.svg)
AI 솔루션 문의하기
GDPR(일반 개인정보 보호규정)은 유럽연합 회원국 시민의 개인정보를 처리하는 모든 조직에 적용되는 규제입니다. 유럽 시민을 고객으로 받는 금융기관, 통신사, 전자상거래 플랫폼이 eKYC 시스템을 운영할 때도 GDPR을 준수해야 합니다. eKYC 과정에서는 여권 이미지, 얼굴 사진, 생년월일 등 민감한 개인정보가 처리되기 때문에 더욱 엄격한 보호 조치가 필요합니다. GDPR 위반 시 전 세계 연간 매출의 4% 또는 2천만 유로 중 높은 금액이 과징금으로 부과될 수 있어 철저한 준수 체계를 구축해야 합니다.
GDPR은 개인정보를 처리하기 위한 적법한 근거를 요구합니다. eKYC의 경우 법적 의무 준수(자금세탁방지법, 금융실명법 등), 계약 이행, 또는 정당한 이익 추구가 처리 근거가 될 수 있습니다. 생체 정보와 같은 특수 범주 개인정보는 명시적 동의를 받아야 하며 동의는 자유롭게 제공되고 구체적이며 충분한 정보에 기반해야 합니다. 동의 철회권을 보장해야 하며 동의 철회가 서비스 이용에 미치는 영향을 명확히 안내해야 합니다. 각 처리 활동마다 법적 근거를 문서화하고 감독기관의 요청 시 제시할 수 있도록 준비합니다.
GDPR의 데이터 최소화 원칙에 따라 eKYC 과정에서 수집하는 정보는 목적 달성에 필요한 최소한으로 제한해야 합니다. 여권의 모든 페이지를 요구하는 대신 정보면만 촬영하도록 하며 필요하지 않은 정보는 마스킹 처리합니다. 얼굴 인증 후 생체 템플릿만 보관하고 원본 얼굴 이미지는 삭제하는 방식으로 보관 데이터를 최소화할 수 있습니다. 주소, 전화번호 등의 추가 정보는 서비스 제공에 실제로 필요한 경우에만 수집하며, 수집 이유를 구체적으로 설명합니다.
▲ GDPR은 개인정보 처리에 대한 투명한 정보 제공을 요구합니다.
▲ eKYC 시작 전에 수집되는 정보의 종류, 처리 목적, 보관 기간, 제3자 제공 여부를 명확히 고지해야 합니다.
▲ 개인정보 처리방침은 이해하기 쉬운 언어로 작성되어야 하며, 법률 전문용어를 남발하지 않아야 합니다.
▲ 정보주체의 권리(접근권, 정정권, 삭제권, 처리 제한권, 이동권, 반대권)를 안내하고 행사 방법을 제공해야 합니다.
유럽연합 밖으로 개인정보를 이전할 때는 적절한 보호 조치가 필요합니다. 한국은 GDPR 적정성 결정을 받지 못했기 때문에 표준 계약 조항(SCC), 구속력 있는 기업 규칙(BCR), 또는 인증 메커니즘을 활용해야 합니다. 표준 계약 조항은 유럽위원회가 승인한 계약 템플릿으로, 데이터 수출자와 수입자 간에 체결하여 적절한 보호 수준을 보장합니다. 클라우드 서비스를 이용하는 경우 데이터 센터의 물리적 위치를 확인하고 가능하면 유럽 내 데이터 센터를 활용하는 것이 안전합니다.
GDPR은 정보주체에게 여러 권리를 부여하며 eKYC 시스템은 이를 효과적으로 지원해야 합니다. 접근권 행사 시 정보주체가 요청하면 처리 중인 개인정보의 사본을 제공해야 하며, 첫 번째 요청은 무료로 처리합니다. 정정권 행사 시 부정확한 정보를 수정하고 관련 시스템에 반영합니다. 삭제권(잊혀질 권리) 행사 시 법적 보관 의무가 없는 한 정보를 삭제하며 백업 데이터까지 삭제 처리합니다. 이동권 행사 시 구조화되고 기계 판독 가능한 형식으로 데이터를 제공합니다.
eKYC 시스템 구축 전에 데이터 보호 영향 평가(DPIA)를 수행해야 합니다. DPIA는 처리 활동이 개인의 권리와 자유에 미칠 위험을 평가하고 완화 조치를 마련하는 과정입니다. 생체 정보 처리, 대규모 개인정보 처리, 자동화된 의사결정 등 고위험 처리 활동이 포함된 경우 DPIA가 의무화됩니다. 평가 결과 높은 위험이 발견되고 완화 조치가 불충분한 경우, 시스템 운영 전에 감독기관과 사전 협의해야 합니다. DPIA 문서는 지속적으로 업데이트하며 시스템 변경 시 재평가를 진행합니다.
GDPR의 프라이버시 바이 디자인 원칙에 따라 eKYC 시스템은 설계 단계부터 개인정보 보호를 고려해야 합니다. 데이터 암호화는 전송 중과 저장 중 모두 적용되며 최신 암호화 표준을 사용합니다. 가명처리나 익명화 기술을 활용하여 개인 식별 가능성을 낮추며, 접근 제어를 통해 권한이 있는 인원만 개인정보에 접근할 수 있도록 합니다. 로그 기록을 통해 모든 접근과 처리 활동을 추적 가능하게 하며, 기본 설정으로 최소한의 정보만 수집하도록 구성합니다.
GDPR은 개인정보 유출 발생 시 72시간 이내에 감독기관에 통지하도록 규정합니다. eKYC 시스템에서 유출이 발생하면 즉시 탐지하고 대응할 수 있는 체계가 필요합니다. 침입 탐지 시스템과 보안 모니터링을 통해 이상 징후를 실시간으로 감지하며 유출 발생 시 영향 범위를 신속하게 파악합니다. 고위험 유출의 경우 정보주체에게도 지체 없이 통지해야 하며 통지 내용에는 유출의 성격, 가능한 결과, 취해진 조치 등을 포함합니다. 정기적인 모의 훈련으로 대응 역량을 강화합니다.
▲ eKYC 시스템은 클라우드 서비스, OCR 엔진, 얼굴 인식 API 등 제3자 서비스를 활용하는 경우가 많습니다.
▲ GDPR은 개인정보 처리를 위탁하는 경우 처리자와의 계약을 통해 보호 조치를 규정하도록 요구합니다.
▲ 계약에는 처리 목적, 처리 기간, 처리 방법, 보안 조치, 하위 위탁 조건 등이 명시되어야 합니다.
▲ 제3자 서비스 제공자의 GDPR 준수 수준을 정기적으로 평가하고, 감사 권한을 계약에 포함시켜야 합니다.
eKYC 시스템에서 AI가 자동으로 신원 인증 승인 여부를 결정하는 경우, GDPR의 자동화된 의사결정 규제가 적용됩니다. 정보주체는 전적으로 자동화된 처리에만 기반한 결정에 반대할 권리가 있으며, 인간의 개입을 요청할 수 있습니다. 자동화된 결정의 논리와 중요성, 예상되는 결과를 이해하기 쉽게 설명해야 하며 이의 제기 절차를 마련해야 합니다. AI 모델의 편향성을 정기적으로 점검하고, 특정 집단에 차별적 영향을 미치지 않도록 모니터링합니다.
GDPR은 개인정보를 필요한 기간 이상 보관하지 않도록 요구합니다. eKYC에서 수집한 정보는 법적 보관 의무 기간과 사업 목적을 고려하여 보관 기간을 설정합니다. 자금세탁방지법은 고객 확인 기록을 5년간 보관하도록 규정하지만, 법적 의무가 끝난 후에는 즉시 삭제해야 합니다. 정기적인 데이터 검토를 통해 보관 기간이 경과한 정보를 식별하고 자동으로 삭제하는 시스템을 구축합니다. 삭제 정책을 문서화하고 이행 여부를 감사합니다.
GDPR 준수는 일회성 작업이 아니라 지속적인 과정입니다. 개인정보 보호책임자(DPO)를 지정하여 준수 활동을 총괄하도록 하며 DPO는 독립적으로 업무를 수행할 수 있어야 합니다. 직원 대상 GDPR 교육을 정기적으로 실시하여 인식 수준을 높이고 개인정보 처리 절차를 숙지하도록 합니다. 내부 감사와 외부 인증을 통해 준수 수준을 검증하며 법령과 감독기관 지침의 변경 사항을 모니터링하여 시스템을 업데이트합니다. 준수 활동 기록을 문서화하여 설명책임 의무를 이행합니다.
.svg)
.svg)
