목과 연관되는데 이 때문에 해외지점에 여신을 심사하는 인력을 상주하게 해야한다는 의견도 나온다.

한 은행권 관계자는 "유럽은 물론 동남아 역시 규모가 큰 여신은 본점이 심사를 하게 되는데 현지 사정에 익숙하지 않은 경우 리스크를 피하기 위해 거절하는 사례가 종종 나온다"면서 "해외 사업 규모가 커질수록 전문 여신심사 인력이 각국에 상주하게 하는 것이 필요하다"고 말했다. wild@fnnews.com 박하나 기자