[미디어스 김홍열 칼럼] 개인정보보호위원회(개인정보위)가 지난 15일 중국의 해외 직구 온라인 쇼핑몰 테무에 과징금 13억 6,900만 원과 과태료 1,760만 원을 부과했다고 밝혔다. 테무는 고객의 동의 없이 개인정보를 해외 업체에 넘긴 것으로 확인됐다. 개인정보보호법 제28조에 따르면, 정보 주체(고객)로부터 국외 이전에 관한 별도의 동의를 받은 경우에만 개인정보를 국외로 제공할 수 있다. 테무는 고객의 사전 동의 없이 개인정보를 중국·싱가포르·일본의 배송업체에 넘긴 것으로 확인됐다. 개인정보위는 지난해부터 테무 등 해외직구 기업들의 개인정보 보호 실태를 조사해 왔고, 이번에 일부를 발표했다.
![테무 [연합뉴스 자료사진]](https://cdn.mediaus.co.kr/news/photo/202505/313120_221898_187.jpg)
또 테무는 개인정보보호법 제31조의2(국내 대리인의 지정)를 위반한 것으로 확인됐다. 이 조항에 따르면 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 국내 정보 주체의 수가 일일 평균 100만 명 이상인 자는 국내 대리인을 지정하여야 한다. 테무는 2023년 말 기준 일일 평균 290만 명의 한국 이용자가 테무 서비스를 이용하고 있음에도 조사 당시까지 국내대리인을 지정하지 않은 것으로 확인됐다. 이 외에도 테무는 한국에서 직접 상품을 판매·배송할 수 있는 ‘로컬 투 로컬’ 한국 판매자를 모집하는 과정에서 개인정보보호법을 위반한 것으로 확인됐다.
테무가 개인정보보호법 여섯 개 항목을 위반해서 받은 처벌 결과는 과징금 13억 6,900만 원과 과태료 1,760만 원뿐이다. 여기에 개선명령과 시정 권고가 추가되었지만, 실제 지켜질지는 두고 봐야 한다. 그보다 더 중요한 것은 이미 수백만 명의 개인정보가 해외로 유출되었다는 사실이다. 한 번 유출된 개인정보를 다시 회수할 수 없고, 누군가의 서버에 저장되어 언제 어떻게 이용될지 모른다. 비단 테무만이 아니다. 개인정보위는 지난해 7월 법적 근거 없는 개인정보 국외 이전 등 알리익스프레스의 개인정보보호법 위반 행위에 대해 과징금 19억 7,800만 원을 부과한 사례도 있다.
![테무의 법 위반 사실 [개인정보보호위원회 제공]](https://cdn.mediaus.co.kr/news/photo/202505/313120_221899_1824.jpg)
테무나 알리익스프레스 같은 글로벌 기업이 총 76개 조항에 불과한 국내 개인정보보호법을 몰랐다고 보기 힘들다. 오히려 가벼운 벌칙이라는 것을 알고 있었을 가능성이 더 크다. 테무나 알리익스프레스가 내야 하는 과징금과 과태료는 회사 규모에 비하면 적은 액수다. 반면 이 회사들이 개인정보의 자의적 이용을 통해 얻을 수도 있는 예상 이익은 그 이상일 수 있다. 테무에게 알리익스프레스 사례가 오히려 좋은 레퍼런스였을 수도 있다. 결국 문제는 개인정보보호법 위반 시 부담해야 하는 페널티가 기꺼이 감당할 수준이라서 유사 사례가 재발될 우려가 높다는 사실이다.
여기서 우리는 해외기업의 국내 고객 정보 유출과 관련, 다른 나라 사례를 참조해 볼 필요가 있다. 미국 정부가 중국 동영상 공유 플랫폼 틱톡을 대하는 방식이다. 미국 의회가 미국 내 틱톡 사업부 강제 매각을 규정한, 이른바 ‘틱톡금지법’을 통과시키자 틱톡이 항소법원에 소송을 냈고 미국 항소 법원은 ‘틱톡’의 미국 사업을 매각하도록 한 법안이 합헌이라고 판결했다. 이는 단순한 개인정보 보호 수준을 넘어, 중국 정부가 미국 이용자의 데이터를 악용할 가능성에 대한 전략적 경계에서 비롯된 조치다. ‘틱톡금지법’은 국가안보를 이유로 한 특별법에 근거하고 있으며, 틱톡의 미국 내 존속 여부를 좌우할 정도로 강도 높은 규제다.
![미국 국기와 틱톡 [AFP 연합뉴스 자료사진]](https://cdn.mediaus.co.kr/news/photo/202505/313120_221901_192.jpg)
또 하나의 사례는 라인야후가 운영하는 일본의 국민 메신저 라인의 정보 유출과 관련이 있다. 라인의 데이터관리를 맡아온 네이버 계열사 네이버 클라우드의 서버가 해킹되어 약 51만 건의 개인정보가 유출되었다. 이 사건이 드러나자, 일본 경찰은 라인야후가 대주주인 네이버의 영향력에서 벗어나야 적절한 데이터 관리가 가능하다고 보고 사실상 지분 관계의 조정을 요구하기도 했다. 일본 정부는 외국 기업에 의해 일본 국민의 개인정보가 통제될 수 있다는 우려를 불식시키기 위해 외국 투자 기업의 구조 개편과 데이터 통제 방식 전반에 대한 실질적인 개입까지 진행했다.
반면, 두 사례에 비하면 개인정보 보호에 대한 국내 조처는 상대적으로 약한 편이다. 물론 개인정보위는 법에 따라 과징금과 과태료를 산정했으며, 이는 국내외 기업 모두에게 동일한 기준이 적용된 것이다. 그러나 수천억 원 이상의 매출을 올리는 글로벌 기업 테무에 과징금 약 13억 원은 경영상 큰 부담이 되지 않는다. 재발 방지를 위한 조처로는 적절해 보이지 않는다. 틱톡, 라인, 테무 모두 개인 정보 유출이라는 면에서는 동일하지만, 각 나라의 대응 방식은 상이하다. 개인정보 유출에 대한 문제의식이 다르기 때문이다. 법 개정을 통해서라도 개인정보가 해외로 유출될 가능성을 미연에 방지할 필요가 있다.
☞ 네이버 뉴스스탠드에서 ‘미디어스’를 만나보세요~ 구독하기 클릭!