이충수 개인정보 보호책임자의 디지털 시대의 새로운 에티켓, 개인정보 보호
GDPR 규제 불균형 논란, EU는 왜 개정을 논의하나
중소기업 GDPR 과징금 이슈를 두 편에 나누어 살펴보고 있습니다. 지난 호에서 중소기업에 부과된 가혹한 제재 현황을 다뤘다면, 이번 호에서는 그 본질적인 원인인 ‘규제 불균형’ 논란과 이를 해결하기 위한 EU의 GDPR 개정 논의를 집중 분석합니다. GDPR 시행 8년 만에 유럽 내 누적 과징금이 수십억 유로에 달하면서 중소기업 부담 완화를 위한 변화의 물꼬가 열리고 있습니다.
1. 규제가 혁신을 막는가?
GDPR을 둘러싼 논쟁은 과징금의 크기에서 시작해 이제 규제 구조 자체의 불균형으로 옮겨가고 있다. 유럽연합 안팎에서는 오랫동안 “같은 규칙이지만 기업 규모에 따라 부담이 완전히 다르다”는 비판이 꾸준히 제기돼 왔다. 특히 중소기업과 스타트업은 GDPR을 준수하는 데 들어가는 시간, 인력, 법률 비용을 감당하기 어려운 경우가 많고, 이 부담이 혁신과 성장의 발목을 잡는다는 지적이 이어지고 있다.
법의 형식은 동일하다. GDPR은 대기업이든 소기업이든 구분 없이 같은 의무를 부과한다. 그러나 그 의무를 이행하는 데 필요한 자원은 기업마다 천차만별이다. 수백 명의 법무•보안•컴플라이언스 전문가를 갖춘 대기업과, 직원 열 명이 모든 업무를 분담하는 소기업이 같은 규정집을 들고 같은 출발선에 선다는 것은 사실상 불공평한 경쟁이다. 법의 형식상 동일한 의무가 실제 시장에서는 전혀 다른 장벽으로 작동한다는 지적이 나오는 것도 이 때문이다.
수치로 봐도 문제는 분명하다. 유럽 기업의 약 99%를 차지하는 중소기업은 전체 고용의 약 65% 이상을 담당하고, 역내 총생산의 대략 절반 이상을 창출하는 유럽 경제의 실질적 허리다. 그러나 바로 이 허리를 떠받치는 기업들이 규제 대응 과정에서 가장 큰 피해를 보고 있다는 분석이 잇따르고 있다. 규제의 취지가 아무리 좋더라도, 그 규제가 중소기업의 성장 동력을 갉아먹는 방향으로 작동한다면 유럽 경제 전체의 손실이 된다는 것이다.
2. 드라기•레타 보고서의 경고
이 논쟁의 배경에는 단순한 행정 불편을 넘어 유럽 경쟁력 전반에 대한 위기감이 깔려 있다. 그 위기감을 가장 명확하게 공식화한 것이 2024년 잇달아 발표된 레타 보고서와 드라기 보고서다. 두 보고서는 각각 유럽 단일시장의 파편화와 EU 경쟁력 저하를 핵심 문제로 지목하면서, 복잡한 규제 환경이 특히 중소기업과 신생 기업에 불리하게 작용하고 있다고 경고했다.
레타 보고서는 전 이탈리아 총리 엔리코 레타가 유럽이사회의 의뢰를 받아 2024년 4월에 발표한 ‘단일시장의 미래’ 보고서다. 그는 회원국마다 GDPR을 다르게 해석하고 집행하는 현실이 단일시장의 효율성을 심각하게 훼손하고 있다고 지적했다. 국경을 넘어 사업을 확장하려는 중소기업 입장에서는 한 나라에서 통용되던 개인정보 대응 체계가 다른 나라에서는 충분하지 않을 수 있어, 사실상 여러 개의 규제 환경을 동시에 상대해야 하는 부담을 안고 있다는 것이다.
같은 해 9월 발표된 드라기 보고서는 한층 더 직접적이었다. 전 유럽중앙은행 총재 마리오 드라기는 유럽의 복잡한 규제 환경, 특히 데이터 집약적 산업에서 높은 GDPR 준수 비용이 혁신적 스타트업의 성장을 가로막고 있다고 지적했다. 일부 조사에 따르면 유럽 기업의 60% 이상이 규제를 투자의 장애물로, 중소기업의 55%는 규제 장벽과 행정 부담을 사업의 가장 큰 도전으로 인식하고 있다고 보고된다.
두 보고서가 공통으로 던지는 메시지는 분명하다. 규제가 지나치게 복잡하고 파편화되어 있으면 대기업은 이를 흡수할 수 있지만, 중소기업은 시장 진입 자체가 어려워진다는 것이다. 시장을 정화하기 위해 만들어진 규제가 오히려 시장 진입의 문턱이 되어버리는 역설이다. 두 보고서는 각각 유럽집행위원회와 EU 이사회의 공식 의뢰를 받아 작성된 만큼, 이후 EU 정책 방향에 직접적인 영향을 미쳤다.
3. 중소기업에 더 무거운 준수 비용
규제 불균형 문제가 구체적으로 어떤 방식으로 나타나는지를 이해하려면 준수 비용의 구조를 들여다볼 필요가 있다. 표면적으로는 중소기업이 대기업보다 훨씬 적은 돈을 GDPR 준수에 쓰는 것처럼 보인다. 연구에 따르면 중소기업의 초기 GDPR 준수 비용은 평균 2만~5만 유로 수준으로, 대기업에 비해 상대적으로 낮은 편이다. 그러나 매출 대비 상대적 부담률로 환산하면, 일부 연구는 이 부담이 대기업보다 5배 이상 커질 수 있다고 분석한다.
비용은 일회성에 그치지 않는다. GDPR 준수는 한 번 시스템을 갖춰놓으면 끝나는 프로젝트가 아니라 끊임없이 갱신하고 점검해야 하는 지속적 프로세스다. 개인정보 처리방침 업데이트, 고객 데이터 요청 대응, 새로운 협력사와의 계약 검토가 인력과 비용을 반복적으로 요구한다. 대기업은 이 일을 전담하는 부서가 있지만, 중소기업은 외부 컨설턴트를 반복적으로 고용해야 하고, 그 비용은 누적될수록 사업 성장에 투자해야 할 자원을 잠식한다.
업종에 따라 부담의 차이는 더 극명해진다. 데이터 의존도가 높은 소프트웨어 개발이나 디지털 마케팅 분야에서는 GDPR 준수로 인해 데이터 저장•처리 비용이 24% 이상 감소했다는 분석이 있다. 이는 기업이 보유한 데이터 규모와 활용성을 줄이는 방향으로 작동해, 자본이 부족한 신생 기업에게는 성장 기회가 줄어드는 구조적 압박으로 이어진다. 결과적으로 자본력이 있는 대기업은 복잡한 규제를 오히려 경쟁 우위로 활용할 수 있는 반면, 자원이 부족한 신생 기업은 규제 장벽에 막혀 성장 기회를 잃는 역설이 발생한다.
4. EU의 GDPR 간소화 시도
이러한 비판이 누적되면서 EU도 변화를 모색하기 시작했다. 유럽집행위원회는 2025년 5월, 이른바 ‘제4차 간소화 옴니버스 패키지’를 발표하며 중소기업의 컴플라이언스 부담을 줄이기 위한 GDPR 개정안을 제시했다. 이 패키지는 단순히 GDPR만을 겨냥한 것이 아니라 지속가능성, 농업, 국방 등 여러 분야의 규제를 동시에 손보는 광범위한 개혁 패키지의 일환이었다. EU가 경쟁력 위기에 대응하는 방식으로 ‘규제 간소화’를 공식 선택한 것으로 해석할 수 있다.
GDPR 개정안의 핵심은 처리 활동 기록(RoPA) 유지 의무의 완화다. 현행 GDPR은 직원 250명 미만의 기업에 대해 일부 예외를 두고 있지만, 실제로는 예외 조항이 워낙 좁게 해석되어 대부분의 중소기업이 사실상 전면적인 기록 유지 의무를 이행해야 하는 상황이었다. 개정안은 이 기준을 직원 750명 미만인 소규모 중간규모 기업(SMC)까지 확대하고, 개인의 권리와 자유에 높은 위험을 초래할 가능성이 낮은 경우에는 RoPA 유지 의무를 완화하는 방향을 검토한다. 유럽집행위원회는 이 조정으로 약 3만 8,000개 기업이 추가로 규제 부담을 줄일 수 있을 것으로 예상하고 있다.
개정 논의를 촉발한 또 하나의 배경은 2024년 11월 부다페스트 선언이다. EU 정상들은 이 선언을 통해 레타 보고서와 드라기 보고서가 각각 제기한 단일시장 파편화와 경쟁력 저하 문제에 공식적으로 응답하며 “규제 혁명(simplification revolution)”을 선언했다. 특히 중소기업의 행정•규제•보고 부담을 대폭 줄이겠다는 의지를 명확히 했다. 이어 2025년 1월에는 유럽집행위원회가 향후 5년간의 정책 방향을 담은 ‘경쟁력 컴퍼스(Competitiveness Compass)’를 발표하며, 두 보고서의 권고를 실행에 옮기기 위한 공식 로드맵을 제시했다. 일련의 움직임은 EU가 GDPR 간소화를 단발성 조치가 아닌 유럽 경쟁력 회복 전략의 일부로 추진하고 있음을 보여준다.
5. 보호 약화 우려와 반론
그러나 개정 논의가 순탄하게 진행되고 있는 것은 아니다. 유럽 개인정보보호이사회(EDPB)와 유럽 개인정보보호감독관(EDPS)은 중소기업의 부담을 줄이는 방향에는 원칙적으로 동의하면서도, 개정안이 자칫 개인정보 보호의 실질적 수준을 약화시킬 수 있다고 경고했다.
핵심 우려는 두 가지다. 첫째, 데이터 처리의 위험 수준을 기업이 스스로 평가하도록 하는 구조는, 전문성이 부족한 중소기업에게 더 복잡한 판단을 요구하는 역설을 낳을 수 있다. 둘째, 처리 활동 기록 의무가 완화되면 기업이 자기 데이터 처리 현황을 정확히 파악하지 못해, 유출 사고나 권리 침해 발생 시 적절한 대응과 리스크 통제가 어려워질 수 있다는 점이 문제로 지적된다.
개인정보보호 시민단체들의 반발도 거세다. 일부 단체는 이번 간소화 논의가 경제적 효율성을 앞세워 정보 주체의 권리를 뒷전으로 밀어내는 시도라고 비판하며, 중소기업 부담 완화라는 명분 뒤에 대기업들의 이해관계가 숨어 있을 수 있다고 경고한다. GDPR이 대기업에게 불리하게 작용하는 측면이 있는 만큼, 간소화 압력이 어느 방향으로 흘러가느냐에 따라 그 수혜자가 달라질 수 있다는 지적이다.
6. 완화보다 중요한 것은 균형
이 논쟁은 결국 보호와 부담 사이의 균형을 어떻게 설정할 것인가의 문제로 귀결된다. 개인정보 보호의 원칙은 반드시 유지되어야 하지만, 그 실행 방식이 중소기업에게 구조적으로 불리하게 설계되어 있다면 규제의 정당성 자체가 흔들릴 수 있다. 반대로 완화의 폭이 지나치게 넓어지면 정보 주체가 보호받아야 할 권리가 공허해진다. 어느 쪽 극단도 바람직하지 않다는 것이 전문가들의 공통된 지적이다.
해법은 규제를 없애는 것이 아니라, 기업 규모와 데이터 처리의 실제 위험 수준에 따라 의무를 정교하게 차등화하는 데 있다. 현재의 개정 논의는 바로 그 조정의 첫걸음이다. GDPR 시행 8년이 지난 지금, EU는 정보 주체 보호라는 본래의 가치를 지키면서도 중소기업이 실질적으로 이행 가능한 환경을 함께 만들어야 한다는 과제를 안고 있다. 보호와 혁신이 공존할 수 있는 규제 체계를 만드는 일, 그것이 앞으로 EU가 풀어야 할 가장 어려운 숙제다.
1457호 16면, 2026년 5월 2일