유럽 개인정보보호규정(GDPR) 사상 역대 최대치 벌금 부과
DPC, 페이스북 유럽 이용자 수백만 명 데이터에 대한 美 보호장치 불충분
벌금형 받은 메타 항소 의사 밝혀...“유럽에서의 페이스북 중단 없을 것”

[보안뉴스 이소미 기자] 유럽연합(이하 EU)이 페이스북과 인스타그램의 모기업인 메타(Meta)를 상대로 ‘13억 달러’라는 기록적인 벌금을 부과했다. 페이스북 유럽 이용자들의 개인정보를 미국 서버로 무분별하게 전송한 혐의로 개인정보 보호법을 위반했다는 게 그 이유다. 13억 달러의 벌금은 유럽의 개인정보보호 규정인 GDPR(General Data Protection Regulation)에 따른 부과된 금액 중 사상 최대치 금액이다.


[이미지=gettyimagesbank]

유럽의 최고 개인정보보호 규제 기관인 데이터보호위원회(DPC : Data Protection Commitee)는 지난 22일(현지시간) 성명을 통해 “메타가 페이스북 유럽 이용자의 기본적 권리와 자유에 대한 위험을 고려하지 못했다”고 말했다. 이와 함께 메타는 표준계약조항(SCC : Standard Contractual Clauses)에 따라 앞으로 5개월 동안 페이스북의 유럽 데이터를 미국으로 이전하는 것을 중단하는 조치를 취하라고 명령하기도 했다.

이에 대해 메타의 유럽 본부가 있는 아일랜드의 데이터보호위원회 의장은 “메타의 침해는 체계적이고 반복적이며 지속적인 전송에 관한 것이기 때문에 매우 심각하다”면서, “페이스북은 유럽에만 수백만 명의 사용자가 있기 때문에 전송되는 개인 데이터 양이 심각하고 방대해 전례 없는 벌금이 부과된 것”이라고 외신은 전했다.

다만, 이번 사안은 개인정보 데이터를 옮긴 것 자체를 문제로 삼은 것은 아니다. 실질적인 문제는 개인 데이터를 옮기고 저장할 때, 미국의 정부기관들로부터 안전하게 보호해야 하는데, 그러한 보호장치가 충분히 마련되지 않았다는 것이 유럽 측 시각이다.

사실 유럽과 미국 거대 빅테크 기업 간의 이용자 데이터 전송 관련 갈등은 어제 오늘 일은 아니다. 2000년도에는 유럽과 미국 간의 자유로운 개인신상정보 전송에 관한 조약인 ‘세이프 하버 협정’이 존재했다. 당시 세이프 하버에 등록해 조약을 준수하는 기업들은 개인정보에 대한 적절한 조치를 취하는 것으로 간주했다.

그러나 CIA·NSA 출신의 보안 전문가 에드워드 스노든에 의한 무차별적인 개인정보 침해 내부 고발 사건으로 유럽정보보호 당국은 세이프 하버를 무력화시켰다. 그의 폭로 내용은 NSA 감청 사실과 구글의 지도 서비스인 스트리트뷰 제작촬영 과정에서 불특정 다수의 이메일과 비밀번호 등을 수집했다는 것이다.

이후 2016년 미국과 EU의 개인정보보호 관련 합의인 ‘프라이버시 실드(Privacy Shield)’가 등장한다. 하지만 이 협약도 그리 오래 가진 못했다. 2020년에 아일랜드 데이터보호위원회(DPC)가 미국 페이스북 측에 유럽 이용자 데이터 전송금지 명령을 내린 것이다. 해당 조치로 유럽 최고법원인 유럽사법재판소(이하 ECJ : European Court of Justice)가 프라이버시 실드에 대해 무효 판결을 내린 바 있다.

이번에 유럽에서 메타를 상대로 역대 최대의 벌금 부과 명령을 내리면서 미국과 유럽 사이에 데이터 전송과 관련된 논란은 쉽게 사그라들지 않을 전망이다. 또한, 일각에선 메타는 유럽에 상당한 이용자들을 보유하고 있기 때문에 데이터 전송을 제한한다면 그들의 광고 사업에도 막대한 타격을 입을 가능성이 제기된다.

메타의 글로벌 담당 닉 크레그는 “성명에서 데이터가 국경을 넘어 전송되는 건 글로벌 개방의 상징인 인터넷이 작동하는 근본 원리이며, 수천 개의 기업과 기타 조직 사람들이 매일 사용하는 서비스를 운영·제공하기 위해 EU와 미국 간 데이터 전송 기능에 의존할 수 밖에 없다”고 말했다.

한편, 메타는 “해당 판결에 항소하겠다”고 밝히면서 “유럽에서 페이스북 중단은 없을 것”이라고 덧붙였다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>