윤종인 초대 위원장 사퇴, 후임자로 고학수 서울대 교수 거론
최근 구글과 메타(구 페이스북)가 정부로부터 1000억원대 과징금을 부과받자 세간의 이목이 쏠렸다. 그런데 공정거래위원회, 국세청 등 익숙한 권력기관 대신 개인정보보호위원회란 다소 낯선 이름이 거론됐다. 개인정보위는 ‘우리나라 개인정보 보호 정책을 총괄한다’는 사명 아래 불과 2년 전에 출범한 신생 부처다. 그동안 이렇다 할 존재감이 없다가 이번 제재로 본격적인 활동을 위한 기지개를 켰다. 기업들은 데이터 경제 시대가 본격화했음을 알리는 신호탄으로 받아들이는 동시에 향후 개인정보위의 조사·처분이 어디로, 어떻게 펼쳐질지 촉각을 곤두세우는 분위기다.
시사저널 취재를 종합하면, 요즘 들어 상당수 기업이 개인정보 보호 정책의 고삐를 죄고 있다. 개인정보위의 구글·메타 조사와 제재가 촉매제 역할을 했다. 익명을 요구한 국내 IT 플랫폼 기업의 개인정보보호책임자(CPO)는 “디지털 프라이버시권(온라인상에서 개인이 자신의 의사에 반해 함부로 알려지거나 간섭받지 않을 권리)에 대한 사회적 관심이 점점 커져 왔는데도 기업 현장에서는 개인정보 보호 업무가 여전히 걸음마 수준이고 관련 인력 채용과 교육 등 투자도 미흡했던 게 사실”이라며 “이런 가운데 나온 ‘1000억원 과징금’ 결정이 적잖은 충격파를 주고 있다. 엄격한 개인정보 보호 규정이 담긴 개인정보법을 더욱 타이트하게 집행하겠다는 신호로 읽히기에 기업들이 바짝 긴장할 수밖에 없다”고 말했다.
구글에 692억원, 메타에 308억원 과징금 의결
개인정보위는 9월14일 전체회의를 열어 구글에 692억원, 메타에는 308억원의 과징금 부과를 의결했다. 이용자의 타사 행태정보, 즉 개인정보를 동의를 받지 않고 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보보호법을 위반했다는 이유에서다. 행태정보는 웹사이트와 애플리케이션(앱) 방문·사용 이력, 구매·검색 이력 등 이용자의 기호, 성향, 관심사 등을 알 수 있는 온라인상 활동 정보를 말한다.
온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용에 관한 첫 번째 제재이자, 개인정보보호법 위반 사항으로는 가장 큰 규모의 과징금 부과에 재계가 술렁였다. 국내 주요 로펌들도 예상을 뛰어넘는 과징금 액수에 놀라며 개인정보보호법 이슈 대응력을 높이려는 모습이다. ‘최초’ ‘최대’란 불명예를 동시에 안은 구글과 메타는 모두 개인정보위의 대규모 과징금 부과 의결에 유감을 표시했다.
더 나아가 메타는 개인정보위의 의결서를 받기도 전에 법적 대응 가능성을 언급하며 격앙된 반응을 나타냈다. 메타 관계자는 “개인정보위의 결정에 동의할 수 없으며, 법원의 판단을 포함한 모든 가능성을 열어둔 채 사안을 면밀히 검토할 방침”이라고 했다. 안 그래도 주수입원인 온라인 맞춤형 광고 매출이 뚝 떨어져 실적 부진을 겪어온 메타엔 엎친 데 덮친 격이다. 메타는 2년 전 개인정보보호법 위반 과징금 중 역대 최대 규모였던 67억원을 부과받은 데 이어 이듬해 64억4000만원 과징금, 올해 308억원 과징금 등 3년 연속 개인정보위로부터 최고 수준의 제재를 당했다.
이번에 메타보다 두 배 이상 많은 과징금을 부과받은 구글도 법적 대응에 나설 여지가 있다. 국내 최대 로펌인 김앤장법률사무소가 구글·메타의 법률대리인이다. 개인정보위 측은 구글·메타의 매출 규모와 위법행위에 비춰볼 때 처분이 결코 과하지 않다는 입장이다. 서울 종로구 정부서울청사 내에 있는 개인정보위에서 관계자들을 직접 만나 부연 설명과 뒷이야기를 들어봤다. 조사·처분의 전 과정을 진두지휘한 박영수 개인정보위 조사1과장은 “양사가 제출한 전체 실적 자료를 토대로 한국의 매출액, 그중에서도 위반 사항 관련 매출액을 산출해 규정에 따라 해당 금액의 3% 이내로 과징금을 부과했다”며 “이 밖에 법 위반의 중대성, 조사 협조 태도, 지난 3년 새 동일한 위법행위로 과징금을 부과받았는지 여부 등을 두루 감안했다”고 설명했다.
메타 추가 조사…다른 기업들도 감시망에
글로벌 빅테크 기업들은 이용자의 눈길이 머무를 만한 상품을 알아서 골라 보여주는 온라인 맞춤형 광고로 전 세계에서 막대한 부를 창출하고 있다. 한국의 경우 올해 디지털 광고비 약 6조원 중에서 절반 이상인 3조5000억원 정도가 글로벌 빅테크 기업에 돌아갈 것으로 추정된다. 일각에선 한국인의 개인정보를 기반으로 만들어진 광고 수익이 해외(글로벌 빅테크 기업)로 빠져나가는 게 국부 유출이라고 지적하기도 한다.
사실 국내외 기업을 막론하고 이용자의 타사 행태정보로 온라인 맞춤형 광고를 만드는 행위 자체는 죄가 될 수 없다. 오히려 데이터 경제 시대에 개인정보를 활용해 부가가치를 생산하는 일은 일반적일뿐더러 권장돼야 마땅하다. 문제는 이용자로부터 적법한 동의를 받고 유출을 철저히 예방하는 등 안전하게 개인정보를 활용하는지다. 강대현 개인정보위 혁신기획담당관은 “구글과 메타는 이용자들이 정확히 인지하지 못하는 사이 너무나 많은 타사 행태정보를 수집해 활용하고 있었기에 제동을 걸어야만 했다”면서 “제재의 취지는 개인정보를 ‘이용하지 말라’는 게 아니라 ‘이용하려면 사전에 명확히 알리라’는 메시지를 보내는 것”이라고 강조했다.
타사 행태정보는 이용자가 다른 웹사이트나 앱을 사용하는 과정에서 자동으로 수집된다. 자신의 어떤 정보(어디서 어떤 행태를 보였는지)가 수집되는지 인지하기 어렵다. 특히 계정 정보와 연결해 온라인 맞춤형 광고에 이용된 행태정보는 이용자 계정으로 접속한 모든 기기에 걸쳐 활용될 수 있다. 계속 쌓이면 민감한 정보가 생성될 우려가 커진다. 개인정보위는 구글이 유럽에서 가입자를 받을 땐 행태정보 수집에 관해 단계별로 구분해 동의를 구한다는 점도 발견했다. 한국 이용자들의 프라이버시권을 손쉽게 침해한 것과는 대조적이다. 또 메타는 지난 7월 한국의 기존 페이스북·인스타그램 이용자들이 행태정보 수집에 동의하지 않으면 서비스를 이용하지 못하도록 동의 방식을 변경하려다 거센 반발에 부닥쳐 철회했다.
현재 개인정보위는 메타의 동의 방식 변경 시도에 관한 부분을 추가로 조사하고 있다. 박영수 조사1과장은 “두 달여 전 논란이 빚어진 직후 조사에 착수했으나, 이용자 피해를 조금이라도 더 줄이고자 일단 법 위반이 명확히 입증된 건(구글과 메타의 행태정보 수집·이용 동의 위반)부터 처분했다”고 밝혔다. 개인정보위의 강력한 시장 개선 의지를 엿볼 수 있는 대목이다. 구글과 메타 외 다른 사업자의 개인정보법 위반 사항에 대한 조사도 진행되고 있다고 개인정보위 측은 전했다.
개인정보위의 칼날이 구글·메타 등 글로벌 빅테크 기업에만 향하는 건 물론 아니다. 앞서 개인정보위는 발란(과징금 5억1259만원 부과), 브랜디(과징금 3억8900만원 부과), 샤넬코리아(과징금 1억2616만원 부과), EBS(과징금 5105만원 부과), KT(과징금 5000만원 부과), LG유플러스(과태료 600만원 부과) 등 국내외 다양한 사업자의 개인정보보호법 위반 행위에 대해서도 제재를 가했다. 여타 권력기관에 비해 제재 수준이 상대적으로 낮아 별다른 주목을 받진 못했다. 강대현 혁신기획담당관은 “큰 기업이든 작은 기업이든 공공기관이든 위법행위를 저지르면 조사해 합당한 처분을 내려왔다. 관련 매출의 3% 이내로 제한된 과징금 산정 기준으로 인해 제재 강도가 약한 것으로 비칠 순 있다”며 “개인정보위가 신생 부처인 데다 규모도 작다 보니 ‘제대로 기능하고 있는지’ 의구심을 보내는 시선도 없지 않았는데, 1년6개월간 철저히 조사해 처분한 이번 구글·메타 건이 우리 조직의 역할과 위상을 재정립하는 계기가 될 것으로 기대한다”고 했다.
“개인정보위의 주안점은 규제 아닌 정책”
개인정보위는 프라이버시권 침해에 대한 경각심과 법적 구속력을 더욱 높이기 위해 과징금을 현행 ‘위법행위 관련’ 매출액이 아닌 ‘전체’ 매출액의 3%로 상향하는 등의 내용을 담은 개인정보보호법 개정안을 마련했다. 개정안은 지난해 9월 국무회의 의결을 거쳐 국회에 제출됐다. 이를 지켜보는 기업들의 마음이 편할 리 없다. 곳곳에서 우려와 반발의 목소리가 터져 나왔다. 개인정보위는 민·관 회의, 토론회 등을 열어 재계의 오해를 불식시키고 법 개정의 당위성을 알리는 데 매진하는 중이다. 개정안이 각각 전체 매출의 4%, 5%를 과징금 상한선으로 둔 유럽과 중국 등 국제사회 흐름을 반영한 것이며, 형벌을 줄이고 의도적·반복적으로 법을 어기는 기업에 대한 경제적 제재로 전환하려는 취지라는 점을 집중적으로 어필한다.
강대현 혁신기획담당관은 “개인정보위가 과징금 부과 등 규제 중심의 기관은 아니다. 개인정보를 보호하고 안전하게 활용토록 하기 위한 정책을 제대로 추진하는 것이 주안점”이라며 “개인정보 보호 이슈의 중심에 있는 신(新)산업 분야에서 자생적 규율 체계를 확립하는 방안도 깊이 고민하고 있다”고 밝혔다. 실제로 개인정보위는 7월13일 쿠팡, 네이버, 카카오 등 국내 온라인 쇼핑 중개 플랫폼 기업 10개사가 마련한 개인정보 보호 자율 규제안을 승인하고, 이들 기업에 2년간 과징금·과태료 감경 등 인센티브를 부여키로 했다.
■ 尹 정부 첫 위원장 곧 임명
현재 개인정보위원회를 이끄는 위원장 자리는 사실상 공석이다. 2020년 8월5일 개인정보위 출범과 함께 취임한 윤종인 위원장(행시 31회)이 임기(2023년 8월4일)를 1년여 앞두고 최근 사직서를 제출했기 때문이다. 윤 위원장의 사의 표명 이유는 알려지지 않았다. 전임 문재인 정부에서 행정안전부 차관에 이어 장관급인 개인정보위원장으로 임명된 윤 위원장이 새 정부에 부담을 주지 않기 위해 용퇴를 결심한 것으로 관가는 해석한다.
개인정보보호법 개정 추진, 거대 플랫폼 기업의 개인정보 오남용 방지, 디지털 취약계층에 대한 개인정보 보호 체계 확립 등 현안이 산적해 있는 개인정보위 입장에선 신임 위원장의 조속한 임명이 절실한 상황이다. 부위원장 자리도 8월19일 전임 최영진 부위원장(행시 36회) 사퇴 이후 한 달 넘게 비어있다가 9월27일 최장혁 사무처장(행시 36회)이 내부 승진함으로써 겨우 채워졌다.
신임 위원장 하마평에는 학계, 법조계, 관계 등의 다양한 인사가 오르내리고 있는데, 고학수 서울대 법학전문대학원 교수(사진)가 유력한 것으로 전해진다. 고 교수는 서울대 경제학과에서 학사와 석사 학위를 취득했고, 미국 컬럼비아대 로스쿨(JD)과 경제학과(박사)에서 각각 학위를 받았다. 법경제학, 개인정보 보호, 빅데이터, 인공지능(AI), IT 정책 등에 관해 연구하고 강의해 왔다. 이르면 10월초 취임할 새 위원장 체제의 개인정보위는 윤석열 정부 주요 국정과제인 ‘디지털 플랫폼 정부’를 구현하는 데 핵심적 역할을 수행할 전망이다.
