전례 없는 개인정보 규제 집행의 날이었다. 지난 3일(현지시간) 구글은 두 대륙 규제 당국으로부터 총 8억 600만 달러(1조 1,200억 원) 규모의 금전적 처벌을 받았다. 글로벌 당국이 협력해 이 빅테크 기업의 데이터 수집 체계에 동시에 강력한 타격을 가한 셈이다.

이번 이중 제재는 여러 전문가가 말하는 글로벌 개인정보 규제의 전환점으로 해석된다. 이제 빅테크 기업이 각국 규제를 파편적으로 나눠 대응하며 관리 가능한 수준으로 여기는 시대는 끝났다는 의미다.

이날 미국 샌프란시스코 배심원단은 구글이 개인정보 설정과 관련해 사용자를 기만했다며 4억 2,500만 달러의 배상 책임이 있다고 평결했고, 불과 몇 시간 간격으로 프랑스 개인정보 감독기구 CNIL(National Commission on Informatics and Liberty)는 지메일 광고 삽입과 쿠키 동의 조작 문제를 지적하며 3억 8,100만 달러의 벌금을 부과했다.

그레이하운드 리서치(Greyhound Research)의 수석 애널리스트 겸 CEO 산치트 비르 고기아는 “이번 사건은 분명한 전환점”이라며 “대서양 양측 규제 당국이 동시에 조치를 취한 것은 단순한 우연이 아니라 규제가 성숙했다는 신호다. 이제 개인정보 침해는 개별 사건으로 다뤄지는 것이 아니라, 대서양을 가로지르는 메아리처럼 증폭되고 있다”라고 말했다.

4억 2,500만 달러 평결 : 5년 만의 결론

샌프란시스코 법원의 이번 평결은 2020년 7월로 거슬러 올라가는 소송의 종지부를 찍는다. 당시 아니발 로드리게스라는 스마트폰 사용자는 “웹 및 앱 활동(Web & App Activity)” 추적 기능을 비활성화했음에도 구글이 여전히 자신의 데이터를 수집하고 있다는 사실을 발견했다. 이를 계기로 제기된 소송은 ‘로드리게스 대 구글(Rodriguez v. Google LLC, 사건번호 20-cv-4688-RS)’로 확대됐으며, 결국 9,800만 명의 사용자와 1억 7,400만 대의 기기를 대표하는 집단소송으로 발전했다.

이번 소송은 원고 측이 지적한 구글의 ‘가짜 버튼(fake button)’ 문제를 드러냈다. 사용자는 추적 기능을 끄면 데이터 수집이 중단된다고 믿었지만, 법원 문서에 따르면 구글은 우버, 벤모, 인스타그램 등과 같은 앱과의 제휴를 통해 구글 애널리틱스 서비스를 이용해 여전히 정보를 수집하고 있었다.

미국 연방법원 판사 리처드 시보그는 이 사건을 집단소송으로 인가하며, 사용자의 개인정보 선택이 실제로 효력을 가지는지 여부를 둘러싼 법적 대립의 장을 열었다. 이후 배심원단 8인은 구글이 캘리포니아 법에 따라 개인정보 침해에 대한 책임이 있다고 판단했다. 다만 악의적 의도가 있었다고 보지는 않아 징벌적 손해배상은 배제됐다고 블룸버그는 전했다.

블룸버그에 따르면, 구글 대변인 호세 카스타네다는 “이번 판결은 당사 제품이 작동하는 방식을 잘못 이해한 것으로, 항소할 예정”이라고 밝혔다. 그러나 배심원단은 다른 시각을 보였다. 배심원단 대표는 변호인단에 “구글의 동의 관련 문구는 조금 더 명확해야 한다”라며 “평균적인 사용자는 꼼꼼히 읽는 독자가 아니라 대체로 대충 훑어보는 사람”이라고 언급했다.

일일 벌금 : 프랑스의 새로운 제재 방식

CNIL의 조치는 오스트리아 비엔나에 기반을 둔 개인정보 보호 단체 ‘NOYB(None Of Your Business)’의 고발에서 시작됐다. 이 단체는 개인정보 보호 운동가 막스 슈렘스가 설립했다.

위반 범위는 광범위했다. CNIL의 결정문에 따르면 “쿠키와 관련한 침해는 7,400만 개 이상의 계정에서 발생”했으며 “이 중 5,300만 명의 사용자가 이메일 계정의 ‘프로모션’과 ‘소셜’ 탭에 표시된 광고에 불법적으로 노출”됐다.

이에 따라 CNIL은 3억 2,500만 유로(약 3억 8,100만 달러)의 벌금을 부과했다. 그러나 이 벌금 구조에는 더 큰 억제 효과가 있다. CNIL은 구글에 6개월 내 시정 조치를 이행할 것을 명령했으며, 이를 따르지 않을 경우 하루에 10만 유로(약 11만 7,000달러)의 추가 벌금을 부과하겠다고 밝힌 것이다.

산치트 비르 고기아는 “아무리 천문학적인 일회성 벌금이라도 기업은 이를 ‘특별 손실’ 항목에 넣어 처리할 수 있다. 하지만 일일 벌금은 상황을 완전히 바꾼다. 하루의 지연이 곧 비용으로 이어지고 이는 이사회가 매번 책임을 묻는 계기가 된다”라고 설명했다.

구글 대변인은 “사용자는 언제나 자사 제품에 표시되는 광고를 통제할 수 있었다”라며 “지난 2년 동안 CNIL도 인정했듯이, 구글은 사용자의 우려를 반영해 여러 개선을 진행했다. 구글 계정을 생성할 때 개인 맞춤형 광고를 한 번의 클릭으로 거부할 수 있는 기능을 추가했고, 지메일에서 광고가 표시되는 방식도 변경했다. 이번 결정은 검토 중”이라고 밝혔다.

‘사법 관할권 쇼핑’ 시대의 종말

이번 동시 제재는 개인정보 보호 규제가 개별 당국의 단편적 조치에서 벗어나 국제적으로 조율된 압박으로 진화했음을 보여준다. 지난 10여 년간 빅테크 기업은 분절된 감독 체계 속에서 살아남았다. 어떤 곳에서는 합의로 마무리하고, 다른 곳에서는 배너를 수정하는 식이었다. 그런 안일함은 이제 사라졌다.

고기아는 “사법 관할권 쇼핑의 시대는 끝났다”라며 “규제 준수는 더 이상 지역별로 나눠 대응할 수 없다. 이제는 전 세계적으로 조율되고, 엄격하며, 어디서든 정당화할 수 있는 수준이어야 한다”라고 강조했다.

기업의 규모가 크면 정교한 규제 준수 체계를 갖췄을 것이라는 믿음은 구글의 반복된 위반 사례로 인해 무너졌다. 막대한 엔지니어링 역량, 강력한 법률 자원, 그리고 방대한 자금을 보유하고 있음에도 불구하고 구글은 여전히 끊임없이 개인정보 보호 관련 판결에 직면하고 있다.

패턴을 살펴보면 명확하다. 구글은 올해 초 텍사스주에 약 14억 달러를 지급했고, 2024년 4월에는 시크릿 모드 데이터 기록 수십억 건을 파기하기로 합의했다. 여기에 이번 이중 제재까지 더해졌다. 각 사건은 구글의 데이터 수집 체계의 다른 측면을 겨냥하며, 결과적으로 구조적 변화를 압박하는 누적 효과를 만들고 있다.

이번 사안이 기업의 IT 책임자에게 주는 함의는 크다. 고기아는 “이제 업체를 평가할 때 규제 준수 신뢰성은 비용, 성능, 혁신과 동등하게 이사회 차원에서 고려해야 할 기준이 됐다”라며 “신뢰는 더 이상 부차적인 요소가 아니라, 업체 생존 가능성을 좌우하는 결정적 요인으로 부상하고 있다”라고 말했다.

특히 일일 벌금 구조는 전통적인 재무 계획을 넘어서는 지속적인 운영 압박을 만든다. 법원이 명령한 변화를 이행하지 않을 경우 누적되는 벌금 구조는 일회성 제재에서 상시적인 책임 체계로 전환된 것으로, 고기아는 결과적으로 “분기마다 평판 위험을 관리해야 하는 상황”을 초래한다고 설명했다.
dl-itworldkorea@foundryco.com