[최보식의언론=이병태 카이스트 명예교수]

미국 기업들은 고객 정보 보호에 실패하거나 프라이버시를 침해했을 때, 정부로부터 천문학적인 액수의 벌금(Fines)이나 과징금(Civil Penalties)을 부과받는다.

단순히 "보안이 뚫렸다"는 이유만으로 처벌받기보다는, "소비자를 기만했다(약속한 만큼 보안을 지키지 않았다)"거나 "불공정한 관행을 저질렀다"는 법적 근거로 처벌받는 경우가 많다.

1. 누가, 어떤 근거로 벌금을 매기는가?

미국에는 한국의 '개인정보보호위원회'처럼 개인정보만 전담하는 단일 중앙 부처는 없지만, 연방거래위원회(FTC)가 그 역할을 수행한다.

기업이 프라이버시 정책(Privacy Policy)을 통해 "고객 정보를 안전하게 지키겠다"고 약속해 놓고, 실제로는 보안 조치를 소홀히 하여 해킹을 당하면, 이를 '기만적인 기업 활동(Deceptive Practices)'으로 간주하여 처벌한다.

주(State) 검찰: 각 주 정부도 독자적으로 소송을 건다. 특히 캘리포니아주(CCPA/CPRA 법)는 매우 강력한 정보보호법을 가지고 있어, 위반 시 기업에 막대한 벌금을 물린다.

기타 규제 기관:

   * SEC(증권거래위원회): 상장 기업이 해킹 사실을 투자자에게 제때 알리지 않으면 처벌한다.

   * HHS(보건복지부): 의료 정보(HIPAA 법) 유출 시 병원이나 보험사에 벌금을 부과한다.

2. 대표적인 '조 단위' 벌금 사례

미국 정부의 벌금은 기업에 실질적인 타격을 줄 만큼 액수가 크다.

* 메타(페이스북) - 50억 달러(약 6조 5,000억 원): 2019년, FTC는 '케임브리지 애널리티카' 데이터 스캔들(이용자 동의 없이 정보 유출)과 관련하여 페이스북에 역사상 최대 규모의 벌금을 부과했다.

 * 에퀴팩스(Equifax) - 최대 7억 달러 (약 9,000억 원): 미국의 3대 신용평가사인 에퀴팩스가 보안 소홀로 미국인 절반의 개인정보를 털렸을 때, FTC 및 50개 주 정부와 합의하며 지불한 금액이다.

 * 유튜브(구글) - 1억 7,000만 달러 (약 2,200억 원): 아동의 개인정보를 부모 동의 없이 수집하여 타겟 광고에 이용했다는 이유로(COPPA 위반) 벌금을 맞았다.

 * 우버(Uber) - 1억 4,800만 달러 (약 2,000억 원): 해커에게 돈을 주어 해킹 사실을 은폐하려다 발각되어, 50개 주 검찰로부터 집단으로 고발당해 합의금을 냈다. 그렇다. 미국 기업들도 이런 파렴치한 일을 한다.

3. 특징: '합의(Settlement)' 문화

미국에서는 정부가 소송을 제기하면, 기업들이 끝까지 재판을 가기보다는 거액의 벌금(합의금)을 내고, 대신 "법적 책임은 시인하지 않는다(Neither admit nor deny)"는 조건으로 사건을 종결하는 경우가 많다.

유죄가 확정되면 이후 쏟아질 소비자 집단소송(Class Action)에서 불리하기 때문이다. 정부 벌금과는 별개로, 소비자들에게 물어줘야 하는 배상금은 또 다른 문제다.

4. 최근의 변화 (AI와 이사회의 책임)

최근 미국 규제 당국은 처벌 수위를 더 높이고 있다.

 * 임원 개인 처벌: 단순히 회사 돈으로 벌금을 내는 것을 넘어, 보안 책임자(CISO) 개인을 기소하거나 이사회의 감시 의무 소홀 책임을 묻는 추세다.

 * AI 학습 데이터: 최근에는 AI 기업들이 고객 데이터를 무단으로 모델 학습에 사용하는 것에 대해서도 FTC가 "조만간 제재하겠다"고 경고하고 있다.

요약하자면, 미국 기업들은 고객 정보 보호 실패 시 연방 정부(FTC)와 주 정부로부터 이중으로 천문학적인 벌금을 맞을 수 있으며, 이는 기업 경영의 중대한 리스크(Risk)로 관리되고 있다.  그렇다고 보안 사고가 근절되는 것은 아니다.

다음은 데이터 유출 또는 보안·프라이버시 법규 위반으로 부과된 가장 큰 벌금과 제재들이다. 2015년 1월 기준. CSO 온라인 참고. (편집자)

1. 메타(Facebook): 13억 달러

2023년 5월, 아일랜드 데이터 보호위원회(DPC)는 2020년 8월 시작된 Meta Platforms Ireland Limited(“Meta Ireland”)에 대한 조사를 마무리하며, GDPR 위반 혐의로 이 소셜미디어 대기업에 12억 유로(13억 달러) 벌금을 부과했다.
GDPR 46조 1항과 관련하여, 아일랜드 프라이버시 당국은 Meta Ireland가 Facebook 서비스를 제공하는 과정에서 EU 또는 EEA로부터 미국으로 개인 데이터를 이전하면서 적절한 데이터 보호 장치를 갖추지 않았다고 비난했다.

2. 디디 글로벌(Didi Global): 11억 9천만 달러

중국 차량 호출 기업 디디 글로벌은 그 회사가 국가의 네트워크안전법, 데이터안전법, 개인정보보호법을 위반했다고 판단한 후, 중국 인터넷관리국(CAC)에 의해 80억 2,600만 위안(약 11억 9,000만 달러)의 벌금을 부과받았다.

3. 아마존: 8억 7,700만 달러

2021년 여름, 아마존의 재무 기록에서 룩셈부르크 당국이 GDPR 위반으로 7억 4,600만 유로(당시 8억 7,700만 달러)의 벌금을 부과한 사실이 공개되었다.
아마존은 항소할 것으로 예상되었으며, 대변인은 “데이터 유출은 없었고 어떤 고객 데이터도 제3자에게 노출되지 않았다”고 말했다.
프랑스 디지털 권리 단체인 La Quadrature du Net은 이는 놀랄 일이 아니라고 했다. 왜냐하면 그들이 2018년 5월 1만 65명 개인을 대표해 제기한 19페이지 분량의 원래의 불만은 “개인 데이터 유출”이 아니라 적절한 동의 없이 운영된 아마존의 행동 기반 광고 시스템을 문제 삼은 것이기 때문이다.

4. 틱톡: 5억 3,000만 유로(6억 달러)

2025년 5월, 아일랜드 DPC는 TikTok이 적절한 보호 조치 없이 EEA 사용자 데이터를 중국으로 불법 이전했다며 5억 3,000만 유로(약 6억 달러)의 벌금을 부과했다.
규제 당국은 또한 조사를 진행하는 동안 TikTok이 “오해를 불러일으키는 정보”를 제공했다고 지적했다.
회사는 데이터 이전 관행을 6개월 내로 고치라는 명령을 받았으며, 그렇지 않을 경우 추가 제재를 받을 수 있다. TikTok은 항소할 계획이며, 지속적인 데이터 보호 투자에 대해 강조했다.

5. 에퀴팩스(Equifax): 최소 5억 7,500만 달러

2017년 에퀴팩스는 약 1억 5,000만 명의 개인 및 금융 정보를 잃었다. 이는 한 데이터베이스의 Apache Struts 프레임워크의 패치를 수개월 동안 적용하지 않은 데 따른 것이었다.
또한 회사는 유출을 발견한 후 몇 주 동안 이를 공표하지 않았다.
2019년 7월, 이 신용평가사는 FTC, 소비자금융보호국(CFPB), 50개 주 및 미국령과 5억 7,500만 달러(최대 7억 달러까지)에 합의했다.
그 중 3억 달러는 피해자 신용 모니터링 기금으로, 1억 7,500만 달러는 주 정부들에, 1억 달러는 CFPB에 배분되었다.
또한 2년마다 제3자 보안 평가를 받도록 의무화되었다.

(추가적으로 2020년에 여러 소송 합의금으로 미국 주 정부·금융기관 등에 수천만 달러를 추가로 지불함.)

6. 메타(Facebook, Instagram): 4억 1,300만 달러

2023년 1월, 아일랜드 DPC는 Meta의 Facebook 및 Instagram 서비스 제공 과정에서 GDPR을 위반한 사실을 확인하고 Facebook 관련 2억 1,000만 유로(2억 2,500만 달러), Instagram 관련 1억 8,000만 유로(1억 9,300만 달러)의 벌금을 부과했다.

7. 인스타그램: 4억 300만 달러

2022년 9월, 인스타그램은 아동 개인정보 위반(GDPR) 혐의로 4억 3백만 달러의 벌금을 부과받았다.
이 사건은 청소년 사용자들의 전화번호·이메일 주소가 비즈니스 계정 전환 시 더 넓게 공개되었던 문제를 다뤘다.

8. 틱톡: 3억 4,500만 유로(3억 7,000만 달러)

2023년 9월, 아일랜드 DPC는 TikTok이 어린이 데이터 처리에 있어 투명성이 부족했다며 GDPR 위반으로 3억 7,000만 달러 벌금을 부과했다.

9. T-Mobile: 3억 5,000만 달러

2022년 7월, T-Mobile은 2021년 해킹으로 7,700만 명 영향을 받은 집단소송을 3억 5,000만 달러로 합의했다.

10. 링크드인: 3억 1,000만 유로(3억 3,500만 달러)

2024년에 링크드인은 적절한 동의 없이 사용자 데이터를 광고·행동 분석에 사용했다는 이유로 GDPR 위반 벌금 3억 1,000만 유로를 부과받았다.

11. 메타(Facebook): 2억 7,700만 달러

2022년 11월, Facebook의 도구(Search, Contact Importer 등)에서 5억 명의 개인정보가 유출된 사건으로 2억 7,700만 달러의 벌금을 부과받았다.

12. 메타(Facebook): 2억 6,350만 달러

2018년 Facebook “view as” 기능의 보안 취약점으로 2,900만 명 정보가 노출된 사건으로 2억 6,350만 달러 벌금이 부과되었다.

13. 메타(WhatsApp): 2억 2,500만 유로(2억 5,500만 달러)

WhatsApp은 GDPR의 투명성·정보 제공 의무 위반으로 2021년에 2억 5,500만 달의러 벌금을 부과받았다.

14. 홈디포(Home Depot): 총 약 2억 달러 이상

2014년 POS 해킹으로 5천만 신용카드 정보가 유출된 사건과 관련하여, 홈디포는 은행·카드사·소비자·주 정부에 합의금 등을 포함해 총 2억 달러 이상을 지불했다.

15. 캐피탈 원(Capital One): 1억 9,000만 달러

2019년 데이터 침해에 대해 2021년 집단소송에서 1억 9,000만 달러로 합의했다.
또한 OCC로부터 별도로 8천만 달러 벌금을 부과받았다.

16. 우버(Uber): 1억 4,800만 달러

2016년 해킹을 은폐하고 해커에게 돈을 준 사실이 드러난 후, 주 정부들로부터 1억 4,800만 달러의 벌금을 부과받았다.

17. 모건스탠리(Morgan Stanley): 총 1억 2,000만 달러

데이터센터 장비 폐기 과정에서 보안 실패로, OCC 벌금 6천만 달러 + 소송합의 6천만 달러 등 총 1억 2,000만 달러.

18. 구글 아일랜드(Google Ireland): 1억 200만 달러

프랑스 CNIL은 YouTube의 쿠키 동의 거절 절차가 비대칭적이라며 2022년에 1억 달러의 벌금을 부과했다.

#미국개인정보유출 #프라이버시규제강화 #기업책임강화 #쿠팡