영국 ICO, 레딧에 아동 데이터 보호 위반으로 260억 원 과징금 부과

레딧, 아동 데이터 보호 실패로 1,600만 파운드 과징금 부과

영국 정보위원회(ICO)는 **레딧(Reddit)**에 아동 데이터 보호 법규 위반으로 1,600만 파운드(약 2000만 달러, 한화 약 260억 원)의 과징금을 부과했다고 발표했다. 이번 조치는 영국 일반 데이터 보호 규정(UK GDPR) 및 **아동 보호 설계 코드(Children’s Code)**에 따른 역대 최대 규모의 처벌 중 하나로 기록됐다.

위반 사항의 주요 내용

ICO의 조사 결과, 레딧은 플랫폼 내 아동의 개인정보를 보호하기 위한 적절한 안전장치를 마련하지 않은 것으로 확인됐다. 구체적으로 다음과 같은 문제점이 지적됐다:

• 사용자 연령 검증 미흡: 미성년자가 보호 장치 없이 개인정보에 접근하거나 공유할 수 있도록 허용함.
• 미성년자 기본 개인정보 설정 미적용: 18세 미만 사용자에 대한 엄격한 기본 개인정보 보호 설정을 시행하지 않아, 데이터 수집, 맞춤형 광고, 유해한 행동 등에 노출될 위험이 높았음.
• 아동 보호 설계 코드 미준수: 디지털 서비스 제공자는 아동이 접근할 가능성이 있는 경우, 설계 단계에서부터 아동의 개인정보 보호와 안전을 우선시해야 한다는 규정을 위반함.

이번 과징금은 아동 데이터 보호를 소홀히 하는 조직에 대한 ICO의 ‘제로 톨러런스(zero-tolerance)’ 정책을 반영한 것으로, 플랫폼은 사전에 위험을 평가하고 연령에 적합한 보호 조치를 마련해야 한다는 점을 강조했다.

영향 및 업계 반응

이번 처벌은 소셜 미디어 플랫폼과 온라인 포럼에 UK GDPR 및 아동 보호 설계 코드 준수의 중요성을 일깨우는 계기가 됐다. ICO는 아동 데이터 보호를 최우선 집행 사항으로 삼고 있으며, 다른 대형 IT 기업을 대상으로 한 유사한 조사도 진행 중이다.

레딧은 공식적으로 과징금에 이의를 제기하지 않았지만, 정책 재검토를 통해 규제 요구 사항을 충족하겠다고 밝혔다. 이번 사례는 플랫폼의 미성년자 데이터 처리 방식에 대한 규제 당국의 감시 강화를 보여주며, 특히 개인정보 보호법이 엄격한 국가에서 더욱 주목받고 있다.

보안 및 컴플라이언스 팀을 위한 권고 사항

보안 전문가와 컴플라이언스 담당자는 유사한 처벌을 피하기 위해 다음 모범 사례를 참고해야 한다:

• 강력한 연령 검증 메커니즘 구축: AI 기반 검증, 문서 인증 등 미성년자가 보호 조치를 우회하지 못하도록 방지.
• 18세 미만 사용자에 대한 기본 고개인정보 설정 적용: 데이터 공유 및 맞춤형 광고 제한 등 엄격한 개인정보 보호 조치 시행.
• 정기적인 데이터 보호 감사 실시: GDPR, 아동 보호 설계 코드, 기타 지역 개인정보 보호법 준수를 위한 정기 점검.
• 모더레이션 팀 교육 강화: 미성년자 관련 위험(예: 그루밍, 불법 데이터 수집 등)을 식별하고 대응할 수 있도록 교육.
• 규제 당국과의 사전 협력: 컴플라이언스 노력과 잠재적 취약점을 사전에 해결해 집행 조치 방지.

레딧의 과징금 사례는 아동 데이터 보호를 소홀히 할 경우 발생하는 법적·평판적 위험을 보여주며, 디지털 서비스 설계 시 ‘개인정보 보호 우선 설계(privacy-by-design)’ 원칙의 중요성을 재확인시켰다.