틱톡, 유럽 사용자 데이터 중국 전송.. 8000억대 벌금
3년 넘게 조사, 거액 벌금으로.. 미국·캐나다·유럽 국가 등 안보 보안 문제로 틱톡 규제
댓글 0
기사입력
: 2025.05.03 23:48
[시큐리티팩트=최석윤 기자] 아일랜드 데이터 보호 위원회(DPC)가 인기 비디오 공유 플랫폼 틱톡에 5억 3000만 유로(약 8300억원)의 벌금을 부과했다고 해커뉴스가 2일 보도했다. 유럽 사용자 데이터를 중국으로 전송하여 유럽 개인 정보 보호 규정(GDPR)을 위반했다는 이유에서다.
DPC는 성명을 통해 "틱톡이 유럽경제지역(EEA) 사용자 데이터를 중국으로 전송하는 행위는 GDPR 위반에 해당한다"고 명확히 밝혔다. 이번 결정에는 거액의 벌금과 함께 틱톡이 6개월 이내에 관련 절차를 유럽 규정에 부합하도록 시정하라는 명령이 포함되었다. 특히, 해당 기간 내에 중국으로의 데이터 전송을 중단하라는 요구도 담겼다.
3년에 걸친 조사, 결국 거액 벌금으로 이어져
이번 벌금은 2021년 9월부터 시작된 장기간의 조사 결과다. 당시 DPC는 틱톡이 유럽 사용자들의 개인 정보를 중국으로 전송하는지 여부와, 데이터를 제3국으로 이전할 때 유럽의 엄격한 개인 정보 보호법을 제대로 준수하는지를 집중적으로 조사했다.
그레이엄 도일 DPC 부위원장은 "틱톡의 중국 내 EEA 사용자 개인 정보 전송은 해당 데이터가 유럽연합 내에서 제공받는 것과 동등한 수준의 개인 정보 보호를 보장하지 못했기 때문에 GDPR 46조 1항을 위반한 것"이라고 강조했다.
더욱이 도일 부위원장은 틱톡이 중국 정부의 테러 방지법이나 방첩법과 같은 법률에 의해 유럽 사용자 데이터에 접근할 수 있다는 우려를 해소하지 못했다고 지적했다. 유럽연합의 개인 정보 보호 기준과 "상당히" 다른 중국 법률로 인해 발생할 수 있는 잠재적 위험을 간과했다는 것이다.
유럽경제지역 데이터 중국 서버에 저장
조사 과정에서 틱톡은 EEA 사용자 데이터를 중국 서버에 저장하지 않았다고 주장했으나, 이는 사실과 다른 것으로 드러났다. DPC는 틱톡이 오히려 지난달 감시 당국에 2025년 2월에 틱톡 시스템에서 문제를 발견했으며, 그 결과 제한적인 양의 EEA 데이터가 실제로 중국 서버에 저장되었다고 뒤늦게 밝혔다고 비판했다.
도일 부위원장은 "틱톡은 해당 데이터가 현재 삭제되었다고 DPC에 통보했지만, 우리는 유럽연합 데이터 보호 당국과 협력하여 추가적인 규제 조치가 필요한지 검토하고 있다"고 언급하며 사안의 엄중함을 시사했다.
틱톡 "데이터 보안 강화 노력 간과됐다" 반발
이에 대해 틱톡의 유럽 공공 정책 및 정부 관계 책임자인 크리스틴 그랜은 이번 결정이 유럽 사용자 데이터 보호를 위한 틱톡의 데이터 보안 강화 계획인 '프로젝트 클로버(Project Clover)'를 제대로 고려하지 않았다고 반박했다. 그녀는 이번 판결이 현재 시행 중인 보호 장치를 제대로 반영하지 못한다고 주장했다.
그랜 책임자는 또한 "DPC 보고서에는 틱톡이 중국 당국으로부터 유럽 사용자 데이터에 대한 요청을 받은 적이 없으며, 유럽 사용자 데이터를 제공한 적도 없다고 일관되게 밝혔다는 내용이 기록되어 있다"고 강조했다. 이는 틱톡이 데이터 보안에 문제가 없음을 강조하려는 의도로 풀이된다.
한편, 이번 벌금은 DPC가 틱톡 모회사인 바이트댄스에 부과한 두 번째 벌금이다. 앞서 2023년 9월에는 틱톡이 아동의 개인 데이터를 처리하는 과정에서 GDPR을 위반한 혐의로 3억 4,500만 유로(당시 약 5천억 원)의 벌금을 부과받은 바 있다.
각국의 틱톡 규제 움직임, 보안 우려 확산
틱톡은 개인 정보 보호 문제뿐만 아니라, 국가 안보와 관련된 보안 문제로 인해 여러 국가에서 규제 대상이 되고 있다. 특히 틱톡의 모회사가 중국 기업이라는 점 때문에, 중국 정부가 사용자 데이터를 감시하거나 영향력을 행사할 수 있다는 우려가 지속적으로 제기되고 있다.
이미 미국, 캐나다, 유럽연합의 일부 기관 등에서는 정부 기관 기기에서의 틱톡 사용을 금지하는 조치를 취했다. 이들은 틱톡이 수집하는 방대한 양의 사용자 데이터가 중국 정부에 유출될 수 있다는 가능성을 우려하고 있다.
더불어 틱톡의 알고리즘이 사용자에게 특정 콘텐츠를 편향적으로 노출시켜 정치적 영향력을 행사하거나 허위 정보를 확산시키는 데 이용될 수 있다는 지적도 나온다. 이러한 우려로 인해 각국 정부는 틱톡의 데이터 처리 방식과 알고리즘 작동 방식에 대한 감시를 강화하는 추세다.
틱톡 측은 이러한 보안 우려를 해소하기 위해 데이터 보안 조치를 강화하고, 데이터가 안전하게 관리되고 있음을 강조하고 있다. '프로젝트 클로버'와 같은 데이터 보안 이니셔티브를 통해 유럽 사용자 데이터를 유럽 내에서 처리 및 저장하고 외부 감시를 받도록 하겠다고 약속하기도 했다.
그러나 이번 아일랜드 DPC의 대규모 벌금 부과는 틱톡의 이러한 노력에도 불구하고 여전히 유럽의 데이터 보호 기준을 충족하지 못하고 있다는 점을 시사한다. 틱톡이 유럽 시장에서 지속적으로 서비스를 제공하기 위해서는 데이터 처리 방식과 보안 조치를 더욱 강화하고 투명성을 높여야 할 것으로 보인다. 이번 벌금 결정은 틱톡을 비롯해 해외 시장에서 사업을 운영하는 다른 플랫폼들에게도 데이터 보안 및 개인 정보 보호의 중요성을 다시 한번 강조하는 계기가 될 전망이다.
