'틱톡' 사례가 보여준 국가의 데이터 보호 의무

[미디어스=김홍열 칼럼] 최근 미국과 중국 간 미국 내 틱톡 운영권을 둘러싼 협상이 마무리되었다. 중요한 두 가지 사항이 합의되었다. 하나는 틱톡 모회사인 바이트댄스가 참여하는 '바이트댄스 틱톡 미국회사'(틱톡미국)를 만든다는 것이다. 이 회사의 지분 약 80%는 오라클 등 미국 투자자컨소시엄이 갖고 중국 주주들은 나머지 지분을 보유하게 된다. 틱톡미국은 '틱톡 미국 데이터 보안회사(USDS)'를 만들고, 이 회사에서 미국 사용자 데이터의 저장, 보안, 콘텐츠 안전 보장, 소프트웨어 검사 및 관련된 미국 본토 업무를 맡게 된다.

2024년 4월, 미국 의회에서 틱톡의 미국 사업권을 매각하지 않을 경우 미국 내 서비스를 금지하는 법안 통과 후 1년 반 만에 미국의 요구대로 결정되었다. 

미국 정부가 주도한 이번 결정은 단순히 특정 중국 기업을 겨냥한 예외적 조처가 아니라, 국가가 개인 데이터 보호를 어떤 수준의 안보 문제로 인식하는지를 잘 보여주는 상징적 사건이다. 틱톡은 젊은 세대를 중심으로 폭발적 인기를 끌고 있지만, 동시에 개인정보를 수집하고 이를 중국 본사와 공유한다는 우려가 꾸준히 제기돼 왔다. 미국은 결국 국가 안보 차원에서 이 문제를 바라보았고, 미국 내 틱톡 운영 방식을 미국의 의도대로 밀어붙인 것이다. 이는 자유로운 글로벌 경제 환경에서조차 개인 데이터 보안이 최우선 가치로 놓여야 한다는 점을 분명히 한 것이다. 국가가 직접 나서서 개인정보 보호의 방패가 되어야 한다는 점을 세계적으로 각인시킨 조치였다.

틱톡에 대한 우려는 하나의 가능성이지만 대규모 데이터 유출 사건은 이미 낯설지 않은 일이 되었다. 올 4월에는 SK텔레콤 전산망이 해커의 악성코드 공격을 받아 고객의 유심 관련 정보 유출 사고가 있었고, 9월에는 롯데카드 서버가 해킹당해 대규모 개인정보가 유출되는 사고가 발생했다. 8월에는 해킹당한 개인정보를 이용해 실제 소액결제 피해가 발생하기도 했다. 통신, 금융, 유통 등 일상생활의 핵심 영역에서 거의 무차별적으로 해킹 사태가 발생하고 있고 불행하게도 계속 발생할 것으로 예측된다. 그러나 더 큰 문제는 사고 발생 이후의 대응 과정이다. 데이터 유출 사건이 사회적 파장을 일으켜도, 기업들이 받는 처벌은 대개 과징금이나 일시적 제재로 끝난다. 

그렇다고 해서 개인정보를 제공 안 할 수도 없다. 디지털 사회에서 생활하기 위해 개인은 자신의 데이터를 요청하는 곳마다 ‘기꺼이’ 제공해야 한다. 휴대전화를 개통하고, 은행 계좌를 만들고, 온라인 쇼핑을 하거나 병원에 방문할 때마다 개인정보 이용 동의서에 서명해야 한다. 통신사와 금융사, 의료 기관들은 언제나 ‘안전하다’라고 약속한다. 그러나 개인들은 그 약속을 검증할 방법도 능력도 없고 그저 믿고 맡기는 수밖에 없다. 언론사에 해킹 보도가 나오고 나서야 자신의 정보가 해킹당했다는 것을 알 수 있을 뿐이다. 해킹이 확인되고 나서도 기업과 기관들은 법적 책임을 충분히 지지 않는다. 당장의 피해가 없으면 형식적 사과로 넘어가는 경우가 대부분이다. 

그러나 한번 유출된 개인 데이터는 언제 어떻게 악용될지 모른다. 기업 거래 정보나 상품 판매 기록은 수정·삭제·대체가 가능하지만, 개인정보는 다르다. 이름, 주민등록번호, 건강 이력, 금융 내역 같은 정보는 한 번 유출되면 돌이킬 수 없다. 무엇보다도 유출된 정보를 확보한 조직은 당사자가 생존하는 한 계속 활용할 수 있다. 사망 이후에도 개인 데이터는 소멸되지 않고, 불법적으로 쓰일 가능성이 존재한다. 실제로 수많은 개인정보가 이미 해커 조직과 범죄 집단의 손에 넘어가 암시장에서 거래되고 있다. 주민등록번호, 휴대전화 번호, 계좌번호 등이 커피 한 잔 값에도 못 미치는 가격에 팔리고 있다. 누구라도 쉽게 악용할 수 있다는 것이다. 

더 심각한 것은 이런 상황을 당사자인 기업조차 제대로 알지 못하거나, 알면서도 공개하지 않는 경우가 많다는 점이다. 보안 시스템의 취약성과 관리 부실, 위기 대응의 무능이 겹치면서 개인은 자신의 데이터가 언제, 어디서, 어떤 식으로 유통되고 있는지조차 알 수 없는 처지에 놓인다. 안전을 약속했던 기업들의 말은 결국 공허한 선언에 불과하다. 정보 유출 관련, 소송이 벌어져도 대형 로펌을 선임한 거대기업들의 패소로 끝날 가능성은 거의 없다. 이제 개인은 이제 더 이상 기댈 곳이 없게 된다. 바로 이 지점에서 개인 데이터 보호를 기업의 형식적 절차에 맡기지 말고, 국가가 반드시 책임지고 개입해야 할 영역이라는 것이 분명해진다. 

미국의 틱톡 운영 방식 결정은 왜 국가가 나서야 하는지를 분명히 보여준 주요한 사례다. 개인 데이터는 단순한 기업 자산이 아니라 국민의 생명권·안전권과 직접 맞닿아 있는 공적가치이며 개인의 사생활의 비밀과 자유를 보장하는 헌법적 가치이기도 하다. 중요한 데이터를 더 이상 기업 자율에 맡겨 둘 수 없다. 유출에 대한 강력한 처벌, 재발 방지를 위한 제도적 강화, 책임 회피를 불가능하게 만드는 법적 장치가 시급하다. 이는 기업 활동을 불필요하게 제약하려는 것이 아니라, 국민의 기본권을 보장하기 위한 최소한의 장치다. 개인 데이터는 국가가 앞장서 지키지 않으면 누구도 지킬 수 없으며, 이 책임을 회피하는 순간 국가는 존재 이유를 스스로 부정하는 셈이 된다. 

☞ 네이버 뉴스스탠드에서 ‘미디어스’를 만나보세요~ 구독하기 클릭!