Home > Security
8개 대형 스트리밍 업체, GDPR 위반으로 소송 걸리다
  |  입력 : 2019-01-23 18:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아마존, 애플, 넷플릭스, 유튜브 등 굵직한 기업들 한꺼번에
정보 제공의 의무 위반했다고 주장...하지만 의아한 구석도 없지 않아


[보안뉴스 문가용 기자] 유럽의 NGO인 noyb(none of your business)가 1월 18일 8개의 국제 스트리밍 서비스들을 대상으로 GDPR 관련 항의를 10개나 제기했다. GDPR의 15조에 명시되어 있는 ‘데이터 주체(data subject)의 접근 권리 보장’을 성실하게 지키지 않았다는 것이 항의의 주된 내용이다. 그럼으로써 투명하고 세부적으로 정보 주체와 소통해야 한다는 12조의 내용도 위반하고 있다고 noyb는 주장했다.

[이미지 = iclickart]


이 중 네 기업은 미국의 대형 업체들로, 아마존 프라임(Amazon Prime), 애플 뮤직(Apple Music), 넷플릭스(Netflix), 유튜브(Youtube)다. 또 다른 네 군데는 유럽 업체로, 영국의 DAZN, 오스트리아의 플림잇(Flimmit), 독일의 사운드클라우드(SoundCloud), 스웨덴의 스포티파이(Spotify)다. 이 회사들이 최고 벌금형을 받는다고 했을 때 애플이 최대 금액을 내야 하고(80억 2천만 유로), DAZN과 스포티파이가 2천만 유로로 가장 적게 낸다.

noyb는 프라이버시 관련 운동가들과 변호사 맥스 슈렘즈(Max Schrems)가 시작한 NGO 단체다. 슈렘즈는 학생일 때, 즉, GDPR이 공식적으로 도입되기 전에 페이스북을 상대로 소송을 제기한 바 있다. 유럽의 사법재판소는 이 사건을 받아들이고, 유럽과 미국 사이의 프라이버시 관련 협정인 세이프 하버(Safe Harbor)가 헌법에 위반된다고 판결을 내리기도 했다.

뿐만 아니라 슈렘즈는 GDPR이 도입되던 당일인 5월 25일에 구글과 인스타그램, 왓츠앱과 페이스북을 상대로 GDPR 위반 소송을 걸기도 했다. 구글의 경우는 프랑스의 개인정보위원회인 CNIL이 검토했고, 현지 시각으로 1월 21일 5천만 유로의 벌금형을 내렸다. 물론 이것이 전부 noyb의 항의에 대한 결과인 것은 아니다. 비슷한 항의가 프랑스의 인터넷 자유 옹호 조직인 라궈드라츄르듀넷(La Quadrature du Net)으로부터 접수되기도 했었다.

CNIL이 구글에 이런 판결을 내린 것은 크게 두 가지 이유 때문이라고 알려져 있다. 먼저 구글은 투명성과 정보에 대한 조항을 침해했고, 두 번째로는 광고의 개인화 처리에 있어서 법적 기반을 갖추지 못했다고 한다. 보안 업체 바로니스(Varonis)의 엔지니어링 책임자인 맷 록(Matt Lock)은 “이번 구글 벌금 판결 때문에 유럽연합이 GDPR 관련 판결을 느슨하게 할 것이라는 예상이 전부 깨졌다”고 말한다. “아마 많은 기업들이 방심하다가 찬물을 맞은 느낌일 겁니다.” 구글은 이에 항소할 전망이다.

그러면서 GDPR에서 말하는 투명성이 다시 한 번 화제가 되고 있다. noyb가 최근 문제 삼은 8개의 스트리밍 기업도 바로 이 투명성 때문에 골치 아프게 된 것이다. 슈렘즈는 위에서 언급한 8개 기업 사용자를 통해 데이터에 대한 접근 요청을 전달했다. GDPR에 따르면 이러한 요청에 대응하기 위해서 기업들에 한 달의 시간이 주어진다. noyb도 한 달을 기다렸다. DAZN과 사운드클라우드는 한 달이 넘어도 소식이 없었고, 나머지는 대응을 했으나 noyb가 만족할만한 수준의 답변이 아니었다. noyb 측은 회사들이 보낸 응답을 원시 자료(raw data), 명료성(intelligibility), 배경 정보(background information)라는 항목으로 점수를 매겼다.

이 중 플림잇이 제공한 원시 자료만 noyb를 만족시켰다. 또한 명료성에 있어서 플림잇과 넷플릭스만이 훌륭한 답변을 보냈다. 그 외 나머지는 전부 수준 미달이었다고 한다. 다만 플림잇과 넷플릭스가 제공한 ‘배경 정보’는 양호한 수준이었다. 8개 회사 중 GDPR을 정확히 지킨 회사는 한 군데도 없었다. “대부분의 회사들이 자동화된 시스템을 통해 정보 요청에 대응하더군요. 하지만 사용자의 권리를 충족시키는 사례는 하나도 없었습니다. 그저 원시 자료만을 받는 것에 그쳤죠. 예를 들어 해당 정보가 어떤 조직과 공유가 되었는지 등은 아예 공개하지도 않습니다. 명백한 권리 침해입니다.” 슈렘즈의 주장이다.

사용자 데이터 요청에 투명하게 답할 권리는 GDPR 내에서 그 동안 알게 모르게 ‘낮은 순위’로 인식됐었다. 하지만 이것이야 말로 GDPR의 핵심이라는 것이 이번 구글 판결을 통해서도 드러났다. “어떤 정보를 보유하고 있는지, 그 정보가 누구와 공유되고 있으며 어디에 저장되고 있는지 등을 전부 제공해야 합니다. 사람들은 개인정보를 ‘알고서’ 기업들과 공유하지만, 그 데이터가 서드파티와 공유되는 현황에 대해서는 모르고 있습니다. 이걸 개선하고자 하는 게 GDPR의 정보 요청 권리죠.” 그리고 그 점을 지적하고자 한 것이 이번 noyb 소송의 의의이기도 하다.

8개 스트리밍 업체들의 사건은 전부 오스트리아의 데이터 보호 주무 기관인 DSB에서 진행할 예정이다. 또 DSB는 이 사건을 각 업체가 등록되어 있는 국가의 정보 관련 기관들과 협의할 예정이기도 하다. 다만 미국 업체들의 경우 유럽연합 내 기관들 내에서 분배되는데, 아마존 프라임은 룩셈부르크가, 애플 뮤직은 아일랜드가, 넷플릭스는 네덜란드가 맡게 되었다. 아직 유튜브는 어디서 맡아 진행할지 결정되지 않았다.

이 사건은 언제 최종 판결이 날까? 이 부분은 아직 아무도 답할 수 없다. 다만 구글의 5천만 유로 판결이 9개월 만에 났기 때문에, 대부분 이 사건도 최소 9개월에서 족히 1년은 걸릴 것이라고 보고 있다. 로펌인 맥로버츠 LLP(MacRoberts LLP)의 수석 변호사인 데이비드 플린트(David Flint)는 외신과의 인터뷰를 통해 “GDPR 관련 기관의 업무가 굉장히 많이 쌓여있는 것으로 알고 있다”며 “중요도에 따라 일을 먼저 처리하는 중일 것”이라고 말했다. “영국은 아마도 캠브리지 애널리티카와 브렉시트와 관련된 사건이 가장 중요하게 다뤄질 것 같습니다.”

애플 뮤직이 소송 대상이 되었다는 것도 재미있다. 왜냐하면 최근 애플의 CEO인 팀 쿡(Tim Cook)이 CES라는 전자기기 전시회에서 프라이버시를 강조한 대형 광고물을 부착함으로써 ‘애플은 다른 기업들과 다르다’는 메시지를 강력하게 전파했기 때문이다. 또한 2018년 10월 인터뷰를 통해 프라이버시를 옹호한다는 입장을 분명하게 어필하기도 했다. 이번 noyb 소송을 통해 애플의 광고나 CEO의 인터뷰가 진실인지 거짓인지가 판명 날 전망이다.

하지만 noyb의 의도가 분명치 않다는 의견도 나오고 있다. 영국의 변호사인 브라이언 밴디(Brian Bandey)는 “단 한 번의 요청에 대한 기업들의 대응으로 이 같이 대대적인 소송을 건다는 것도 얼른 이해하기 힘들다”며 “noyb의 의도가 무엇인지 알 수가 없다”고 말했다. “벌금을 비롯한 ‘형벌’이라는 건 실제 발생한 피해와 어느 정도 연관성을 가지고 판결되는 겁니다. 하지만 noyb는 실험적으로 각 회사에 요청을 보낸 것으로 보이며, 따라서 실질적인 피해가 발생했는지가 불투명합니다.”

그렇기 때문에 이번 사건을 통해 noyb가 프라이버시 강화에 대한 구조적인 일침을 날리려고 하는지도 사실은 알 수 없다고 밴디는 설명한다. “아니면 전략적으로 GDPR의 현재 약한 부분을 알리려는 것일 수도 있습니다. GDPR도 앞으로 계속 업데이트 될 것이니까요. 미국의 네 기업, 유럽의 네 기업을 선정한 것도 이런 전략성에 대한 추측을 가능케 합니다. 하지만 nyob와 직접 이야기하지 않는 이상 이 부분은 확인할 수 없겠지요.”

또한 이번 구글 판결에서처럼 큰 벌금형이 내려질 가능성도 그리 높지 않아 보인다. 왜냐하면 여덟 개의 회사 중 여섯 곳은 기한 내에 대응을 했기 때문이다. 다만 noyb의 보기에 불충분하다는 것이 항의의 이유인데, 이를 GDPR 기관이 얼마나 받아들이겠냐고 지적하는 전문가들도 있다.

3줄 요약
1. 프라이버시 옹호 단체인 noyb, 8개 스트리밍 서비스 업체 대상으로 소송 시작.
2. 소송의 이유는 GDPR 규정을 위반했다는 것. 특히 고객에 정보 제공의 의무를 충실히 이행하지 않았다고 주장.
3. 그러나 ‘단 한 사건으로 제기된 소송’이며, ‘불충분하다는 기준도 모호’해 여러 모로 의아한 구석이 있는 주장.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제