1000억원.

2022년 개인정보보호위원회(이하 개보위)가 구글과 메타에 부과한 과징금이다. 개보위는 구글과 메타가 ‘이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보 보호법을 위반했다’고 보고 시정명령과 함께 각각 692억원(구글), 308억원(메타)의 과징금을 부과했다. 구글과 메타는 이 조치에 불복, 최근까지 법정 공방을 이어가고 있다.

해외 업체뿐 아니다. 국내 유명 기업도 다수 개보위 레이더망에 걸렸다. 지난해 LG유플러스(68억원)에 이어 올해 5월에는 골프존(75억원)과 카카오(151억원)가 나란히 과징금 철퇴를 맞았다.

개보위의 규제 방망이가 매섭게 돌아가고 있다. 주로 개인정보 유출, 사용자 정보 보호 등을 주력하는 이 위원회가 최근 잇따라 국내외 기업에 대규모 과징금을 부과하면서 존재감을 키우고 있다.

행정 소송 관련 “자신 있다”고 밝힌 최장혁 개보위 부위원장. (연합뉴스)

개보위 어떤 곳?

2011년 개인정보 보호법 개정 출범

개보위는 개인정보 보호에 관한 사무를 독립적으로 수행하는 중앙행정기관이다.

2011년 9월 30일 개인정보 보호법이 개정되면서 2011년 12월 출범했다. 개인정보 보호 정책을 수립하고, 개인정보 침해 사건을 조사·조치하는 역할을 수행한다. 위원장은 장관급 정무직 공무원, 부위원장은 차관급 정무직 공무원으로, 국무총리의 제청으로 대통령이 임명한다.

과징금도 유형이 있다?

개인정보 유출, 처리 위반 다수

가장 잦은 유형은 개인정보 유출이다.

이번 카카오 사례가 논란의 여지가 있지만 개보위는 이를 개인정보 유출로 봤다. 지난해 3월 카카오톡 오픈채팅방 참여자의 개인정보가 유출됐을 가능성을 두고 개보위는 시스템의 보안 취약점 때문에 이런 일이 발생했다고 판단, 과징금을 부과했다. 개보위는 최소 6만5000여명의 개인정보가 유출됐을 것으로 추정했다.

골프존 역시 해커가 지난해 221만명의 회원 이름, 이메일, 번호, 생년월일 등 개인정보를 빼가면서 철퇴를 맞았다. 여기에 더해 5831명의 주민등록번호와 1647명이 보유한 계좌번호도 함께 유출됐다. 해커가 지난해 11월 골프존 직원의 가상사설망 계정 정보를 탈취해 업무망 내 파일서버에 원격접속하면서 사건이 벌어졌다. 개보위는 골프존 역시 안전조치 의무를 위반했다고 봤다.

개보위는 해외 업체에도 이와 같은 이유로 과징금을 부과했다. 2021년 페이팔 사건이 대표적이다. 당시 페이팔은 송금 기능 해킹, 내부 직원 전자우편 사기(이메일 피싱)로 한국인 이용자 개인정보 유출 사태에 맞부딪쳤다. 또 사전 확보한 다수의 아이디(ID)와 비밀번호를 무작위로 입력해 로그인을 시도하는 ‘크리덴셜 스터핑 공격’에도 뚫려 336명의 이름, 생년월일, 주소, 이동전화번호가 유출됐다. 개보위는 약 9억원의 과징금을 부과했다.

무분별한 개인정보 처리 위반 사례도 있다. 인공지능(AI) 챗봇 ‘이루다’ 개발사로 유명한 스캐터랩은 자사앱 ‘텍스트앳’ ‘연애의 과학’에서 수집한 카카오톡 대화를 ‘이루다’의 AI 개발에 이용했다. 개보위는 “알고리즘 학습 과정에서 카카오톡 대화에 포함된 이름·휴대전화번호·주소 등 개인정보를 삭제하거나 암호화하지 않고, 약 60만명에 달하는 이용자의 카카오톡 대화 문장 94억여건을 이용했다”며 이용자에게 개인정보 수집·이용 동의를 받지 않는 등 개인정보 보호법을 위반했다고 판단했다.

구글과 메타 사례도 ‘이용자 동의 없이 개인정보를 수집’한 부분이 지적됐다. 이 밖에도 개인정보 불법 거래, 개인정보 보호조치 미흡 등 다양한 유형이 있다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

행정소송만 10여건

구글, 메타 이어 카카오도 불복 예고

“정부가 개인정보 유출로 처분했는데도 카카오는 아직까지 가만히 있다. 행정처분에 따르고 난 다음 법적으로 다퉈야 하는 것이 맞다.”

최장혁 개보위 부위원장이 최근 브리핑에서 카카오를 두고 한 말이다. 이미 개보위는 국내외 기업과 행정소송만 10여건이 걸려 있다. 조만간 소송을 진행하겠다는 카카오, 골프존 등을 포함한 숫자다. 이와 관련 개보위 소송 수행 예산만 올해 4억2000만원에 달한다. 전년 대비 2배 증액한 금액이다. 최장혁 부위원장은 “자신 있다”는 입장을 표명했다.

개보위는 메타와는 이미 한 차례 행정소송에서 승소했다. 2020년 메타는 당사자 동의를 받지 않고 다른 사업자에게 개인정보를 제공한 혐의로 67억원의 과징금과 수사기관 고발 처분을 받았다. 당시 법원은 “(개보위) 시정명령은 이행 가능한 범위에 있어, 처분은 적법했다”며 “메타에 개인정보의 수집·관리 책임이 있고, 개인정보 이전에는 동의가 필요했다”고 판단했다. 그럼에도 불구하고 많은 기업이 행정소송에 나서는 분위기다.

카카오 사건만 놓고 봐도 ‘회원 일련번호를 개인정보로 볼 수 있는지’를 두고 다투고 있다. 개보위는 ‘해커가 오픈채팅방을 통해 확보한 회원 일련번호를 휴대폰번호 등 다른 정보와 결합해 진짜 개인정보를 찾아내 불법 거래했으므로 카카오 탓’이라고 한다. 반면 카카오는 “회원 일련번호는 단순히 숫자로 구성된 문자열일 뿐, 어떤 개인정보도 포함하고 있지 않다”고 맞선다.

최근 4차 변론을 마친 구글, 메타 소송도 개보위 입장과 달리 이들 업체는 “이용자의 행태 정보 수집에 대한 동의는 구글, 메타와 같은 플랫폼 사업자가 아니라, 웹사이트·앱서비스 사업자가 동의받아야 한다”는 논리를 펴고 있다.

개보위 ‘귀하신 몸’?

잦은 소송으로 행정력 낭비 우려

이런 논란이 계속 커지면서 개보위에 대한 우려를 제기하기도 한다.

이제 출범한지 3년여가 됐지만 재계에서는 개보위 존재를 잘 알지 못해 규제받는 일도 꽤 있다는 입장.

한 재계 관계자는 “해킹 당하면 과학기술정보통신부·한국인터넷진흥원(KISA)에 해당 사실을 신고하게 돼 있는 것까지는 잘 안다”면서도 “이때 일어난 개인정보 유출 사실을 개보위에까지 신고해야 한다는 사실을 아는 기업은 그리 많지 않을 것”이라고 말했다. ‘몰라서 신고를 못 했는데 돌아오는 처분은 가혹하다’는 것.

더불어 최 부위원장이 “(소송에) 자신 있다”고 하지만 그 전에 좀더 면밀히 관련법, 판례를 홍보해 계도하고 적발한 기업과도 소송까지는 가지 않게 사전 소통을 강화해야 한다는 의견도 있다.

또다른 재계 관계자는 “일단 과징금 부과 기준이 잘못이 드러났을 때 매출액의 3%라는데 이때 매출액 기준이 연결 기준인지 단일 기준인지 헷갈릴 때가 많다”며 “해석 여지가 다분한 관련법 문구로 인한 혼란, 잦은 소송으로 행정력 낭비, 기업 경영활동 위축 등 다양한 부작용을 야기할 수 있다”라고 주장했다.

물론 개보위도 ‘무조건 규제 일변도’만 펼치는 것은 아니라는 입장이다.

개보위는 법을 위반한 소상공인 5명과 개인 15명 등 총 20명에게 과태료가 면제해주기도 했다는 입장.

위원회 측은 “개인정보보호법 제75조 ‘법 위반자의 규모, 위반 행위의 정도·결과 등을 고려해 과태료를 면제할 수 있다’는 조항에 근거, 개인정보보호법을 위반했지만, 정도가 경미하고 이를 적극 시정한 소상공인 등에게 과태료를 면제해주되, 경고 처분만 내렸다”고 항변했다.

더불어 개보위는 ‘소 잃고 외양간 고치기’ 전에 각 기업이 ‘평시’에 개인보호 정책을 잘 지키는지 평가하겠다는 입장.

올해 관련법 개정으로 ‘개인정보 처리방침 평가’가 본격 시행된다. 참고로 개인정보 처리방침은 개인정보 수집, 이용, 제공, 위탁 등 개인정보를 처리하는 기준과 안전조치에 관한 사항에 대해 각 기업(개인정보처리자)가 스스로 작성한 문서를 가리킨다.

개보위는 이를 두고 ‘개인정보 처리방침에 포함해야 할 사항을 적정하게 정했는지(적정성)’, ‘알기 쉽게 작성했는지(가독성)’, ‘정보주체가 쉽게 확인할 수 있는 방법으로 공개했는지(접근성)’ 등 3가지 기준에 부합하는지 평가한다. 평가 결과 개인정보 처리방침이 우수한 곳에는 과징금·과태료 부과 시 감경 등 인센티브를 제공하고, 보완이 필요한 곳에는 개선 권고 등의 조처를 내릴 예정. 올해부터 네이버, 카카오 등 주요 IT기업은 물론 최근 우려를 낳고 있는 중국 E커머스 회사인 알리·테무도 대상 기업에 포함됐다.

양청삼 개인정보위 개인정보정책국장은 “부담을 주는 방향보다는 우수한 사례를 발굴하는 데 중점을 두되, 법 위반 우려가 있는 경우에는 개선을 유도하는 방향으로 추진할 계획”이라고 밝혔다.

개보위 논란을 두고 김정철 법무법인 우리 대표변호사는 “개보위가 AI 시대에 맞춰 그 역할과 책임이 점점 커질 수 밖에 없다”면서도 “규제와 처벌에만 초점을 맞출 것이 아니라 이제는 개인정보주체와 개인정보처리자 모두의 이익을 위한 절충점을 찾아야 할 때”라고 말했다.

[박수호 기자 park.suho@mk.co.kr]

[본 기사는 매경이코노미 제2264호 (2024.06.19~2024.06.25일자) 기사입니다]

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]