쿠팡 1조원대 과징금?…해외 사례 보니 '미국·유럽에선 수조원대'[뉴스설참]

美, 동의 명령 어긴 메타에 50억달러 부과
EU, 매출의 4% 부과...글로벌 기업들에 58억유로 걷어
中, 디디추싱에 80억 위안 과징금

편집자주'설참'. 자세한 내용은 설명을 참고해달라는 의미를 가진 신조어다. [뉴스설참]에서는 뉴스 속 팩트 체크가 필요한 부분, 설명이 필요한 부분을 콕 짚어 더 자세히 설명하고자 한다

3370만건에 이르는 국내 최대 규모 개인정보 유출 사태를 일으킨 쿠팡에 최대 1조 원대 과징금이 부과될 가능성이 제기되고 있는 가운데, 개인 정보를 잘못 취급한 기업에 수 조원대 과징금을 부과해온 미국, 유럽연합(EU), 중국 등의 사례가 주목받고 있다.

빅테크 고향 美, 과징금도 수조원대

개인정보 유출과 관련한 미국의 최고 과징금 사례는 2019년 미 연방거래위원회(FTC)가 메타(당시 페이스북)에 부과한 50억달러(약 7조3000억원)다. FTC는 당시 성명에서 "직전 최고 과징금 액수 대비 20배 높은 규모"라며 "페이스북이 개인정보 보호를 스스로 통제할 수 있다고 거듭 약속해 왔음에도 소비자의 선택권을 침해했기 때문"이라고 밝혔다.

당시 메타가 위반한 건 2012년 FTC와 체결한 '동의 명령(Consent Order)'이었다. 과거 메타는 FTC와 ▲고객 개인정보 보호 방식을 합의하고 ▲외부 개발자에 고객 정보를 과도하게 공유하지 않으며 ▲개인정보 수집 및 사용에 대한 오해를 유발하는 기만적 내용을 적지 않겠다고 약속했으나 이를 어긴 것이다.

페이스북 이용자 개인정보를 무단 수집해 미국, 영국 등 민주주의 국가 선거 캠페인에 이용한 케임브리지 애널리티카 사건. 게티이미지

이 때문에 데이터 스타트업 '케임브리지 애널리티카'가 페이스북 이용자들의 데이터를 무단 수집해 2010년대 각국 대선·총선 캠페인에 영향을 주는 사건이 벌어지기도 했다. 메타의 부주의가 민주주의의 근간을 뒤흔든 스캔들로 이어진 만큼 FTC의 처벌도 강경했다.

누적 58억유로 과징금 부과한 EU

유럽연합(EU)도 미국 못지않게 개인정보의 부적절한 취급을 강력하게 처벌한다. EU의 개인정보 보호 위반 과징금은 2016년 4월 제정한 일반개인정보보호법(GDPR)에 근거하는데, 단순히 유출 사고뿐만 아니라 기업의 개인 데이터 수집, EU 밖으로 개인 정보를 옮기는 절차도 포괄적으로 규제한다. 최대 과징금 부과 범위는 '직전 회계연도 글로벌 매출의 4%'다.

벨기에 브뤼셀 유럽연합 집행위원회 본부. 로이터연합뉴스

EU 데이터 규제 컨설턴트 '데이터 프라이버시 매니저'가 매년 집계하는 'GDPR 벌금' 보고서에 따르면, EU는 올해 초 기준 글로벌 기업들에 누적 58억8000만유로(약 10조원)의 과징금을 부과했다. 현재까지 EU에서 가장 큰 단일 과징금은 2023년 아일랜드 정부가 메타에 부과한 12억유로(약 2조원)다.

당시 메타가 EU 이용자의 개인정보를 미국 데이터센터로 옮기는 과정에서 GDPR 규정을 위반했다는 이유에서였다. 데이터 프라이버시 매니저는 "빅테크들이 EU 규제를 심각하게 받아들이도록 하기 위한 본보기였다"며 "(메타 과징금은) 기업의 개인정보 취급에 대한 광범위한 파장을 낳았다"고 평했다.앞서 룩셈부르크는 2021년 아마존에 고객 데이터 처리 위반을 이유로 7억4600만 유로(1조 2780억원)의 과징금을 부과한 바 있다.

사생활 보호 아닌 국가 안보 문제로 보는 中

중국은 국민 개인정보를 사생활 보호가 아닌 중대한 국가 안보 문제로 다루는 국가다. 중국은 2017년 제정한 '사이버 보안법' 개인정보 안전규범을 통해 IT 기업에 지침을 내린다. 안전규범은 ▲중국에서 수집된 개인정보는 반드시 중국 내 서버에 저장해야 한다는 데이터 현지화 의무 ▲기업이 수집한 개인정보에 대한 중국 정부 접근 허가권 ▲국가 안보 이익을 최우선시하는 개인정보 보호 등 조항을 담고 있다.

중국 사이버 보안의 이같은 측면을 보여주는 사례는 2022년 차량 호출 애플리케이션(앱) 개발사 '디디추싱' 처벌이다. 당시 디디추싱은 중국 기업임에도 2021년 6월 미 뉴욕 증시에 기업 공개(IPO)를 강행했다. 한달 후 중국 인터넷 통제 기구인 국가인터넷정보판공실은 "국가 안전 보장을 위해 디디추싱을 조사할 것"이라고 밝혔고, 이듬해 80억2600만위안(당시 12억달러)의 과징금을 부과했다. 해당 결정에 대해 국가인터넷정보판공실은 "국가 핵심 정보 인프라와 데이터 안보에 심각한 위험 요인을 초래했기 때문"이라고 설명했다. 결국 디디추싱은 1년 만에 뉴욕 증시 상장을 포기했다.

중국 차량 호출 업체 디디추싱. 연합뉴스

한편 개인정보보호위원회(개인정보위)는 지난달 30일부터 쿠팡의 개인정보 보호 안전조치 의무 위반 여부를 조사하고 있다. 데이터의 접근통제 및 접근권한 관리·암호화 등이 조사 대상으로, 현행 국내 개인정보보호법은 중대한 위반이 발생할 경우 '기업 매출액의 최대 3%'까지 과징금으로 부과할 수 있다. 쿠팡의 지난해 연결 기준 매출액은 41조2901억원으로, 단순 계산 기준으로는 1조2000억원 안팎의 과징금을 부과할 수 있지만 감경 가능성을 열어둬야 한다.

다만, 현행 제도상 쿠팡이 개인정보보호관리체계(ISMS-P) 인증을 보유했다는 이유만으로 과징금 감경 대상이 될 수 있다. 2023년 쿠팡 정보 유출 사고 당시 개인정보위의 기준 과징금은 39억 원이었지만, ISMS-P 인증 보유로 50% 감경됐고, 자진 신고 등 재량 감경 30%가 추가 적용되면서 최종 과징금은 13억 원으로 줄어든 바 있다.

그동안 국내에서 해킹에 의한 개인정보 유출로 최대 과징금이 부과됐던 업체는 SK텔레콤이다. 모두 2300여만 명의 휴대전화 번호 등 25종이 유출되며 1347억9000만 원의 과징금 처분을 받았다.