"우리는 국내 서비스인데 GDPR이 무슨 상관이야"
판교와 강남에서 SaaS, 커머스, 플랫폼 서비스를 운영하는 스타트업 대표님들께 드리는 말씀입니다.
2026년 5월, 링크드인이 EU 법원에 섰습니다. 혐의는 GDPR(유럽 개인정보보호법) 위반. 소송을 제기한 단체는 NOYB(None of Your Business)로, 이미 구글에 3억 2,500만 유로 과징금을 이끌어낸 바로 그 단체입니다.
링크드인 소송의 핵심은 단순합니다. '내 프로필을 누가 봤는지'라는 정보를, 무료 사용자에게는 제공하지 않고 월 30유로짜리 유료 구독자에게만 제공해왔다는 것입니다. NOYB는 "그 데이터는 원래 사용자 본인 것인데, 왜 돈을 내야 볼 수 있냐"고 따졌습니다.
"우리는 유럽 사용자도 없고 국내 서비스만 하는데, 남의 얘기 아닙니까?"
절반은 맞고 절반은 틀립니다. 이 사건이 국내 스타트업에 던지는 신호는 생각보다 훨씬 가깝습니다.
많은 스타트업이 이 부분을 간과합니다
국내 개인정보보호법 제35조도 동일한 구조를 가집니다. 정보주체는 자신의 개인정보에 대한 열람을 요구할 수 있고, 사업자는 정당한 사유 없이 이를 거부할 수 없습니다. 열람 요구를 받은 날로부터 10일 이내에 열람을 제공하거나, 그것이 어려운 경우 사유와 이의제기 방법을 통지해야 합니다(개인정보보호법 제35조, 동법 시행령 제41조·제42조).
그런데 현장에서 자주 보이는 패턴이 있습니다.
"개인정보처리방침은 있어요. 법무팀 없이 경쟁사 것 참고해서 올린 건데… 맞는 건지는 모르겠어요."
동의 방식도 문제입니다. 서울행정법원은 2023년 사건번호 2023구합54259 판결에서, 사업자가 방대한 처리방침 동의를 회원가입 필수 항목으로 묶어두고 이후 설정 메뉴에서 거부하게 하는 옵트아웃 구조에 대해, 정보주체의 자기결정권 보장에 미흡하여 적법한 동의로 보기 어렵다고 판단했습니다.
마케팅 동의, 제3자 제공 동의, 필수 수집 동의가 하나의 체크박스에 묶여 있는 구조는 개인정보보호법 제22조(동의를 받는 방법)가 요구하는 '동의사항 구분' 원칙에 위반될 수 있습니다. 이 조항 하나 때문에 과징금 처분으로 이어진 사례가 실제로 존재합니다.
과징금 상한은 전체 매출액의 3%입니다(개인정보보호법 제64조의2, 동법 시행령 제60조의2). 매출 50억 원 스타트업이라면 이론상 1억 5,000만 원까지 부과될 수 있는 구조입니다. 위반행위와 관련 없는 매출액은 제외하는 등 산정 과정에서 조정되지만, 처분 자체가 시작되면 대응 비용과 평판 리스크는 별개로 발생합니다.
판례·법적 기준: 법원은 어떻게 판단했나
서울행정법원 2023구합54259 (2023) 플랫폼 사업자가 처리방침 동의를 회원가입 필수 동의에 통합하고 사후에 거부하게 한 구조에 대해 법원은 정보주체의 자기결정권 보장에 미흡하다고 판단했습니다. 옵트아웃 구조가 적법한 동의로 인정되지 않는다는 취지가 확인된 판결입니다.
개인정보보호법 제17조·제18조 (제3자 제공 및 목적 외 이용 제한) 광고 플랫폼, 분석 툴, 마케팅 자동화 솔루션에 데이터를 연동하는 것은 실질적인 제3자 제공에 해당할 수 있습니다. 처리방침에 명시되지 않은 외부 툴로 데이터가 흘러가고 있다면, 별도 동의 없이 제3자에게 개인정보를 제공한 것으로 볼 수 있습니다.
개인정보보호법 제39조의2 (법정손해배상, 2026년 9월 11일 시행) 개인정보가 실제로 유출된 경우, 정보주체는 손해액을 일일이 입증하지 않아도 300만 원 이하 범위에서 법정손해배상을 청구할 수 있습니다. 단, 이 조항은 분실·도난·유출 등 유출 사고가 발생한 경우에 적용되며, 처리방침 미비나 동의 절차 하자만으로 자동 적용되는 구조는 아닙니다. 다만 대법원은 유출 정보의 종류, 식별 가능성, 제3자 열람 가능성 등을 종합해 개별 사정을 심리한다는 판단 기준을 제시하고 있습니다(대법원 2023다311184). 유출 사고가 집단청구로 번질 경우, 소송 방어 비용만으로도 수억 원이 발생할 수 있다는 점을 인식해두어야 합니다.
지금 당장 확인해야 할 체크리스트입니다.
- 개인정보처리방침이 실제 서비스 기능과 일치하는가? (최근 1년 내 업데이트 여부 포함)
- 마케팅 수신 동의, 제3자 제공 동의, 필수 수집 동의가 각각 분리되어 있는가? (개인정보보호법 제22조)
- 외부 광고·분석 툴(GA4, 메타픽셀, 카카오픽셀 등) 연동이 처리방침에 명시되어 있는가? (개인정보보호법 제17조·제18조)
- 이용자가 개인정보 열람을 요청했을 때 10일 이내에 처리할 수 있는 실제 프로세스가 있는가? (개인정보보호법 제35조, 시행령 제41조)
- 개인정보보호 책임자(CPO)가 지정되어 있고, 내부 관리계획이 문서화되어 있는가?
이 글을 읽는 지금, 아래 3가지를 확인하세요
1. 개인정보처리방침과 실제 데이터 흐름을 대조하세요. 지금 운영 중인 서비스에서 수집하는 데이터 항목과 처리방침 상의 항목이 일치하는지 확인하세요. 외부 광고 추적 픽셀, 분석 툴, CRM 연동 항목은 처리방침에 누락된 경우가 많습니다. 고지하지 않은 제3자 제공은 개인정보보호법 제17조 위반으로 이어질 수 있습니다.
2. 회원가입 동의 UX를 점검하세요. 마케팅 동의와 필수 개인정보 수집 동의가 하나의 체크박스에 묶여 있다면, 개인정보보호법 제22조가 요구하는 '동의사항 구분' 원칙에 위반될 수 있습니다. 법원은 이미 옵트아웃 구조의 적법성을 엄격하게 보고 있습니다.
3. 열람 요청 대응 프로세스를 갖추세요. 이용자가 열람을 요청할 경우, 사업자는 10일 이내에 열람을 제공하거나 제한 사유를 통지해야 합니다(시행령 제41조·제42조). 시행령은 수집 창구보다 어렵지 않은 방법으로 열람 창구를 운영할 것을 요구합니다. 지금 실제로 테스트해보세요.
마치며 — 링크드인 소송이 우리에게 던지는 질문
링크드인은 수백 명의 법무 인력을 보유한 기업입니다. 그 기업도 오랜 운영 관행에 법원이 제동을 걸었습니다.
사장님 입장에서 생각해보면, 서비스 기획할 때 개인정보 처리는 가장 마지막 순서가 됩니다. 처리방침은 경쟁사 것을 참고해서 올립니다. 그리고 이용자가 급격히 늘어서야 뒤늦게 법무 검토를 시작합니다. 이것이 현장에서 가장 자주 보이는 패턴입니다.
분쟁이 생긴 후가 아니라, 생기기 전에 대비하는 것이 가장 비용 효율적인 법률 서비스입니다.
위 체크리스트에서 하나라도 "아니오"가 나왔다면 지금 검토가 필요한 상태입니다.
법무법인 휘명은 스타트업·중소기업의 개인정보처리방침 및 서비스 이용약관 무료 검토를 제공하고 있습니다. 현재 운영 중인 처리방침 또는 이용약관을 이메일로 보내주시면 담당 변호사가 3일 내 검토 의견을 드립니다.
개인정보, 서비스 약관, 계약서 관련 법무 이슈를 사전에 관리하는 월 단위 기업 법무 고문 서비스도 안내해드립니다. 매달 정해진 비용으로 법적 리스크를 미리 차단하는 방식이, 분쟁 발생 후 대응하는 것보다 압도적으로 효율적입니다.
법무법인 휘명 대표변호사 박휘영
📞 02-558-1600
📧 parkbyon77@naver.com
📍 서울 강남구 테헤란로 63길 11 이노센스빌딩 2, 7, 8층
'기업법무' 카테고리의 다른 글
| 대표이사가 직접 자신의 급여를 올렸습니다 — 그 돈, 전부 돌려줘야 할 수도 있습니다 (0) | 2026.05.11 |
|---|---|
| "계약서에 서명했으니 월급은 나가야 합니다" — 정말 그럴까요? (0) | 2026.05.11 |
| 유상감자를 했다고 배임죄? — 2025년 대법원 판결이 기업 경영진에게 주는 메시지 (0) | 2026.05.07 |
| 전 직원이 기술을 들고 나갔는데, 소송 시기를 놓쳤다면 — 영업비밀 분쟁의 타임라인 (0) | 2026.05.07 |
| 대주주가 회사 자산을 빼돌렸습니다 — 소수주주인 저는 아무것도 못 합니까 (0) | 2026.05.07 |
