라이프

강정희 변호사의 IT와 법 이야기 ③클라우드&데이터 시대

GDPR, 데이터 보호를 목적으로 기업들에 천문학적 과징금을 부과하다

2024년 9월 25일

기술 발전을 선도하는 기업은 종종 시장에서 지배적인 위치를 차지합니다. IT 생태계의 변화에 따라 지배적 지위를 누리는 기업이 자연스럽게 바뀌기도 하지만, 때로는 다른 시장으로의 지배력 전이를 막기 위해 경쟁당국의 규제가 행해지기도 하죠. 과거를 알면 미래를 예상할 수 있습니다. 공정거래 전문가인 강정희 법무법인 태평양 변호사와 함께 각 시대별 주요 사건을 되짚으며 기술의 발전과 IT 생태계의 변화를 알아봅니다.

---

강정희 변호사의 IT와 법 이야기

1. PC/인터넷 시대: 1990년대, 마이크로소프트(Microsoft)는 운영체제(OS)와 웹 브라우저 시장의 패권을 장악하며 인터넷 시대의 주도적 기업으로 자리매김했다
2. 모바일 시대: 2000년대 중반 이후 구글은 인터넷과 모바일 환경의 혁신을 이루며 IT 시장의 새로운 패권자로 부상했다
3. 클라우드&데이터 시대: 네트워크 및 빅데이터 기술의 발달, 증가하는 데이터 수요, 시간과 장소에 구애받지 않는 데이터에 대한 접근 및 맞춤형 경험에 대한 사용자의 기대등이 복합적으로 작용해 모바일 시대는 데이터 중심의 클라우드 컴퓨팅 및 빅데이터 시대로 전환했다.(현재글)
4. AI 시대: 2020년대부터 오늘 날까지 데이터의 폭발적 증가, 컴퓨팅 파워의 향상, 그리고 새로운 알고리즘 개발 등 기술 발전은 데이터 시대에서 AI 시대로의 전환을 가져왔다

---

라운드 3. 클라우드 & 데이터 시대

데이터 중심의 클라우드 시대로 전환

기술의 발전, 데이터 수요의 증가, 사용자의 기대 변화라는 세 가지 요소가 맞물려 모바일 시대에서 클라우드 컴퓨팅과 빅데이터 시대로의 자연스러운 전환을 가져왔다.

3G, 4G와 같은 고속 모바일 네트워크의 등장은 데이터 전송 속도와 범위를 대폭 향상시켰고, 사용자는 언제 어디서나 대량의 데이터에 접근할 수 있게 됐다. 또한 모바일 기기의 급속한 보급은 사람들이 사진, 동영상, 위치 데이터 등 다양한 형태의 대량의 데이터를 생성하고 사용할 수 있는 플랫폼을 제공했다. 그리고 빅데이터 기술과 클라우드 기반 서비스의 발전으로 기업과 개인은 데이터를 더욱 효율적으로 저장하고 처리할 수 있게 되었다.

소셜 미디어, 비디오, 사진 등의 급증으로 생성되는 데이터 양이 급격히 증가했고, 기업은 고객 데이터를 분석해 소비자 행동, 시장 트렌드 및 예측 모델링을 통해 경쟁 우위를 확보하고자 했다. 여기에 빅데이터 분석은 필수적이고, AI와 머신 러닝 알고리즘은 대량의 데이터를 필요로 한다.  

사용자는 모바일 기기를 통해 생성하고 소비하는 데이터에 대해 시간과 장소의 구애를 받지 않고 접근할 수 있기를 원했고, 이는 클라우드 서비스의 필요성 증대 및 많은 클라우드 기반 애플리케이션의 등장으로 이어졌다. 또한, 사용자의 맞춤형 경험에 대한 기대로 인하여 기업은 개인의 행동 패턴을 분석해 맞춤형 콘텐츠, 광고 및 제품을 제공하는 데 빅데이터를 활용하게 되었다.

이러한 요인이 복합적으로 작용해, 모바일 시대는 점차 데이터 중심의 클라우드 컴퓨팅 및 빅데이터 시대로 자연스럽게 이행되었다.

산업 생태계의 변화

데이터 중심의 클라우드 시대는 시장 및 산업의 판도에 광범위한 변화를 가져왔다. 이러한 변화는 기술, 비즈니스 모델, 경쟁 환경, 고객 서비스 방식 등 다양한 영역에 영향을 미쳤다.

클라우드 기술은 기업이 데이터를 효율적으로 관리하고 처리할 수 있게 함으로써, 비즈니스 프로세스의 디지털화와 자동화를 촉진했고, 이는 비용 절감, 효율성 증대, 오류 감소 등의 이점을 제공했다.

클라우드 서비스는 Software as a Service(SaaS), Platform as a Service(PaaS), Infrastructure as a Service(IaaS) 등 다양한 형태로 제공되며, 기업은 초기 투자 비용 없이도 필요한 서비스를 이용할 수 있게 됐다. 또한, 클라우드를 기반으로 한 새로운 비즈니스 모델이 등장하면서 기업은 보다 유연하게 비즈니스를 확장하고 새로운 시장에 진입할 수 있게 됐다.

클라우드 기술은 기존에 분리돼 있던 산업 간의 경계를 허물고, 서로 다른 산업이 기술과 서비스를 공유하는 현상을 가속화했다. 예를 들어, 금융 서비스는 IT 기술과 결합해 핀테크 산업을 만들었고, 의료 분야에서는 클라우드를 통한 데이터 공유가 진단과 치료의 질을 향상시키고 있다.

클라우드 시대는 단순한 기술적 전환을 넘어 전반적인 비즈니스 및 산업 환경의 변화를 의미한다.그러나 이 시장 역시 주요 IT 대기업이 시장을 주도해왔고, 현재도 진행중이다. 그 중에서도 아마존 웹 서비스(Amazon Web Services, AWS), 마이크로소프트(Azure), 구글(Google Cloud Platform, GCP)이 가장 두드러진 성공을 거두며 해당 시장을 삼분하고 있다고 해도 과언이 아니다.

보안 및 프라이버시의 중요성 증대

데이터 중심의 클라우드 환경에서는 데이터 보안과 개인정보 보호가 더욱 중요해졌다. 클라우드 서비스 제공업체는 보안 인증과 규제 준수를 위해 상당한 노력을 기울이고 있으며, 이는 클라우드 기술을 채택하는 기업에게도 중대한 고려사항이 됐다. 철저한 보안 조치와 정책은 고객의 신뢰를 얻는 핵심 요소이고, 특히 금융 서비스와 같이 규제가 많은 산업에서는 국제적인 보안 표준과 규정을 충족시키며 적합한 서비스를 제공하는 것이 중요하다.

빅데이터 기술은 거대한 양의 데이터를 수집, 저장, 분석할 수 있게 해주며, 이 데이터 중 상당 부분이 개인의 사생활과 관련된 정보를 포함하고 있다. 이러한 정보는 개인의 위치, 구매 이력, 온라인 행동, 건강 상태, 심지어는 정치적 성향이나 성적 취향에 이르기까지 매우 민감할 수 있다. 따라서, 이런 정보가 부적절하게 사용되거나 노출될 경우 심각한 프라이버시 침해가 발생한다. 따라서 이러한 개인 정보를 보호하고, 데이터 관리시 필요한 적절한 조치가 이행되도록 요구하는 법규 준수가 필수적인데, 그 중 가장 엄격하고 대표적인 규제가 유럽연합의 일반 데이터 보호 규정(General Data Protection Regulation, GDPR)이다.

GDPR은 유럽 연합(EU) 내 개인정보 보호를 강화하고, EU 내의 데이터 보호 규정을 통일하여 기업이 하나의 일관된 법률을 따르도록 함으로써 법적 안정성을 도모하며, 개인 데이터의 자유로운 이동을 보장함으로써 디지털 단일 시장 내에서의 데이터 흐름과 경제활동을 촉진하는 것을 목적으로 2016년 4월에 채택되어 2018년 5월 25일부터 전면 시행됐다.

GDPR은 데이터 보호 기준을 설정함으로써 기업으로 하여금 소비자가 서비스 제공업체에 개인정보를 제공할 때 해당 정보가 안전하게 관리될 것이라는 신뢰를 구축하고 유지할 수 있도록 한다. 이 외에도 빅데이터와 관련된 기술, 특히 인공지능과 머신러닝은 개인 정보를 기반으로 의사결정을 지원할 수 있는데, 이러한 기술이 개인의 기본권을 침해하지 않도록 하기 위해, 데이터 처리 과정에서의 투명성과 책임을 강조한다.

GDPR은 위반 시 최대 연간 글로벌 매출의 4% 또는 2천만 유로 중 더 높은 금액의 벌금이 부과되는 꽤 엄격한 규제 틀로서 많은 국가가 유사한 법률을 도입하는 데 영향을 미쳤다. GDPR은 데이터 주권과 개인의 프라이버시를 중시하는 현대 디지털 사회에서 기준으로 자리매김하고 있다고 보아도 과언이 아니다.

경쟁당국 및 개인정보보호 기관의 규제

영국 정보위원회는 2019년 7월 8일, 영국항공이 해킹으로 인해 고객 50만 명의 개인정보를 유출시킨 사안에 대하여 1억 8300만 파운드(한화 약 2700억원)의 과징금을 부과했고, 하루 뒤인 2019년 7월 9일, 미국 메리어트 인터내셔널(Marriott International, Inc)에 대해서는 3억 3900만명의 고객정보 유출에 대한 책임을 물어 9920만 파운드(한화 약 1460억원)의 과징금을 부과했다. 위 과징금(약 총 4000억원)은 영국항공과 메리어트 인터내셔널 각 사 연간 매출액의 약 1.5%에 해당하는 것으로 당시에는 GDPR 시행 이후 역대 최대 규모의 과징금 사례에 해당하였다.  

GDPR 위반으로 인한 역대 최대 과징금 액수는 해마다 갱신됐고, 2023년 5월 아일랜드 개인정보보호당국은 메타(META)에게 GDPR 위반으로 12억 유로(약 1조 7000억 원)의 과징금을 부과했다. 메타가 GDPR의 규정에 위반해 아일랜드 메타의 컴퓨터 서버에 저장된 EU회원국 국민의 개인정보를 메타의 본사가 위치한 미국의 서버로 이전한 것이 문제되었고, 메타는 역외이전에 대해 규정하고 있는 GDPR 제46조의 표준계약조항을 들어 정당성을 주장했으나 유럽 사법재판소는 메타의 주장을 기각했다.

개인정보 침해에 대하여는 미국에서도 강력하게 규제하고 있다. FTC(Federal Trade Commission)는 2012년 8월, 페이스북(Facebook)의 변경된 개인정보처리방침(Privacy Policy)에 대해 시정조치 명령(consent order)을 내렸으나, 페이스북은 이후에도 사용자의 동의 없이 제3자에게 개인정보를 제공하는 등 그 시정 조치를 준수하지 않은 것이 문제되었다(트럼프 대통령의 2016 선거 캠페인을 위해 고용된 Cambridge Analytica에게 동의 없이 개인 정보를 제공해 논란이 된 바 있다). 이에 FTC는 2019년 7월 페이스북에 50억불의 과태료와 강화된 시정 조치를 부가했다.

우리나라 개인정보보호위원회도 2022년 9월 14일, 이용자 동의 없이 개인정보(이용자의 타사 행태정보)를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보 보호법을 위반한 구글과 메타에 대해 시정명령과 함께 약 1000억 원의 과징금이 부과한 바 있다.

개인정보 보호 규제와 데이터 산업의 발전 방향

GDPR과 같은 개인정보보호 법제는 데이터 보호를 강화하고, 개인의 사생활을 보호하는 것을 목적으로 하지만, 이러한 규제가 데이터 산업에 부담이 되는 것으로 여겨지는 것도 사실이다. 데이터 주도의 혁신은 대량의 데이터 분석과 자유로운 정보 흐름에 의존할 수 밖에 없는데, 엄격한 법규는 데이터의 수집과 활용을 제한함으로써, 인공지능, 머신 러닝, 빅 데이터 분석과 같은 혁신적인 기술 개발을 저해할 수도 있기 때문이다. 또한 법규 준수를 위해서 기업은 고가의 보안 시스템을 도입하고, 법적 자문을 구하는 등 추가 비용을 지출해야 하는데, 특히 중소기업에게 이러한 비용은 상당한 부담으로 작용할 수 있다.

반면, 위 규제를 준수함으로써 기업은 데이터 보호가 중요한 다른 지역으로의 사업 확장의 길이 열릴 수도 있고, 글로벌 비즈니스 환경에서의 경쟁력이 강화될 수도 있다. 또한, 소비자 신뢰를 얻으며, 데이터 관리 및 보안 기술을 선도할 수 있다는 측면에서는 데이터 산업에 대한 도전이자 기회일 수도 있다.

엄격한 개인정보보호 법규는 필요한 보호를 제공하지만, 동시에 산업 생태계에 부담을 줄 수 있다는 측면에서 혁신과 개인 정보 보호 간의 균형을 고려하여 설계돼야 한다. 때로는 데이터 자체를 보호하는 것인지, 이용자를 보호하는 것인지 모호한 상황이 있다. 이를 방지하기 위해 규제기관은 데이터 산업에 대한 이해와 이용자의 이익 보호를 기반으로 유연하게 규범을 적용해야 할 것이다. 규범 해석 및 집행의 유연성을 높이고, 기업의 부담을 완화하기 위한 정책 또한 함께 마련된다면, 개인정보보호 규제와 데이터 산업은 상호 윈윈하는 관계를 구축할 수 있을 것이다.

결국, GDPR과 같은 개인정보 보호 규범은 데이터 보호의 강화 뿐만 아니라, 산업 전반의 혁신을 촉진하는 중요한 역할을 할 것이고, 기업도 데이터 보호 규제를 잘 이해하고 적극적으로 활용한다면, 데이터 산업은 지속적으로 성장하고 발전할 것이라고 기대한다. 

• GDPR
• 개인정보보호
• 메타
• 페이스북