[글로벌-Biz 24] 브리티시항공·메리어트호텔, 고객정보 유출로 거액 벌금

세계적인 정보기술(IT) 업체 등이 잇따라 고객 개인정보 유출로 거액의 벌금을 물어야 할 처지에 놓였다. 이 때문에 굴뚝산업 시대의 석유가 그랬듯 첨단 IT시대 산업 발전의 원동력이 되고 있는 데이터가 마치 화석연료의 폐해처럼 기업에 독이 될 수 있다는 주장이 제기됐다.

영국 정보위원회(ICO)는 최근 세계적 호텔그룹인 메리어트 인터내셔널에 대해 대규모 고객 정보 유출과 관련해 9920파운드(약 1460억 원)의 벌금부과 방침을 통보했다.
메리어트는 지난해 11월 해킹을 당해 스타우트계열 호텔의 예약시스템에 있던 고객 정보가 유출됐다고 밝혔다. 유출 당한 고객 정보는 3억3900만 명에 달했고 뉴욕타임스 등은 중국 정부와 연관된 해커들의 공격으로 보인다고 보도하기도 했다.

영국 당국이 메리어트에 부과한 거액의 벌금은 지난해부터 유럽연합(EU)에서 시행에 들어간 일반정보보호법(GDPR)에 따른 조치다.

GDPR는 기업이 개인정보 보호 위반사항이 있을 경우 의무적으로 ICO에 보고하도록 하고 있고 ICO는 개인정보를 제대로 보호하지 않은 기업에 전 세계 매출액의 4%까지 벌금으로 부과할 수 있다.

ICO는 이에 앞서 고객 50만 명의 정보가 유출된 데 책임을 물어 브리티시항공(British Airways)에 1억8300만 파운드(약 2700억 원)의 벌금을 부과한다고 밝혔다.

브리티시항공은 지난해 9월 자사 웹사이트에서 해킹이 발생해 고객 38만 명의 금융정보가 유출됐다고 발표했다.

ICO 조사 결과 해킹은 2018년 6월부터 시작됐고 브리티시항공의 웹사이트에 접속한 고객 중 일부는 가짜 사기 사이트로 연결됐다. 이로 인해 고객 50만 명의 개인정보가 불법으로 수집됐다.
브리티시항공에 대한 벌금 부과는 GDPR에 근거한 첫 사례이자 ICO가 부과한 벌금 중 최대 규모였다.

한편 미국에서도 연방거래위원회(FTC)가 지난 12일(현지 시간) 페이스북에 대해 개인정보 유출에 대한 책임을 물어 벌금을 무려 50억 달러(약 5조9000억 원) 내도록 하는 방안을 승인했다.

이처럼 벌금 액수가 커진 이유는 처음 개인정보보호 조항을 위반한 업체에는 제한된 액수의 벌금만 부과하지만 반복적으로 위반한 업체에 대해선 폭넓은 재량권을 갖고 있는 FTC가 이번 사안에 대해 이 재량권을 적극 활용한 때문이라는 분석이다.

페이스북은 지난 2016년 미국 대선 당시 최대 8700만 명의 이용자 개인정보를 영국 데이터 분석회사 케임브리지 애널리티카에 유출했다.

대규모 개인정보 유출이 거액의 벌금으로 기업에 부담을 주는 양상이 잇따라 벌어지면서 정보통신 시대에 데이터가 기업에 독이 될 수 있다는 주장이 제기됐다.

영국 개방대학 존 노튼 교수는 14일 가디언지 기고에서 첨단 IT시대 산업 발전의 원동력이 되고 있는 데이터가 자칫 기업에 독이 될 수 있다는 견해를 내놓았다.

그는 데이터는 굴뚝산업 시대 석유의 역할처럼 디지털 경제가 작동하는 기반이지만 도난이나 해킹 등으로부터 보호되지 못할 경우 화석연료처럼 기업에 독성물질로 돌변할 수 있다고 설명했다.

거대 데이터 확보가 기업 경쟁력인 시대에 갈수록 중앙 집중화 되는 데이터를 보호하기 위한 행정당국의 규제 및 처벌이 강화되고 있고 이런 추세가 해당 기업들의 사업환경에 그림자를 드리우고 있다는 주장이다.

한편 영국 당국은 2주 전 페이스북과 구글의 은밀한 데이터 거래시장에 대한 조사에 착수한 것으로 알려졌다.


김환용 글로벌이코노믹 편집위원 khy0311@g-enews.com