NOYB의 초창기 고소로부터 최근 페이스북과 FTC의 합의까지
[보안뉴스 문가용 기자] 2019년은 그 무엇보다 “GDPR이 현실이 된 해”로 기억될 것이다. 전반기 동안 심상치 않은 부글부글 끓어오더니 아직 다 지나가지도 않은 7월에만 엄청난 벌금형들이 내려졌다. GDPR은 아니지만 미국에서도 이 추세에 맞는 판결이 있었다.
[이미지 = iclickart]
가트너의 수석 분석 책임자인 네이더 헤네인(Nader Henein)은 “GDPR이 제대로 칼을 뽑아 듦으로써 실체 없는 유령이 아니라는 걸 증명하기 시작했다”고 말한다. “이제 규제 기관들이 기업들에게 강력한 메시지를 전달하고 있습니다. 소비자의 데이터를 지금보다 훨씬 더 안전하게 보호하라고 말이죠. 제가 보기에 많은 기업들이 GDPR이 실제로 작용을 할 것인지 아닐 것인지 눈치만 보고 있었어요. 그리고 이번 벌금 사태로 화들짝 놀랐죠.”
그러나 조금 무거운 벌금이 내려졌다고 GDPR이 갑자기 실체가 되는 건 아니라고 보안 업체 바로니스(Varonis)의 수석 보안 아키텍트인 맷 라돌렉(Matt Radolec)은 말한다. “진짜 변화는 정책을 만들고 시행하는 규제 기관, 권리와 책임을 모두 이행하는 소비자와 기업, 가이드라인을 제시해야 하는 보안과 프라이버시 전문가 셋이 함께 움직일 때 발생하는 겁니다.”
라돌렉은 “그런 세 요소들 중 하나가 먼저 움직이기 시작했으니, 이제 보안 산업이 움직일 차례”라고 강조했다. “GDPR이 원하는 바인 소비자 정보 보호를 제대로 이뤄내기 위한 실질적인 가이드라인을 보안 산업이 개발해 기업들에 제공해야 합니다. 그것이 최근 이어지고 있는 벌금 행렬에 대한 우리의 응답입니다.” 응답하기에 앞서 이번 주말판에서는 GDPR을 실체화시킨 여섯 개의 사건들을 시간대별로 정리해보았다.
1. NOYB, 여덟 개의 기술 기업들 고소
프라이버시 전문 그룹인 NOYB(Non Of Your Business)가 유럽연합의 GDPR 규정을 위반했다는 내용의 고소장을 제출했는데, 여기에 최소 여덟 개의 기업들이 언급되어 있었다. NOYB의 의장인 맥스 슈렘즈(Max Schrems)는 자신의 고소장에서 언급된 기업들 중 그 어떤 곳도 제대로 GDPR을 지키고 있지 않다고 주장했다. 소비자들의 요청에 응답하기 위한 자동화 시스템을 갖추고는 있지만, 정보 열람 요청에 제대로 대응하는 곳은 없다는 것이었다. “이런 기업들이 마련한 시스템은 시민들의 정보 열람 권한을 침해하고 있습니다.” 고소장은 오스트리아에서 접수됐고, 8개의 기업은 애플, 아마존, 넷플릭스, 스포티파이, 유튜브 등이다.
2. 프랑스 당국, 구글에 5700만 달러 벌금형 내려
벌금에 있어서는 프랑스 당국이 포문을 열었다. 미국의 대기업 구글에 5700만 달러라는 벌금형을 내린 것이다. 1월에 있었던 일이었다. 정확히는 프랑스의 국가정보위원회(CNI)가 내린 결정으로, “구글이 개인정보를 어떤 식으로 수집하고 사용하는지, 고객들에게 전부 다 공개하지 않고 있다”는 것이 그 이유였다. 또한 CNI는 구글이 개인화 된 광고를 사용자들에게 제공하기 위해 제대로 된 동의 절차를 갖추지 않았다고도 주장했다.
3. 독일, 41개 조직에 벌금형 내려
2월, 독일 당국이 GDPR과 관련하여 벌금형을 갑자기 41개나 내려버렸다. 보도가 된 건 2월이지만 일이 일어난 건 1월이었다. 형을 받은 곳은 전부 독일 회사들이었다. 이 중 가장 높은 벌금은 8만 유로였다. 의료 건강 관련 데이터를 관리하는 기업이었다. 그 다음은 2만 유로의 벌금이 채팅 포털회사인 크누델(Knuddels)에게 떨어졌다. 크누델은 GDPR이 시행되기 시작한 2018년 데이터 침해사고를 겪은 바 있다. 당시 해커들이 평문으로 저장되어 있던 비밀번호를 훔쳐가면서 크누델에게도 적잖은 비판이 있었다.
4. 영국항공, 사상초유의 2억 3천만 달러 벌금형 받아
1~3번까지의 일이 진행되면서 분위기는 충분히 달궈졌다. 그러더니 7월, 영국 당국이 무려 2억 3천만 달러에 해당하는 벌금을 영국공항에 내렸다. 영국 정보위원회는 이 벌금을 발표하며 “영국항공의 보안 상태가 좋지 않았고, 이 때문에 50만 고객의 정보가 사이버 공격자들의 손에 넘어가게 됐다”고 그 이유를 밝혔다. 또한 영국항공만이 아니라 비슷한 실수와 잘못을 저지르는 기업이라면 비슷한 벌금형을 받을 수 있다고 경고하기까지 했다.
5. 메리어트 인터내셔널, 영국에서 대형 벌금형 받아
영국항공이 큰 벌금을 받아 세상이 떠들썩해지고 바로 다음 날, 영국 정보위원회는 다시 한 번 세상을 놀래켰다. 바로 메리어트 인터내셔널 그룹에 최고 1억 2400만 달러의 벌금을 내릴 계획이라고 발표했기 때문이다. 이는 2018년 발생한 스타우드 호텔(Starwood Hotel) 정보 유출 사고에 대한 판결로, 당시 5억명의 숙박객들이 피해를 본 것으로 알려져 있다. 하지만 1억 2400만 달러는 확정된 벌금 액수가 아니었다. 영국 정보위원회는 메리어트 측의 항변을 들어보고 최종 금액을 결정하겠다고 했다.
6. 미국의 연방거래위원회, 페이스북과 50억 달러에 합의
유럽이 아닌 미국의 일이다. 연방거래위원회(FTC)와 페이스북이 이번 달 캠브리지 애널리티카(Cambridge Analytica) 스캔들에 대한 합의에 이르는 데 성공했다. 캠브리지 애널리티카 스캔들이란, 2016년 미국 대선 운동이 벌어지고 있던 당시 캠브리지 애널리티카라는 정보 분석 전문 회사가 페이스북 플랫폼을 통해 여론을 조작했다 내용의 대형 프라이버시 침해 사건이다. 합의에 따르는 금액은 50억 달러로, 이는 연방거래위원회 역사상 최고의 금액이라고 한다. 종전 기록은 2012년 구글과 합의하며 받아낸 2250만 달러였다.
하지만 이 벌금 규모에 대해서 미국 국회는 별로 만족하지 않는 분위기다. 공화당과 민주당 의원들 모두 “손목에 매 한 대 맞은 정도”라고 표현했다. 그러면서 보다 구조적인 변화를 요구해야 한다고 주장했다. 분석가들도 50억 달러는 페이스북의 한달 수익에 불과하다고 꼬집었다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>