이 기사는 2024년 12월 04일 15:27 thebell 에 표출된 기사입니다.

데이터 이용을 토대로 몸집을 불리던 글로벌 빅테크들의 성장에 제동이 걸리고 있다. 세계 각국이 개인정보 보호를 위해 관련 법령을 강화한 영향이다. 서비스 이용자의 동의 없이 정보를 이용한 빅테크들은 수천억원에서 많게는 수조원에 달하는 과징금을 부과받았다.

개인정보 보호 관련 제재가 내려진 사례 중 가장 큰 과징금을 부과받은 곳은 메타다. 메타는 2019년 미국연방거래위원회(FTC)로부터 50억달러(약 7조835억원)의 과징금을 부과받았다. 또 유럽연합(EU)의 일반개인정보보호법(GDPR) 관련으로 1000만유로(약 148억원) 이상 과징금을 받은 것만 7건이다. 모두 2022년 이후 내려진 결정으로, 7건의 과징금액 합은 24억2800만유로(약 3조6069억원)에 달한다.

메타 외의 주요 제재 대상은 아마존, 틱톡, 링크드인, 우버, 왓츠앱, 구글, 크리테오 등이다. 대부분의 제재가 데이터를 이용해 광고 수익을 거두는 빅테크 기업을 겨냥했다.


◇한국도 빅테크 제재 동참

한국은 2011년 개인정보보호법을 제정했지만 위반에 대한 처벌 수위가 높지는 않았다. 2012년 해킹으로 873만명의 개인정보가 유출됐던 KT에게 내려진 과징금은 7억원에 불과했다. 2016년 인터파크가 44억원의 과징금을 부과받았지만 1000만명 이상의 피해 규모를 고려하면 큰 금액이라고 평가하기는 어렵다.

하지만 최근 개인정보 관련 제재 수위를 높이는 세계 흐름에 한국도 동참하는 중이다. 2020년 개인정보보호법 개정을 통해 행정안전부, 방송통신위원회, 금융위원회로 분산돼 있던 개인정보 보호 감독 기능을 통합한 개인정보보호위원회(이하 개인정보위)를 출범이 계기가 됐다.

개인정보위는 통합 출범 3개월 만에 메타에게 68억원의 과징금을 부과했다. 페이스북 로그인을 통해 다른 사업자 서비스를 이용할 때 본인 정보를 비롯해 페이스북 친구 개인정보까지 제공한 것이 발목을 잡았다. 2016년 1000만명 이상의 개인정보가 유출됐던 인터파크의 과징금 45억원을 제치고 역대 최고액 사례로 떠올랐다.

제재 수위는 이후로도 높아졌다. 2022년 구글·메타에게 내려진 과징금 1000억원은 달라진 개인정보위의 모습을 보여주는 상징적인 사건이다. 개인정보위는 이용자의 데이터를 동의 없이 맞춤형 광고에 활용한 구글에게 692억원, 메타에게 308억원의 과징금을 부과했다. 메타는 2020년에 이어 추가 제재를 받았고, 구글은 역대 최고 과징금 부과 대상이라는 불명예를 안게 됐다.

개인정보위는 지난 11월 5일 메타에게 216억원의 과징금을 추가로 부과했다. 페이스북 프로필을 이용해 국내 이용자 약 98만명의 종교관, 정치관, 결혼 여부 등 민감 개인정보를 수집한 뒤 광고주에게 전달했기 때문이다. 지금까지 총 8건의 처분을 내렸는데 부과된 과징금 총합은 약 730억원이다.

◇2024년 3월 개정법 시행… 과징금 규모 확대

개인정보위가 지난 9월 발간한 2024년 개인정보보호 연차보고서에 따르면 지난해 101개 민간 사업자를 대상으로 139억원의 과징금·과태료를 부과했다. 146개 사업자를 대상으로 1024억원을 부과했던 2022년 대비 부과액이 낮아졌다.

다만 구글·메타에게 부과된 1000억원을 제외하면 실제 부과된 금액은 24억원 수준이다. 처벌 대상이 줄었음에도 과징금은 5배 이상 늘었음을 확인할 수 있다. 개인정보위에 따르면 현 정부가 출범한 이후 지난 2년 6개월간 총 1552억원가량의 과징금·과태료를 부과했다. 글로벌 빅테크 기업에게 부과된 금액이 1290억원이다.


올해부터 과징금액은 더 가파르게 상승할 것으로 보인다. 기존 개인정보보호법은 법 위반시 위반 행위 관련 매출액의 3%를 최대치로 삼고 과징금을 계산했다. 가령 전체 매출액 1조원의 기업이 개인정보를 이용한 사업으로 100억원의 매출을 거두고 있다면 이론상 최대 과징금은 3억원이다. 개인정보를 이용한 사업 규모가 크지 않은 기업의 경우 법 위반이 적발되더라도 부담이 크지 않았던 배경이다.

하지만 올해 3월 개정법 시행으로 관련 매출액 3%라는 조항은 전체 매출액의 3%로 변경됐다. 매출액 1조원 기업에게는 최대 300억원까지 과징금을 부과할 수 있게 됐다. 국내에서도 수천억에서 수조원의 과징금 사례가 등장할 여건이 마련된 셈이다.

처벌 수위가 높아진 만큼 개인정보위는 연 매출액 1500억원 이상 기업·기관 중 대규모 또는 민감 개인정보를 다루는 곳은 전문성을 갖춘 최고개인정보보호책임자(CPO)를 지정하도록 의무화했다. 여기에는 대학교, 상급종합병원 등도 포함된다. 리스크 관리의 중요도는 더욱 커질 전망이다.