이충수 개인정보 보호책임자의 디지털 시대의 새로운 에티켓, 개인정보 보호
중소기업까지 번진 GDPR 과징금, “대기업만의 문제가 아니다”
중소기업 GDPR 과징금 문제를 두 차례에 걸쳐 집중 조명합니다. 이번 호에서는 빅테크를 넘어 중소기업까지 확산되고 있는 실질적인 제재 현황을 짚어보고, 다음 호에서는 규제 불균형 논란과 EU의 법 개정 움직임을 심층 분석할 예정입니다.
빅테크에서 SME로 번지는 제재
GDPR(유럽 개인정보보호법) 하면 흔히 메타, 구글, 아마존 같은 글로벌 빅테크에 부과되는 천문학적 과징금을 먼저 떠올린다. 실제로 메타는 2023년 개인정보의 미국 이전 문제로 12억 유로라는 사상 최대 과징금을 부과 받았고, 아마존과 구글 역시 수억 유로대의 제재를 피하지 못했다. 이처럼 빅테크를 겨냥한 대형 제재가 뉴스를 도배하는 사이, 유럽 감독기관의 시선은 조용히 다른 방향을 향하고 있다. 바로 중소기업(SME)이다.
최근 수년간 유럽 내 중소기업을 대상으로 한 GDPR 제재 건수는 가파른 상승세를 보이고 있다. 전체 과징금 건수 중 중소기업이 차지하는 비율은 약 20% 수준에 이르렀으며, 이 수치는 해마다 커지고 있다. 이는 두 가지를 동시에 의미한다. 감독기관의 감시망이 이전보다 훨씬 정교하고 촘촘해 졌다는 것, 그리고 데이터 보호 역량이 상대적으로 낮은 소규모 사업자들이 오랫동안 규제의 사각지대에 방치되어 왔다는 것이다.
과징금의 절대 액수는 대기업에 비해 작을지 모르지만, 자본력과 전문 인력이 턱없이 부족한 중소기업은 제재 자체보다도 그로 인한 신뢰 손실과 계약 단절 위험이 더 큰 부담이 된다.
규모와 무관한 과징금 구조
GDPR의 제재 체계는 기업 규모에 상관없이 강력한 억지력을 발휘하도록 설계되어 있다. 위반의 수위에 따라 최대 2,000만 유로 또는 전 세계 연간 매출액의 4% 중 더 큰 금액이 부과될 수 있으며, 비교적 가벼운 일반 위반조차 최대 1,000만 유로 또는 연 매출의 2%까지 제재가 가능하다. 법문만 놓고 보면 이 구조는 ‘공평하다’. 누구에게나 같은 기준이 적용되기 때문이다.
그러나 현장의 현실은 다르다. 이 ‘공평해 보이는’ 규정이 실제로는 체급을 전혀 고려하지 않은 일방적 압박으로 작동하는 경우가 많다. 대기업에게 수억 유로의 과징금은 충분히 예비된 법무 비용이나 리스크 관리 예산으로 흡수될 수 있는 수준이다.
반면 연 매출 규모가 작은 중소기업에 부과되는 수만 유로의 과징금은 즉각적인 현금 흐름 마비로 이어지고, 심한 경우 도산 위기로 직결되기도 한다. “같은 규칙이 누구에게는 경고장이지만, 누구에게는 사형선고가 될 수 있다”는 비판이 현장 곳곳에서 터져 나오는 이유가 바로 여기에 있다.
GDPR의 비례성 원칙이 이론적으로는 기업 규모를 고려한 과징금 산정을 가능하게 하지만, 실제 집행 과정에서 그 원칙이 일관되게 적용되는지에 대한 의문도 꾸준히 제기된다. 각 회원국의 감독기관마다 집행 방식과 강도가 다르기 때문에 같은 위반이라도 어느 나라에서 적발되느냐에 따라 제재의 무게가 달라지는 상황도 벌어진다.
중소기업이 특히 취약한 이유
중소기업이 GDPR 앞에서 유독 취약할 수밖에 없는 이유는 악의가 있어서가 아니다. 대부분의 경우는 행정적 역량의 한계에서 비롯된 무방비 상태가 문제다.
가장 먼저 부딪히는 것은 문서화의 부담이다. 개인정보 처리 기록을 체계적으로 유지하고, 개인정보 처리방침을 정기적으로 갱신하는 일은 전담 인력이 없으면 사실상 감당하기 어려운 작업이다. 상대적으로 작은 규모의 회사에서 이 역할을 맡을 수 있는 사람은 제한적이고, 그나마도 본업을 병행하는 경우가 대부분이다. 고객의 데이터 열람•정정•삭제 요청에 법에서 정한 기한 안에 반드시 응해야 한다는 사실을 모르거나, 알더라도 실무적으로 처리할 여력이 없어 기한을 넘기는 일도 흔하다.
무엇보다 심각한 것은 해석의 어려움이다. 어떤 정보가 민감정보에 해당하는지, 특정 상황에서 정보 주체에게 통지를 해야 하는지, 제3자와 데이터를 공유할 때 어떤 계약 조건을 갖춰야 하는지는 법률 전문가가 아니면 판단하기 쉽지 않다. 전문 법무팀을 갖춘 대기업과 달리, 중소기업은 이 모든 것을 외부 컨설턴트에 의존하거나 스스로 짐작해서 처리해야 하는 상황에 놓인다.
결과적으로 “알고도 못 지킨 것”과 “몰라서 못 지킨 것” 모두가 같은 법적 결과로 이어지는 구조 속에서 중소기업은 이중의 위험에 노출된다. GDPR 제83조 2항은 과실 여부와 위반 의도 등 여러 요인을 고려하도록 명시하지만, 실제 집행에서는 법문상의 이런 고려가 현장, 특히 자원이 부족한 중소기업에게는 충분히 반영되지 않는다는 비판이 제기된다.
같은 위반에도 대기업은 체계적인 내부 관리와 사후 대응으로 일부 선의•노력을 인정받는 반면, 중소기업은 단순 ‘미비’로만 평가되는 사례가 적지 않다. 이처럼 법에서는 의도를 고려한다고 하지만, 체급이 작은 기업에게는 그 차이가 잘 드러나지 않는 현실이 문제의 핵심이다.
비용 측면에서도 격차는 분명하다. 일부 연구에 따르면 중소기업의 초기 GDPR 준수 비용은 평균 2만~5만 유로로, 대기업의 10분의 1 수준에 불과하다. 그러나 매출 대비 상대적 부담률로 환산하면 대기업의 5배 이상이 된다. 소프트웨어 개발처럼 데이터 의존도가 높은 업종에서는 GDPR 준수로 인해 운영비가 최대 24%까지 증가한다는 분석도 있다.
아동 데이터 보호 규정 하나만 놓고 봐도 중소기업은 약 50만 유로, 대기업은 약 1,000만 유로가 드는 것으로 추산된다. 절대 금액은 대기업이 크지만, 기업 규모 대비 실질 부담은 중소기업이 훨씬 무겁다.
반복되는 기본 의무 위반
감독기관이 중소기업에 과징금을 부과하는 사유를 들여다보면, 거창한 데이터 유출 사고보다는 기초적인 의무 이행 실패가 대부분을 차지한다는 사실이 눈에 띈다. 처리 기록 미비, 개인정보 처리방침 미갱신, 정보 주체의 삭제 요청 미처리 같은 항목은 대기업에도 동일하게 적용되지만, 내부 통제 시스템이 상대적으로 허술한 중소기업에서 훨씬 자주 적발된다.
예를 들어 2020년 폴란드의 한 소규모 기업은 고객에게 데이터 권리를 고지하지 않았다는 이유로 2만 2,000유로의 과징금을 부과받았다. 메타나 아마존의 과징금과 비교하면 푼돈처럼 보일 수 있지만, 연 매출이 수억 원에 불과한 소기업에게 이 금액은 결코 가볍지 않다. 더 큰 문제는 이런 위반 대부분이 고의적인 불법 행위라기보다는 실수나 체계 부족에 따른 위반이라는 점이다.
GDPR상 과실의 정도는 참작 사유이지만, 고의는 더 중한 요소로 다뤄진다. 그런데 실제 집행에서는 소규모 사업자의 체계 부족과 실수가 충분히 고려되지 않는 경우가 많아, 같은 유형의 위반이라도 처벌의 무게가 달라 보인다.
벌금보다 큰 신뢰 손실
GDPR 제재의 후폭풍은 과징금 납부로 끝나지 않는다. 한 번이라도 감독기관의 조사 대상이 된 기업은 외부에 “데이터 보호에 취약한 회사”라는 인상을 남기게 되고, 이는 거래처와 투자자, 고객의 신뢰에 직접적인 타격으로 이어진다. 이름이 알려지지 않은 중소기업일수록 이런 낙인 효과는 더 오래, 더 깊이 남는다.
특히 B2B 사업을 영위하는 중소기업은 대기업 고객의 정기 보안 심사나 컴플라이언스 점검에서 탈락하는 사태를 맞을 수 있다. 실제로 일부 대기업은 협력사의 GDPR 준수 여부를 계약 조건에 명시적으로 포함시키고 있으며, 감독기관 제재 이력이 있는 기업과는 계약 자체를 기피하는 경향도 나타나고 있다. 결과적으로 과징금 자체보다 그 이후에 이어지는 신뢰 훼손이 더 오래가는 손실로 작용하는 경우가 적지 않다.
고객 확보 비용이 늘고, 계약 협상에서 불리한 위치에 놓이며, 장기적으로는 투자 유치나 파트너십 기회까지 줄어들어 사업 성장 자체가 지연된다. 벌금 한 번이 기업의 미래를 수년간 발목 잡는 셈이다.
같은 규칙, 다른 체력
중소기업의 GDPR 과징금 문제는 단순히 “벌금이 많아졌다”는 이야기가 아니다. 그것은 디지털 규제가 기업 규모에 따라 얼마나 다른 무게로 작동하는지를 보여주는 구조적 문제다. 대기업에게 연간 관리 비용의 일부로 처리되는 제재가 중소기업에게는 사업 지속성을 위협하는 위기로 번질 수 있다. 준수 의지가 있어도 준수 능력이 따라주지 않는 환경이 문제의 핵심이다.
그래서 지금 유럽의 논점은 단순히 “누가 규정을 어겼나”에서 벗어나, “같은 규칙이 서로 다른 체력을 가진 기업들에게 얼마나 다른 현실로 작동하는가”로 이동하고 있다. GDPR이 개인정보 보호라는 본래의 가치를 지키면서도 중소기업이 실질적으로 이행할 수 있는 환경을 어떻게 만들 것인가, 이 질문이 앞으로 EU 규제 논의의 핵심 과제가 될 것이다.
다음 호에서는 이 불균형을 공식적으로 문제 삼기 시작한 EU의 법 개정 움직임과, 그 과정에서 불거진 보호 수준 약화 논란을 집중적으로 살펴볼 예정이다.
1455호 16면, 2026년 4월 17일