Security

유럽연합, 엑스에 1억 2천만 유로 벌금 부과

문가용 기자

Published: 00:47, 10 Dec 2025 (Updated: 20:21, 14 Jan 2026)

💡

Editor's Pick
- DSA 신설 이후 첫 번째 처벌 사례
- 벌금 내고도 60~90일 사이에 시정해야
- 머스크와 EU의 충돌, 이어질 듯

소셜미디어 엑스(X)가 유럽연합의 철퇴를 맞았다. 유럽연합 집행위원회가 1억 2천만 유로(대략 2052억 5040만 원)의 벌금을 엑스에 부과한 것이다. 유럽 사용자들에게 충분한 투명성을 제공하지 않았다는 게 그 이유다. 판결의 근간은 비교적 최근 시행되기 시작한 디지털서비스법(Digital Services Act, DSA)이다. DSA가 공식 출범한 이후의 첫 번째 처벌 사례다.

세 가지 위반 사항

집행위원회가 발표한 바에 따르면 엑스는 세 가지 위반 사항 때문에 처벌을 받는 것이라고 한다. 첫 번째는 블루 체크 표시 시스템이다. 일론 머스크가 2022년 엑스(당시는 트위터)를 막 인수했을 때 신설한 기능이다. 머스크는 이것을 두고 엑스라는 생태계 내에서 사용자가 본인 인증을 할 수 있는 방법이라고 주장했다. 유명인의 트위터 계정이 해킹돼 엉뚱한 메시지를 내보내는 사건이 연달아 터지던 때라 머스크의 주장에 힘이 실리기도 했다.

하지만 집행위원회는 머스크의 그러한 주장이 거짓이라고 최종 판단했다. 왜냐하면 그 중요한 인증 표식인 블루 체크는 누구나 돈만 내면 간단히 얻어낼 수 있기 때문이다. ‘인증’이라면 조금 더 복잡한 확인 절차가 있는 게 당연하지만 엑스의 블루 체크는 오로지 지불 행위만을 요구한다. “계정 사용자라고 주장하며 돈을 내는 사람이 정말 그 계정의 주인인지 엑스는 확인하지 않습니다. 그러므로 본인 인증 기능이 충분하다고 보기 어렵습니다.”

두 번째는 다소 아리송하며, 따라서 논란의 여지가 있어 보인다. 집행위원회의 주장에 따르면 “엑스가 연구자들이 공공 데이터에 접근하는 것을 차단했다”고 하며, 이 때문에 “유럽연합 내 체계적 위험에 대한 연구를 저해한다”고 한다. 하지만 그 어떤 뉴스 매체나 공식 발표에서도 ‘공공 데이터’가 무엇을 뜻하는지, 어떤 연구자들이 어떤 목적으로 그러한 데이터에 접근하고자 했는지, ‘체계적 위험’이 무엇을 뜻하는지 설명되지 않았다.

세 번째로 엑스가 광고와 관련하여 일부 정보를 투명하게 공개하지 않고 있다는 점이 지적됐다. 엑스가 정보 공개를 하긴 하나 디지털서비스법이 요구하는 수준에는 이르지 못하고 있다는 게 집행위원회의 주장이다. “광고의 주제나 콘텐츠 같은 핵심 정보가 부실합니다. 이 때문에 온라인 광고에 내재되어 있을 수 있는 잠재적 위험을 미리 파악해 대처하기 어렵습니다.”

세 가지 위반 사항에 대한 보충 설명

머스크가 ‘인증 시스템’이라고 주장했던 블루 체크 표시의 경우, 집행위원회의 이번 판결 전 이미 중요한 사건을 통해 ‘쓸모 없음’이 증명된 바 있다. 누군가 일라이릴리(Eli Lily)라는 대형 제약 회사의 가짜 엑스 계정을 만든 뒤 돈을 지불함으로써 간단히 블루 체크를 획득한 뒤, 그 계정을 통해 “인슐린을 무료로 배포한다”고 쓴 것이다. 이 사건 때문에 일라이릴리의 주가가 4% 넘게 떨어지기도 했다.

보안 기업 멀웨어바이츠(Malwarebytes)는 “그와 비슷한 시기에 테슬라, 트럼프, 토니 블레어 등 유명 기업이나 인물을 사칭하는 계정들이 등장해 활동하기도 했다”고 자사 블로그를 통해 알렸다. 약해도 너무 약한 인증 시스템이었던 것이다. 멀웨어바이츠는 “그렇잖아도 가짜 계정이 난무하는 때에 소셜미디어 플랫폼에서 아무 효력도 없는 인증 시스템을 도입한 건 너무한 일”이라며 “실질적인 피해가 매우 컸다”고 지적했다.

‘연구자들의 공공 데이터 접근 시도를 차단했다’는 주장은 아리송하다고 위에 썼다. 지금은 이에 관한 명확한 설명이 없기 때문에 과거 소셜미디어라는 맥락에서 ‘공공 데이터’가 주로 무엇을 의미했는지 짚고 넘어가는 게 최선이다.

소셜미디어에서 얘기하는 공공 데이터라는 것에는 ‘표준화 된 정의’가 없다. 연구자들마다 다른 걸 이야기할 때가 많다. 하지만 많은 경우 사용자가 공개 설정한 데이터들을 의미한다. 전체 공개로 한 프로파일이나 게시물, 댓글, 리트윗 콘텐츠, 좋아요 표식 등이 여기에 해당한다. 조금 더 넓게 보면 게시물에 포함된 메타데이터(작성 시간과 작성자 ID, 위치 정보 등), API를 통해 공개적으로 제공되는 정보, 스크래핑 가능한 정보 등도 포함된다.

연구자들은 이런 정보들을 수집해 분석함으로써 소셜미디어 사용자들의 행동 패턴을 파악하거나, 허위 정보가 어떤 식으로 확산되는지, 사회 현상에 대한 여론이 어떤지 등을 조사할 수 있다. 광고와 마케팅을 위한 고객 니즈가 무엇인지, 플랫폼이 어느 정도로 투명하게 정보를 공개하는지 등을 모니터링 하는 데에도 사용된다. 집행위원회의 이번 두 번째 주장은 이런 활동의 저해를 지적하고 있을 가능성이 높다.

마지막으로 ‘광고 정보의 불투명한 공개’에 관한 내용이다. 보통 법 집행 기관이나 시민 단체들은 SNS 플랫폼들의 광고 관련 정보에 특히 민감하게 반응한다. 왜냐하면 광고는 각종 메시지를 교묘하고 광범위하게 전파할 수 있는 수단이기 때문이다. 즉 사용자 몇몇의 게시글보다 그 공공성과 파급력이 훨씬 크다는 것이다. 그러므로 어떤 내용의 광고가, 누구의 의뢰로, 누구를 향하여 송출되었는지를 알리는 것이 ‘민주주의 시스템 하에서 기업이 마땅히 행해야 할 책임’이라고까지 설명되기도 한다.

또한 광고는 상업적 행위이기도 하다. 따라서 여러 기업들이 공정한 기준과 제도 아래 공정하게 경쟁해야 한다. 특정 기업이 광고를 내보내는 데 있어 플랫폼으로부터 차별을 받는다면 그 자체로 이미 공정 거래 위반이다. 이를 제대로 판단하려면 플랫폼들이 광고 관련 정보를 투명하게 공개해야만 한다. 이런 맥락에서 엑스가 제공하지 않았다는 광고 주제와 콘텐츠가 왜 그리 중요한 내용인지 이해하는 건 크게 어려운 일이 아니다.

머스크 vs. 유럽

유럽과 엑스(그러므로 머스크)가 충돌을 일으킨 건 이번이 처음도 아니고 마지막은 더더욱 아닐 것으로 전문가들은 내다보고 있다. 지난 해에만 하더라도 머스크는 유럽연합 집행위원회의 광고 계정을 비활성화 했고, 심지어 EU는 해체되어야 한다고 주장하기도 했다. 유럽연합이 2022년부터 지금까지 머스크의 엑스를 꾸준히 제재해 왔기 때문이다. 특히 소셜미디어에 허위 정보와 악성 콘텐츠가 유포되는 것을 플랫폼 사업자가 책임지고 막아야 한다는 유럽연합 측 요구를 머스크는 ‘표현의 자유를 침해하는 것’이라고 비판하며 거절해 온 것이 둘 사이를 근본적으로 갈라놓고 있다.

집행위원회는 천문학적인 벌금에 더해 시정까지도 요구하고 있다. 블루 체크 표시는 60일 내에, 공공 데이터 접근 차단 문제는 90일 내에 시정해야 한다. 제 때 이를 완수한다고 해서 벌금이 사라지지는 않을 전망이지만, 적절한 조치 없이 시간을 끌면 추가 벌금이 생겨날 것이 확실해 보인다. 머스크가 이것을 두려워 하여 집행위원회의 요구 사항을 준수할지, 아니면 법적 다툼을 선택할지는 아직 알 수 없다.

멀웨어바이츠는 “두 거인의 기싸움 때문에 약한 인증이 약한 채로 남아있는 건 온당치 않은 일”이라고 지적하며 “어떤 결론이 나든 블루 체크 표시만으로 사용자 본인 인증을 하게 하는 현 상황은 반드시 수정되어야 한다”고 결론을 지었다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)