[리걸타임즈 집중분석] 빅데이터 기업의 M&A
[리걸타임즈 집중분석] 빅데이터 기업의 M&A
  • 기사출고 2019.03.06 08:24
이 기사를 공유합니다

야후 개인정보 유출에 인수가격 3.5억$ 감액

1. 데이터 실사의 중요성

기업 X를 인수한 후에 과거에 X사에서 개인정보 유출사고가 있었다는 것이 알려진다고 하면 어떻게 할 것인가? 과징금의 규모와 소송의 규모는 어느 정도 될지, 또 회사의 명성과 고객 충성도에 미치는 부정적인 영향은 어느 정도일지 등 많은 질문들이 떠오를 것이다. 무엇보다 유출사고의 원인이 무엇인지(회사가 적절한 보호조치를 하지 못한 것인지), 유출사고 발생시점이 기업인수 전인지 또는 후인지 가장 우선적으로 파악해야 할 것이다.

◇김선희 변호사
◇김선희 변호사

실제로 이런 사건들이 생각보다 자주 일어나고 있다. 잘 알려져 있듯이 Yahoo는 두 차례의 대규모 개인정보 유출사고를 겪은 바 있다. 유출된 정보는 이름, 이메일 주소, 전화번호, 보안질문, 생년월일, 암호화된 비밀번호 등이다.

30억개 이용자 계정 유출

놀라운 점은 유출사고 인지 시점이다. 2013년 8월 일어난 개인정보 유출사건은 2016년 12월에 비로소 인지하게 되었다. 당시 Yahoo는 10억명 정도의 이용자들에게 영향을 미치는 것으로 보고하였으나 2017년 10월이 되어서야 30억개 이용자 계정 모두가 유출되었음을 확인하였다.

한편 2014년 하반기에 일어난 유출사고는 2016년 9월에 인지하게 되었다. 다시 말해서, 30억개에 달하는 이용자 계정이 유출된 대규모 유출사고였음에도 불구하고 수년이 지나서야 비로소 이를 인지하게 된 것이다. Verizon은 2017년 Yahoo 인수 과정에서 개인정보 유출로 인한 법적 책임을 분담하기로 하고, 당시 협상 중이던 매매가격에서 약 3억 5천달러를 감액한 것으로 알려져 있다.

2016년 9월에 Starwood Hotels & Resorts를 인수한 Marriott의 경우도 유사한 경험을 하였다. 2018년 9월경 Starwood 고객 예약 데이터베이스에 대한 비정상적인 접근 시도를 발견하고 조사에 착수하였고, 조사 결과 약 5억명 고객의 예약에 관련된 개인정보가 유출된 것과 2014년경부터 Starwood 시스템에 대한 권한 없는 접근이 있어 왔던 사실을 발견하였다. 이 경우에도 기업 인수를 종결한 시점으로부터 2년이 넘어서, 그리고 실제 유출사건이 있었던 때로부터 4년이 넘어서 그 사실을 인지하게 된 것이다.

4년 지나 개인정보 유출 발견

위 사례에서 볼 수 있듯이 실제로 개인정보 침해 또는 유출사고가 발생한 후 이를 해당 기업이 인지하게 되는데 수년이 걸리는 경우가 많다. 그런데 이른바 개인정보 '빅데이터(Big Data)'는 기업들의 가장 중요한 자산 중의 하나이며, 이러한 데이터를 어떻게 수집 · 보관 · 활용하였는지 여부는 기업의 가치에 직접적인 영향을 미치기도 한다. 반면 데이터에 문제가 있거나 유출사고가 발생할 경우, 단순히 데이터의 가치가 하락하는 것에 그치지 않고 회사에게 감당하기 어려운 법적 책임이 발생할 수 있다.

위에서 예로 든 유출사고와 같이 드라마틱 한 사건이 아니라 하더라도, 인수 · 합병 과정에서 제대로 된 검증 없이 무분별하게 데이터를 인수한 경우, 수년이 지나서 감독기관의 실태점검 또는 조사 과정에서 기본적인 법규 준수에 대한 증빙자료 미비(예를 들면, 개인정보 수집 · 제공 동의서 불충분)로 인하여 과징금이 부과되는 경우를 종종 보게 되고, 실제로 필자도 여러 경우를 자문한 바 있다.

◇빅데이터가 4차 산업혁명 시대에 가장 중요한 자원으로 각광받고 있는 가운데 법무법인 율촌이 최근 "빅데이터 기업의 M&A"라는 주제로 세미나를 개최했다
◇빅데이터가 4차 산업혁명 시대에 가장 중요한 자원으로 각광받고 있는 가운데 법무법인 율촌이 최근 "빅데이터 기업의 M&A"라는 주제로 세미나를 개최했다

따라서 기업의 인수 · 합병에 있어서 기업이 보유하고 있는 빅데이터에 대한 실사의 중요성은 아무리 강조해도 지나치지 않다고 생각한다.

2. 데이터 실사의 목적

데이터 실사의 목적은 크게 세 가지로 볼 수 있다.

첫째, 법률 적합성을 검토하여 Closing 시점 전후로 과거 위반에 대한 책임 소재를 명확히 하고, Closing 이후 추가 위반이 발생하지 않도록 조치를 하는 것이다. 이를 위해 개인정보의 수집, 이용, 제공/위탁, 보관/파기 등 개인정보의 라이프 사이클(life cycle)의 각 단계마다 법령에 적합하게 개인정보를 처리하고 있는지 검토를 하게 된다. 개인정보를 취급하는 담당자들과의 인터뷰는 물론 동의서, 개인정보처리방침, 계약서 등 관련 문서를 검토하는 과정을 거친다.

담당자 인터뷰 등 거쳐야

법령 위반이 발견되었을 경우, 심각한 위법사항이라면 신속하게 이를 시정하는 것을 거래의 선결조건으로 하여야 한다. 또한 이미 위반이 발생한 부분에 대해 예상되는 과징금, 소송 등 향후 발생할 수 있는 법적 책임을 고려하여 가격 협상에 적절히 반영하거나, 매도인으로부터 향후 손해배상을 받을 수 있도록 계약상 장치를 마련해 둘 필요가 있다.

둘째, 인수 이후 개인정보의 사용 목적이나 개인정보의 '흐름'이 달라질 경우, 그 계획에 따라 개인정보를 사용 및 이전 · 공유할 수 있도록 필요한 법적 조치를 취한다.

기업을 인수하는 입장에서는 향후 개인정보의 활용 및 공유 범위에 있어서 여러 가지 계획을 세울 것이다. 예를 들면 기업 인수 후에 유럽 계열사와 개인정보를 공유할 계획이라면 이를 위해 개인정보 국외이전 동의서를 정비하고 개인정보 처리방침의 개정이 필요할 수 있겠다.

셋째, 인수방법에 따라서는 관련 법령상 인허가 또는 신고가 필요할 수 있으므로 관련 법적 절차 및 요건을 확인하여야 한다. 이 경우 해당 기업이 취급하고 있는 개인정보의 종류와 유형에 따라 적용 법령을 확인하고, 이에 따라 필요한 절차를 이행하여야 한다.

정보주체에 미리 통지해야

예를 들면, 개인정보보호법상 합병 · 영업양도 등으로 개인정보를 다른 사람에게 이전하는 경우에는 정보주체에게 미리 통지를 하여야 하며, 다만 과실 없이 서면 등의 방법으로 통지할 수 없는 경우에는 인터넷 홈페이지에 30일 이상 게재한다.

반면 신용정보의 이용 및 보호에 관한 법률("신용정보보호법")의 적용을 받는 기업들의 경우, 영업양도 · 분할 · 합병 등의 이유로 개인신용정보가 이전되는 경우, 금융위원회의 승인을 받아야 하며, 위치정보의 보호 및 이용에 관한 법률("위치정보보호법")상 위치정보사업자 또는 위치기반서비스사업자의 경우 사업양수 · 분할 · 합병시 방송통신위원회의 인가 또는 신고 절차가 있다.

한편 주식인수의 방법으로 기업을 인수하는 경우에는 그 자체로는 개인정보가 이전되는 것이 아니므로 별도로 통지의무나 승인 · 인가 · 신고절차가 요구되지 않으나, 기존에 정보주체가 동의한 또는 법령상 허용된 목적 범위 내에서만 개인정보를 사용할 수 있으므로 향후 변경되는 개인정보 이용에 대해 별도로 동의를 받을 필요가 있을지 신중히 살펴볼 필요가 있다.

3. 마치는 말

위에서 살펴본 바와 같이, 개인정보 시스템에 문제가 있는 기업을 인수하는 것은 마치 '오염된 토지'를 매입하는 것과 같이 향후 그로 인한 법적 책임을 떠안게 될 위험을 함께 인수하게 되는 것이다. 따라서 기업의 M&A에 있어서 피인수기업이 보유하고 있는 빅데이터에 대한 실사의 중요성은 아무리 강조해도 지나치지 않을 것이다.

본 기고문에서는 개인정보 측면에서의 빅데이터 실사에 초점을 맞추어 논의를 하였으나, 영업비밀이나 지적재산권 보호 측면에서도 유사한 측면이 있을 것으로 생각된다.

기업결합심사 때도 중요

나아가 앞으로는 기업결합심사에 있어서 빅데이터의 분석의 중요성이 부각될 것으로 전망된다. 공정거래위원회가 작년 11월 행정예고한 기업결합심사기준은 빅데이터 독점으로 인하여 관련 시장에서 경쟁이 실질적으로 제한될 가능성이 있는지 심사하기 위한 기준을 담고 있다. 즉, 결합 당사회사와 경쟁사업자 간 빅데이터 수집 · 관리 · 분석 · 활용 역량의 격차 등으로 기업결합 이후 경쟁사업자의 신규 진입이 더욱 어려워질 수 있는지, 데이터를 독점하는 회사가 개인정보 보호 수준을 낮추는 등 개인정보 관련 서비스의 품질을 저하시킬 가능성이 높은지 등이 고려될 가능성이 있어 보인다.

이에 대응하려면, 결국 피인수기업이 보유하고 있는 데이터에 관한 실사가 가장 중요한 기본 작업이라고 할 수 있다.

김선희 변호사(법무법인 율촌, kimsh@yulchon.com)