【10대 글로벌 주요 인권 리스크 분석】① 사이버 보안 [카테고리 설정이 아직되어 있지 않습니다.] 최근 국내에서 중대재해처벌법이 시행되고 EU에서는 지속가능성실사지침(CSDDD)이 가까스로 통과하면서, 기업 인권 관리에 대한 중요성이 커지고 있습니다. 이에 임팩트온은 주요 인권 이슈 10개를 선정해 이슈별 주요 사건사고와 리스크에 대해 소개하고자 합니다.
각 이슈별 상세 사례 분석은 임팩트온의 공급망 리스크 모니터 서비스 홈페이지에서 확인할 수 있습니다. 임팩트온 기존 회원도 서비스 이용을 위해서는 공급망 리스크 모니터 서비스 홈페이지에서 신규 가입이 필요합니다.
* 주요 인권 이슈는 유엔글로벌콤팩트와 주요 글로벌 기업의 인권보고서에 기재된 중대인권이슈(Salient Human Rights Issues)를 참조하여 선정하였습니다.
공급망 인권 리스크 항목 중 우리나라와 해외의 온도 차이가 가장 큰 인권 이슈는 ‘사이버 보안’이라고 할 수 있습니다.
작년 8월 발표된 노드 VPN의 국가별 개인정보 보안 인식 설문 결과, 대한민국 국민의 온라인 보안 및 개인정보 보호 인식은 세계 최하위로 나타났습니다. 전세계 평균은 100점 만점에 61점이었으나, 한국인은 46점에 그쳤습니다. 반면, PWC의 2021 ESG소비자 인식조사에 따르면, 글로벌 소비자들이 가장 중요시 여기는 ESG이슈 1위는 ‘정보 보안’인 것으로 나타났습니다.
이러한 인식 차이로 인해 개인정보 보호 위반과 같은 이슈가 발생할 경우, 느슨한 국내 규제를 생각해 대응을 소홀히 할 경우 국내 기업이 처하게 될 리스크가 매우 큽니다.
EU와 미국, 개인정보 보호 위반에 대한 심각성 강조…
불법행위 적발시 수천억원 대에 달하는 벌금 부과
EU의 개인정보보호법(GDRP)도입 이후, 많은 국가들이 관련 법안을 수립했다./ WFA
사이버 보안 분야에 대한 규제가 가장 강한 곳은 EU와 미국입니다. 특히 EU의 개인정보 보호규정(GDPR)은 전세계적으로 큰 영향력을 끼치고 있는데요. 실제, 대한민국, 일본, 브라질 등은 2018년부터 시행된 EU의 GDPR을 벤치마킹해 관련 법안을 수립한 바 있습니다. GDPR은 ▲개인정보 수집 제한 ▲데이터 국외 이전 제한 ▲ 소비자의 개인정보 주체 권리 ▲개인정보 보호에 대한 책임과 감사 등을 요구하고 있습니다.
미국과 EU는 데이터 프라이버시(Data Privacy)를 국민의 핵심권리로 규정하고, 기업이 이를 침해할 경우 적게는 수백억원에서 많게는 수 조원 대에 달하는 과징금을 부과합니다. 일례로 GDPR법안 위반으로 인해 역대 최대 과징금을 부과받은 메타의 경우, 유럽 사용자의 개인정보를 미국으로 무단 유출한 혐의로 무려 13억달러(약 1조7000억원) 가량의 과징금을 부과받은 바 있습니다.
국내에서 빈번하게 발생하는 개인정보 무단수집과 유출에 대해서도 굉장히 높은 수준의 과과태료가 부과되고 있는데요. 일례로 지난 2019년, 페이스북은 ▲개인정보유출 ▲수집한 개인정보 광고 및 정치적 목적으로 무단 사용 ▲개인정보 오용 위험성에 대한 잘못된 정보 제공 등의 혐의로 미국 연방거래위원회(FTC)로부터 5억달러(당시 기준 5조9000억원)에 달하는 과태료를 부과받은 적이 있습니다. 특히 최근 EU는 디지털 서비스법안을 통해 빅테크 기업의 맞춤형 광고, 유해 콘텐츠, 위기관리 체계 수립 등에 대한 관리를 강화하고 있는 추세입니다.
AI와 비IT분야에서도 개인정보 보호에 대한 리스크 커지고 있어
미국 백악권이 발표한 AI권리 장전의 5대 주요 원칙
최근에는 AI 분야의 개인정보 무단 수집이 주목받고 있습니다. 작년 7월,구글은 AI 학습을 위해 개인정보를 무단 수집한 혐의로 집단 소송을 당한 바 있습니다. 원고의 주장에 따르면, 구글은 틱톡 영상, 스포티파이(음악 스트리밍 사이트) 개인 음악재생목록, SNS 개인 사진, 저작권 보유 컨텐츠 등 광범위한 온라인 플랫폼을 통해 개인정보를 수집하고 이를 AI 학습에 활용한 것으로 밝혀졌습니다.
하버드 법학 기술저널에 따르면, 미국 법은 온라인 공개 플랫폼에 게시한 콘텐츠를 개인정보로 취급하지 않기 때문에, AI의 학습행위가 개인정보 보호 침해로 여겨질 가능성이 낮다고 보고 있습니다. 다만 해당 정보의 저작권에 대한 문제는 치열한 법적 공방이 이루어질 것으로 내다봤습니다.
바이든 행정부에서는 지난 2022년 10월 AI 권리장전 (AI Bill of Rights)을 발표했는데 ‘데이터 프라이버시’가 5대 원칙 중 하나로 포함되어 있습니다. 여기에서는 ▲개인정보 사용 목적별 개별 동의 취득 ▲개인정보 사용에 대한 리스크 분석 ▲개인정보 사용에 대한 고지 의무 강화 등 사생활 보호에 대한 요구 수준이 굉장히 높습니다. 때문에 이러한 권리장전의 법제화 움직임에 따라 AI 분야의 개인정보 보호 리스크가 높아질 가능성이 큽니다.
특히 주목해야 할 부분은 개인정보 보호 이슈가 IT업체를 넘어 제조업이나 운송 등 다양한 섹터에도 영향을 끼치고 있다는 점입니다.
일례로 지난 2020년, 영국 항공(British Airways)에서는 정보보안에 대한 관리 미흡으로 약 40만명에 달하는 고객의 개인정보가 유출되었는데요. 이로 인해 2000만파운드(약 338억원)에 달하는 과징금을 부과받은 적이 있습니다.
또한 지난 2023년, 테슬라에서는 100기가바이트에 달하는 임직원, 고객, 협력사 개인정보와 고객의 차량 카메라 녹화영상이 무단 유출된 바 있습니다. 만약 테슬라가 GDPR이 지정한 최대 수준의 과징금(전체 매출의 4%)을 부과받을 경우 무려 33억달러(약 4조7000억원)의 금액을 납부해야합니다.
때문에 비IT기업이라 할지라도, 개인정보에 대한 데이터베이스를 보유하고 있을 경우 해당 분야에 대한 리스크 관리가 필요한 시점입니다.
국내 개인정보 위반에 대한 규제 강도 낮은 편이지만, 최근 수위가 높아지고 있는 추세
국내의 경우, 해외에 비해 과징금의 수준이나 규제 강도가 낮은 편입니다. 더불어민주당 윤영덕 의원실에 따르면, 2022-2023년 민간기업에서 발생한 개인정보유출 건수는 142건이며, 평균 과태료 규모는 약 1억원이었습니다. 실제 대량의 개인정보유출이나 개인정보무단수집이 적발되더라도 수천만원에서 많게는 수억원의 과징금이 부과되는 경우가 대부분입니다.
하지만, 최근 개인정보보호위원회는 개인정보보호 기본계획(2024-2026)을 수립해 해당 분야의 관리 강화를 꾀하고 있습니다. 특히 지난 2022년에는 이례적으로 구글과 메타가 맞춤형 광고로 인한 개인정보 무단 수집혐의로 각각 692억원과 308억원의 높은 과태료를 부과받은 사례가 있기 때문에, 해당 분야에 대한 규제 움직임을 주의깊게 지켜볼 필요가 있습니다.
기업 정보보안에 대한 주요 이해관계자의 신뢰도 낮은편...
해당이슈 소비자 선택에도 영향
국내외에서 개인정보에 대한 사건사고가 대거 발생하면서, 해당 부문에 대한 소비자의 신뢰는 낮은편입니다.
지난 2022년 개인정보보호위원회가 수행한 개인정보 수집 디지털 기기에 대한 소비자 설문조사에 따르면 국내 소비자 10명 중 9명은 디지털 기기로 인한 개인정보 유출이 우려된다고 답한 바 있습니다. 글로벌 소비자들 또한 마찬가지입니다. 국제프라이버시전문가협회(IAPP)가 19개국 4750명의 소비자를 대상으로 설문조사를 수행한 결과 68%가 “온라인 개인정보에 민감하다”고 답했으며 80%는 기업이 사이버 공격에 대응하지 못했을 시, 해당 기업에 대한 소비중단을 고려한다고 밝혔습니다.
투자자들도 해당 이슈에 민감하게 반응하고 있습니다. 실제 스웨덴 국가연금펀드(AP), 아문디, AXA 등의 글로벌 투자기관들은 아마존, 구글 등 빅테크 업계에 주주 안건을 제출해 인권 및 개인정보 보호 개선을 요구하고 있는데요. 이들의 주요 요구 사항으로는 알고리즘 통한 노동자 차별 및 인권 침해 문제 개선, 개인정보보호 관리체계 강화 등이 있습니다.