기본 설정이 이제 법적 책임이 된다: 메타의 3억 7,500만 달러 벌금이 모든 플랫폼 개발팀에 시사하는 것

3억 7,500만 유로. 아일랜드 데이터보호위원회(DPC)가 아동 안전과 관련된 메타의 엔지니어링 결정에 매긴 가격표다. 단순한 설계 결함이 아니라, 기만 행위로 본 것이다.

데이터 유출은 없었다. 보안 설정이 안 된 S3 버킷에 방치된 데이터베이스 유출도 없었다. 이번 과징금이 겨냥한 것은 모든 엔지니어링 팀에게 훨씬 불편한 대상, 바로 아키텍처 그 자체다. 미성년자 계정의 기본값이 공개 프로필이었다는 것. 추천 알고리즘이 실질적인 안전장치 없이 아동에게 콘텐츠를 제공했다는 것. 그리고 규제 당국에 따르면, 동의 절차가 안내가 아닌 혼란을 주도록 설계되었다는 것.

나는 10년간 시스템 침투를 직업으로 삼아왔다. 공격 표면이 어떤 것인지 안다. DPC가 방금 한 일은, 당신의 제품 결정 자체가 공격 표면이라고 선언한 것이다.

나는 프라이버시 엔지니어, 법률 전문가, 전직 플랫폼 개발자들에게 연락해 이 판례가 실제로 코드를 작성하는 사람들에게 무엇을 의미하는지 파악했다.

메타의 3억 7,500만 유로 과징금, 사고가 아닌 아키텍처를 겨냥하다

DPC의 조사는 2021년으로 거슬러 올라가며, 13세에서 17세 사용자 계정에 대한 인스타그램의 처리 방식에 초점을 맞췄다. 세 가지 조사 결과가 두드러졌다.

첫째, 아동 계정이 기본적으로 공개로 설정되어 있었다. 아동이 수동으로 설정을 비공개로 전환하지 않는 한, 인터넷의 누구나 미성년자의 게시물, 소개글, 프로필 사진을 볼 수 있었다. 둘째, 탐색 페이지와 추천 계정을 포함한 플랫폼의 추천 및 발견 기능이 미성년자와 성인에게 동일하게 작동했다. 셋째, 메타의 가입 및 동의 절차가 개인정보 보호 선택지를 명확하고 연령에 적합한 방식으로 제시하지 못했다.

DPC의 공개된 결정문에 따르면, 이는 단순한 실수가 아니었다. GDPR의 투명성 및 설계 단계 데이터 보호(data-protection-by-design) 요건 위반에 해당했다.

엔지니어의 규칙을 다시 쓰는 규제 과징금

나는 독립 프라이버시 연구자이자 유럽 데이터보호감독관(EDPS)의 전 자문위원인 우카시 올레이니크(Łukasz Olejnik) 박사에게 이 문제를 물었다.

Q: 이것은 그저 또 하나의 빅테크 과징금인가, 아니면 근본적으로 무언가를 바꾸는 것인가?

"이것은 대화의 판도를 바꿉니다"라고 올레이니크는 말했다. "이전 GDPR 과징금은 데이터 처리, 동의 배너, 국경 간 데이터 이전을 대상으로 했습니다. 이번에는 제품 아키텍처를 대상으로 합니다. 규제 당국이 말하는 것은, 미성년자의 프로필을 기본적으로 공개하도록 선택한 것은 중립적인 엔지니어링 결정이 아니라는 것입니다. 법적 결과를 수반하는 결정이라는 것이죠."

Q: '설계 단계 데이터 보호'가 기능을 출시하는 개발자에게 실제로 무엇을 의미하는가?

"출시 후 패치로 프라이버시를 처리할 수 없다는 뜻입니다. 기본 설정이 취약한 사용자를 노출시킨다면, 누군가 불만을 제기하기도 전에 이미 규정을 위반한 것입니다. 기본값이야말로 가장 중요한 제품 결정입니다. 대부분의 사용자는 기본값을 절대 변경하지 않으니까요."

마지막 지적은 강하게 와닿는다. 2023년 마이크로소프트가 발표한 연구에 따르면, 어떤 플랫폼이든 기본 설정을 변경하는 사용자는 5퍼센트 미만이다. 십대의 경우 그 비율은 더 낮을 가능성이 높다.

조용한 수정이 결정적 증거가 되다

시간 순서가 중요하다. 메타는 2021년에 일부 아동 안전 기능을 도입했는데, 여기에는 특정 지역에서 16세 미만 신규 계정을 비공개로 기본 설정하는 것도 포함되었다. 하지만 DPC의 조사는 이러한 변경 이전 기간을 다루며, 결정적으로 이 변경 자체가 기존 기본값에 문제가 있었음을 인정한 것이라고 주장한다.

이는 취약점 공개에서 내가 본 적 있는 패턴이다. 기업이 아무도 눈치채지 못하길 바라며 조용히 결함을 패치한다. 그러면 연구자가 — 이 경우에는 규제 당국이 — 그 패치가 원래 설계가 결함이 있었음을 증명한다고 지적한다.

Q: 메타가 결국 기본값을 변경한 사실이 그들의 입장에 도움이 되는가, 아니면 불리하게 작용하는가?

EU 데이터 보호법을 전문으로 하는 폴 헤이스팅스(Paul Hastings)의 파트너 사라 피어스(Sarah Pearce)에게 물었다.

"양날의 검입니다"라고 피어스는 말했다. "한편으로는 대응력을 보여줍니다. 다른 한편으로는, 회사가 처음부터 프라이버시 보호 기본값을 구현할 능력이 있었으면서도 하지 않기로 선택했다는 증거를 제공합니다. 규제 당국은 이를 아동 안전보다 참여 지표를 우선시한 비용-편익 계산으로 해석합니다."

모든 기본 설정이 이제 컴플라이언스 표면이다

이것을 법률 용어에서 스프린트 플래닝 용어로 번역해 보겠다.

18세 미만 사용자가 있는 플랫폼에서 일한다면, 모든 기본 설정, 모든 알고리즘 추천 파이프라인, 모든 온보딩 플로우가 이제 잠재적 컴플라이언스 표면이다. 막연하게 "프라이버시를 생각해 봐야 할 것 같다"는 차원이 아니다. "이 특정 if문 때문에 규제 당국이 수억 유로의 과징금을 부과할 수 있다"는 차원이다.

Q: 엔지니어링 팀이 오늘 당장 감사해야 할 것은 무엇인가?

익명을 조건으로 인터뷰에 응한 유럽 주요 플랫폼의 시니어 프라이버시 엔지니어에게 이 질문을 던졌다.

"세 가지입니다. 첫째, 미성년자 계정의 기본 공개 설정. 기본적으로 공개되어 있는 것이 있다면 표시하세요. 둘째, 알고리즘 시스템 — 추천 엔진이 미성년자와 성인을 다르게 취급하고 있는가? 아니라면 그것이 바로 빈틈입니다. 셋째, 동의 및 온보딩 UX. 다크 패턴을 사용하고 있나요? 미리 체크된 체크박스? 혼란스러운 문구? 규제 당국이 기만적이라고 규정할 수 있는 것이 있나요?"

Q: 엔지니어링 맥락에서 다크 패턴을 어떻게 정의하는가?

"UI에서 가장 쉬운 경로가 가장 덜 프라이버시가 보장되는 결과로 이어진다면, 다크 패턴이 있을 가능성이 높습니다. 데이터 수집을 거부하는 데 수락보다 더 많은 클릭이 필요하다면, 그것은 다크 패턴입니다. '수락' 버튼은 선명한 초록색인데 '거부' 버튼은 회색 배경에 회색 텍스트라면, 그것은 다크 패턴입니다. 엔지니어들도 알고 있습니다. 프로덕트 매니저들도 알고 있습니다. 문제는 이를 수정할 만큼 충분히 신경 쓰는 권한자가 있느냐입니다."

당신의 데이터베이스 스키마가 이제 감사 대상이다

이 판결에서 나를 밤잠 설치게 하는 부분이 바로 이것이다. 나는 수년간 침투 테스터로서 공격 표면 — 네트워크 포트, API 엔드포인트, 인증 플로우 — 을 매핑했다. 이것들은 보안을 위해 감사하는 대상이다.

이번 과징금은 새로운 범주를 만들어냈다. 규제적 공격 표면이라고 부르겠다. 데이터베이스 스키마 선택, 추천 알고리즘 가중치, 사용자 설정 테이블의 기본 불리언 값 — 이 모든 것이 이제 글로벌 매출의 일정 비율을 과징금으로 부과할 법적 권한을 가진 규제 당국의 대상이 된다.

DPC는 GDPR에 따라 글로벌 연간 매출의 최대 4퍼센트까지 과징금을 부과할 수 있다. 메타의 과징금은 절대 금액으로는 막대하지만, 그 상한선에 비하면 온건한 수준이다. 다음 과징금은 그렇지 않을 수 있다.

연령 인증: "어렵다"는 더 이상 변명이 되지 않는다

DPC의 결정은 메타의 연령 인증 메커니즘 — 또는 그 부재 — 도 면밀히 검토했다. 가입 시 자기 신고 방식의 연령 확인은 불충분하다고 판단되었다.

Q: 플랫폼 규모에서 강력한 연령 인증이 기술적으로 가능하기는 한가?

"어렵습니다"라고 익명의 프라이버시 엔지니어는 인정했다. "신원 확인은 그 자체로 프라이버시 우려를 낳습니다 — 미성년자에게 소셜 미디어 회사에 정부 발행 신분증을 제출하라고 요구하는 것이니까요. AI 기반 연령 추정은 확률적이고 편향 문제가 있습니다. 하지만 '어렵다'는 것은 더 이상 법적 항변이 되지 않습니다. 규제 당국은 방법을 찾든지, 아니면 그 결과를 감수하라고 말하고 있습니다."

이것이 불편한 진실이다. 연령 인증의 기술적 어려움이 이를 시도해야 할 법적 의무를 줄여주지 않는다. 그리고 그 기준은 계속 높아지고 있다.

월요일 아침 체크리스트

플랫폼 엔지니어링 팀에 속해 있다면, 여기서부터 시작하라.

1. 미성년자 계정의 기본 설정을 감사하라. 18세 미만 사용자에게 "공개" 또는 "표시"로 기본 설정된 모든 불리언 값을 검토해야 한다. 각각에 대한 비즈니스 정당성을 문서화하라.

2. 추천 파이프라인을 검토하라. 알고리즘이 14세와 34세에게 동일한 콘텐츠를 제공한다면, 컴플라이언스 공백이 있는 것이다. UI만이 아니라 ML 파이프라인에 연령 기반 제한을 구축하라.

3. 동의 플로우를 스크린샷으로 남겨라. 미성년자로 가입 과정을 직접 경험해 보라. 가장 프라이버시가 보장되는 설정까지의 클릭 수와 가장 덜 보장되는 설정까지의 클릭 수를 세어보라. 비대칭이 있다면 수정하라.

4. 조사가 시작된 후가 아니라, 지금 법무팀과 이야기하라. DPC의 메타 조사는 2021년에 시작되었다. 과징금은 2025년에 부과되었다. 이 조사들은 느리게 진행되지만, 결과는 강력하게 다가온다.

5. 모든 것을 문서화하라. 규제 당국은 설계 단계에서 프라이버시를 고려했다는 증거를 원한다. "생각해 보지 않았습니다"는 GDPR 집행에서 가장 비싼 문장이다.

판례는 확립되었다 — 항소를 기다려주지 않을 것이다

메타는 거의 확실히 항소할 것이다. 법적 절차는 수년간 계속될 것이다. 하지만 업계에 대한 신호는 즉각적이다.

당신의 아키텍처는 중립적이지 않다. 당신의 기본값은 무해하지 않다. 그리고 "기술적으로 합법"과 "실제로 보호적"의 간극은 방금 3억 7,500만 유로짜리 질문이 되었다.

10년간 시스템의 허점을 찾아온 사람으로서 이렇게 말하겠다: 고치기 가장 어려운 취약점은 그것이 기능인 경우다. 13세의 기본 공개 프로필은 전통적 의미의 버그가 아니다. 제품 결정이다. 그리고 제품 결정도 데이터 유출과 동일한 법적 무게를 질 수 있다는 것이 밝혀졌다.

자물쇠는 이미 따였다. 문제는 감사관이 도착하기 전에 당신의 팀이 잠금장치를 교체할 것인가이다.