해외에서는 메타 1조 7,100억원, 한국에서는 구글 692억원 최대
2020년 이후 벌금 규모 높아지는 추세...1억원 이상 벌금 기업 20개
[보안뉴스 원병철 기자] 얼마 전, 페이스북과 인스타그램 등을 운영하는 메타(Meta)가 EU로부터 GDPR 위반에 따른 벌금 12억유로(한화 약 1조 7,100억원)을 부과받으면서 EU GDPR 위반 벌금 최대 금액을 갱신했다. 그렇다면 개인정보 침해 관련 세계 최대 규모의 벌금은 어느 정도일까?
[이미지=gettyimagesbank]
지금까지 개인정보보호 위반 관련해서 가장 많은 벌금은 2019년 미국 연방거래위원회(FTC)가 메타에 부과한 50억달러(한화 약 6조 5,000억원)다. FTC는 메타가 개인정보보호 위반사항이 있다며 50억달러를 부과했다. 게다가 2023년 FTC는 메타가 다시 이 규정을 위반했다며 제재에 나섰다. 이 금액은 개인정보 침해와 관련한 벌금 중 가장 큰 금액이며, 그 이전 최고 금액의 20배에 달한다고 FTC는 밝혔다.
메타 이전에는 역시나 EU가 아마존에 부과한 8억 7,700만달러(한화 약 1조 1,434억원)가 손꼽힌다. 또한, 미국의 게임 플랫폼 에픽게임즈가 FTC로부터 부과 받은 5억 2,000만 달러(한화 약 6,809억원)와 왓츠앱이 EU에게 부과 받은 2억 2,500만유로(한화 약 3,202억원)도 주목할 만한 액수다.
▲한국에서 부과된 개인정보 침해 관련 벌금 TOP 10[자료=보안뉴스]
해외에서 부과된 벌금은 그야말로 천문학적인 액수다. 그럼 우리나라에서 부과된 벌금은 어느 수준일까? 현재까지 우리나라에서 부과된 정보보호·개인정보보호 관련 벌금 중 가장 높은 액수는 2022년 9월 구글과 메타가 ‘개인정보 불법 수집’ 등의 이유로 부과받은 692억원(구글)과 308억원(메타)이다. 이번 조사·처분은 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재이자, 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금이다. 해당 과징금은 개인정보보호법 제39조의15의 ‘위반행위와 관련한 매출액의 100분의 3이하에 해당하는 과징금 부과’에 따라, 구글 및 메타가 제출한 3개년도 매출액에서 국내 이용자 비율을 곱한 금액의 3개년 평균을 토대로 위반행위의 중대성과 기간 등을 고려해 책정된 것으로 알려졌다.
메타는 지난 2021년 8월(당시는 페이스북) 얼굴인식 정보 무단 수집 등 6개 법을 위반한 이유로 64억 4,000만원의 과징금을 부과 받았다. 개인정보위는 동의 없는 얼굴정보 수집 등 위반 사항에 대해 △동의 없이 수집된 얼굴정보를 파기하거나 동의를 받을 것 △법적 근거 없는 주민등록번호 처리를 금지하고 수집된 자료는 파기할 것 △개인정보 국외이전 관련 내용과 개인정보 처리위탁 내용을 공개할 것 등의 시정명령을 내렸다. 개인정보 추가 수집 시 법정 고지사항이 불명확해 개인정보 처리실태가 미흡한 점은 △법정 고지사항을 이용자가 쉽게 확인할 수 있게 개선하도록 권고했다.
한국 기업 중 가장 많은 벌금을 부과 받은 곳은 인터파크다. 2016년 5월 해킹으로 2,500만여건의 회원정보가 유출된 인터파크는 방통위로부터 44억 8,000만원의 과징금과 2,500만원의 과태료는 물론 재발방지 대책을 수립·시행토록 하는 시정명령을 부과 받았다. 인터파크의 개인정보 유출규모는 아이디와 일련번호만 유출되어 개인정보 건수에서 제외한 법인 및 개인 탈퇴회원 4,426,240건을 제외하더라도 총 25,403,576건에 달해 역대 3위에 해당된다. 또한, 유출된 회원정보는 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목에 이른다. 이는 2014년 1월 카드 3사의 개인정보 유출건수 1억 4백만여 건과 2011년 네이트의 3,500만여 건에 이은 규모다. 다만 과징금 및 과태료 규모 측면에서는 천지차이다. 카드 3사 사건의 경우 카드사별로 1,500만원과 1,000만 사이에 벌금에 그쳤고, 네이트는 법원에 의해 ‘혐의 없음’ 판결로 면죄부를 받았다.
한국 기업의 과징금 2위는 위메프다. 위메프는 2018년 블랙프라이데이 행사 중 로그인 오류로 20명의 개인정보가 다른 회원에게 노출돼 정보통신망법 위반으로 과징금 18억 5,200만원과 과태료 1,000만원을 방통위로부터 부과 받았다. 위메프는 2017년에도 고객 개인정보 420건이 노출되는 사고로 시정명령을 받았기 때문에 사건 규모에 비해 높은 과징금을 부과받은 것으로 알려졌다.
같은 교육기업인 메가스터디와 천재교과서는 나란히 9억 5,400만원과 9억 335만원으로 한국기업 과징금 3위와 4위를 차지했다. 메가스터디는 2020년 방통위로부터 개인정보의 보호조치 미흡에 따른 개인정보 유출로 과징금을, 천재교과서는 2021년 개인정보위로부터 접근권한이 없는 천재교육이 초등 밀크티 개인정보처리 시스템에 접근할 수 있도록 운영해 밀크티 이용자 2만 3,624명의 개인정보가 유출된 이유로 과징금을 부과 받았다.
한편, 국내에서 부과된 벌금은 2020년 이후 점점 높아지는 추세다. 벌금 TOP 10 순위에서 2020년 이후 부과된 벌금이 총 6개나 포함된 것. 아직 해외처럼 천문학적인 금액의 벌금이 나오진 않았지만, 우리나라도 벌금 규모가 조금씩 커지면서 기업들 역시 개인정보 및 정보보호에 대한 고민이 더욱 깊어질 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
2020년 이후 벌금 규모 높아지는 추세...1억원 이상 벌금 기업 20개
[보안뉴스 원병철 기자] 얼마 전, 페이스북과 인스타그램 등을 운영하는 메타(Meta)가 EU로부터 GDPR 위반에 따른 벌금 12억유로(한화 약 1조 7,100억원)을 부과받으면서 EU GDPR 위반 벌금 최대 금액을 갱신했다. 그렇다면 개인정보 침해 관련 세계 최대 규모의 벌금은 어느 정도일까?
[이미지=gettyimagesbank]
지금까지 개인정보보호 위반 관련해서 가장 많은 벌금은 2019년 미국 연방거래위원회(FTC)가 메타에 부과한 50억달러(한화 약 6조 5,000억원)다. FTC는 메타가 개인정보보호 위반사항이 있다며 50억달러를 부과했다. 게다가 2023년 FTC는 메타가 다시 이 규정을 위반했다며 제재에 나섰다. 이 금액은 개인정보 침해와 관련한 벌금 중 가장 큰 금액이며, 그 이전 최고 금액의 20배에 달한다고 FTC는 밝혔다.
메타 이전에는 역시나 EU가 아마존에 부과한 8억 7,700만달러(한화 약 1조 1,434억원)가 손꼽힌다. 또한, 미국의 게임 플랫폼 에픽게임즈가 FTC로부터 부과 받은 5억 2,000만 달러(한화 약 6,809억원)와 왓츠앱이 EU에게 부과 받은 2억 2,500만유로(한화 약 3,202억원)도 주목할 만한 액수다.
▲한국에서 부과된 개인정보 침해 관련 벌금 TOP 10[자료=보안뉴스]
해외에서 부과된 벌금은 그야말로 천문학적인 액수다. 그럼 우리나라에서 부과된 벌금은 어느 수준일까? 현재까지 우리나라에서 부과된 정보보호·개인정보보호 관련 벌금 중 가장 높은 액수는 2022년 9월 구글과 메타가 ‘개인정보 불법 수집’ 등의 이유로 부과받은 692억원(구글)과 308억원(메타)이다. 이번 조사·처분은 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재이자, 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금이다. 해당 과징금은 개인정보보호법 제39조의15의 ‘위반행위와 관련한 매출액의 100분의 3이하에 해당하는 과징금 부과’에 따라, 구글 및 메타가 제출한 3개년도 매출액에서 국내 이용자 비율을 곱한 금액의 3개년 평균을 토대로 위반행위의 중대성과 기간 등을 고려해 책정된 것으로 알려졌다.
메타는 지난 2021년 8월(당시는 페이스북) 얼굴인식 정보 무단 수집 등 6개 법을 위반한 이유로 64억 4,000만원의 과징금을 부과 받았다. 개인정보위는 동의 없는 얼굴정보 수집 등 위반 사항에 대해 △동의 없이 수집된 얼굴정보를 파기하거나 동의를 받을 것 △법적 근거 없는 주민등록번호 처리를 금지하고 수집된 자료는 파기할 것 △개인정보 국외이전 관련 내용과 개인정보 처리위탁 내용을 공개할 것 등의 시정명령을 내렸다. 개인정보 추가 수집 시 법정 고지사항이 불명확해 개인정보 처리실태가 미흡한 점은 △법정 고지사항을 이용자가 쉽게 확인할 수 있게 개선하도록 권고했다.
한국 기업 중 가장 많은 벌금을 부과 받은 곳은 인터파크다. 2016년 5월 해킹으로 2,500만여건의 회원정보가 유출된 인터파크는 방통위로부터 44억 8,000만원의 과징금과 2,500만원의 과태료는 물론 재발방지 대책을 수립·시행토록 하는 시정명령을 부과 받았다. 인터파크의 개인정보 유출규모는 아이디와 일련번호만 유출되어 개인정보 건수에서 제외한 법인 및 개인 탈퇴회원 4,426,240건을 제외하더라도 총 25,403,576건에 달해 역대 3위에 해당된다. 또한, 유출된 회원정보는 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목에 이른다. 이는 2014년 1월 카드 3사의 개인정보 유출건수 1억 4백만여 건과 2011년 네이트의 3,500만여 건에 이은 규모다. 다만 과징금 및 과태료 규모 측면에서는 천지차이다. 카드 3사 사건의 경우 카드사별로 1,500만원과 1,000만 사이에 벌금에 그쳤고, 네이트는 법원에 의해 ‘혐의 없음’ 판결로 면죄부를 받았다.
한국 기업의 과징금 2위는 위메프다. 위메프는 2018년 블랙프라이데이 행사 중 로그인 오류로 20명의 개인정보가 다른 회원에게 노출돼 정보통신망법 위반으로 과징금 18억 5,200만원과 과태료 1,000만원을 방통위로부터 부과 받았다. 위메프는 2017년에도 고객 개인정보 420건이 노출되는 사고로 시정명령을 받았기 때문에 사건 규모에 비해 높은 과징금을 부과받은 것으로 알려졌다.
같은 교육기업인 메가스터디와 천재교과서는 나란히 9억 5,400만원과 9억 335만원으로 한국기업 과징금 3위와 4위를 차지했다. 메가스터디는 2020년 방통위로부터 개인정보의 보호조치 미흡에 따른 개인정보 유출로 과징금을, 천재교과서는 2021년 개인정보위로부터 접근권한이 없는 천재교육이 초등 밀크티 개인정보처리 시스템에 접근할 수 있도록 운영해 밀크티 이용자 2만 3,624명의 개인정보가 유출된 이유로 과징금을 부과 받았다.
한편, 국내에서 부과된 벌금은 2020년 이후 점점 높아지는 추세다. 벌금 TOP 10 순위에서 2020년 이후 부과된 벌금이 총 6개나 포함된 것. 아직 해외처럼 천문학적인 금액의 벌금이 나오진 않았지만, 우리나라도 벌금 규모가 조금씩 커지면서 기업들 역시 개인정보 및 정보보호에 대한 고민이 더욱 깊어질 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
