스탠퍼드 경영학석사(MBA), 핌코(PIMCO) 미국 회사채 분석 담당 www.inclineim.com
페이스북의 주가가 지지부진하다. 개인정보 유출 스캔들과 이용자 수 감소와 더불어 최근 강화된 개인정보보호 의무가 페이스북 주가에 부담을 주고 있다. 지난달 26일 2분기 실적보고에서 최고경영자(CEO) 마크 저커버그는 실적 부진의 원인으로 유럽연합(EU)의 개인정보보호법(GDPR)을 지목하기도 했다. 같은 날 페이스북 주가는 전일 대비 20% 하락했다.
2018년 도입된 GDPR은 유럽연합의 강화된 개인정보보호법으로, 개인 정보를 수집하거나 처리할 때 반드시 이용자 개인의 동의를 받도록 규정했으며, 서비스 제공에 필수적인 정보 이외에는 정보 수집이 제한된다. 기업은 데이터를 필요 이상으로 오래 저장할 수 없고, 고객이 데이터 삭제를 원할 경우 즉시 응해야 한다. 개인정보 침해 사실이 발견될 경우 72시간 이내에 감독 기구에 보고해야 하며, 이를 위반하는 기업의 경우 전 세계 매출액의 4%, 혹은 2000만유로 중 더 높은 금액을 벌금으로 물어야 한다.
GDPR은 기존의 개인정보 지침과 달리, 유럽연합 전체를 구속하는 강력한 통합 규정이다. 유럽연합의 규정이지만, 사업장이 유럽 지역 내에 있거나 유럽 국민을 대상으로 상품 및 서비스를 제공하는 기업, 유럽 국민과 관련한 데이터를 수집, 분석하는 기업이면 물리적인 위치와 관계없이 모두 적용된다. 전 세계 고객을 대상으로 하는 IT기업이라면 GDPR이 적용되며, 매출 규모가 큰 기업의 경우 천문학적인 벌금을 물 수 있다.
GDPR에 발맞춰 미 캘리포니아 주에서는 올해 6월 캘리포니아 개인정보보호법(CCPA‧California Consumer Privacy Act)이 통과됐다. 2020년 1월 시행 예정이며 현재 미국에서 가장 엄격한 개인정보보호법으로 평가되고 있다.
이 법이 시행되면 캘리포니아에 사업장을 가지고 있는 기업은 이용자의 정보를 공유하거나 판매할 때 이용자의 명시적 동의를 구해야 한다. 광고 게재를 목적으로 개인정보를 다른 회사와 마음대로 공유할 수 없게 된 것인데, 광고를 통한 매출을 주력으로 하는 페이스북과 같은 기업에 큰 부담이 될 수 있는 요인이다.
개인정보보호 강화로 유럽 서비스 중단하는 기업도
실리콘 밸리의 기업들은 GDPR과 CCPA에 대한 대응 대책을 세우느라 분주하다. 5월 25일 GDPR이 시행된 후 변경된 법을 따를 준비가 돼있지 않은 기업들은 유럽 내 서비스를 중단하기도 했다. 페이스북, 인스타그램, 왓츠앱, 구글 등을 GDPR 시행 첫날 개인정보침해로 제소한 비영리 단체도 있다. GDPR에 CCPA까지 개인정보보호 규정은 앞으로 더욱 까다로워질 것이다.
GDPR과 관련된 페이스북의 주가 전망은 그리 밝지 않아 보인다. 2분기 실적발표 후 마크 저커버그는 부진한 실적의 원인을 GDPR로 돌렸지만, 페이스북의 실적과 GDPR의 명확한 관계를 규명하거나 대응 방안을 제시하지 않았다. 개인정보 보호 관련 비용을 추산해 실적을 전망하고, 투자를 결정해야 하는 투자자들에게는 답답한 일이다.
주가전망에 있어 이미 발표된 스캔들과 벌금만큼이나 중요한 것은 개인정보보호 부담 관련 비용이다. 장기적으로 기존 개인정보처리 시스템을 GDPR에 맞춰 바꾸기 위한 대규모 투자가 불가피하다. 사용자가 개인정보에 접근하고, 기업의 이용에 동의하고, 삭제를 요구할 수 있는 시스템을 구축해야 한다. 기업 입장에서는 서비스를 개발할 때에 고려사항이 하나 더 추가된 셈이며, 투자자들은 기업가치를 평가할 때 이 비용을 어떻게 반영할 것인지 고민하는 중이다.
일단 기존의 가치평가 변수들을 새로운 시각에서 해석할 필요가 있다. 월평균 이용자 수(MAU‧Monthly Active User)는 모바일 앱 등 온라인 서비스의 가치를 평가하는 중요한 요소다. 기존에는 MAU를 매출 관점에서만 바라보았지만 개인정보보호 부담 때문에 MAU는 비용 요인이 될 수 있다. 이용자 수를 늘리기 위한 공격적인 전략이 펼쳐질수록 개인정보 침해의 위험과 이를 방지하기 위한 비용도 같이 늘어나기 때문이다. 적극적인 이용자(Active User)도 기업가치에 마냥 긍정적이지만은 않을 수 있다. 적극적으로 개인정보 삭제를 요구하는 이용자가 늘어난다면 이용자 수 증가가 직접적인 매출 증가로 연결되지 않을 수 있다.
가입자당 평균 매출(ARPU‧Average Revenue Per User)도 마찬가지다. ARPU가 높다는 이야기는 그만큼 정확하게 고객을 유치했다는 의미다. 예를 들어 페이스북의 게임 광고는 게임을 많이 하는 고객들의 자료를 수집해서 세분화하도록 디자인돼있다. 그래서 ARPU를 높이려면 고객 개인정보 수집이 불가피하다. 전에 어떤 게임을 했는지, 게임 머니를 구매했는지, 연령·나이·거주지역 등을 수집해야 한다. 하지만 개인정보보호가 강화되면 고객 세분화에 드는 비용과 법적 위험, 개인정보보호 비용이 같이 늘어날 수 있다.
강화된 개인정보보호 규정은 기업이 그동안 일상적으로 해왔던 개인정보 수집과 이용에 추가 비용이 발생함을 의미한다. 내부 통제 시스템 구축과 개인정보 규정 준수를 위한 비용, 소송 관련 비용도 증가할 것이다. 이 추가 비용을 수치화할 수 있는 새로운 가치평가 모델이 필요하다.
유럽에서 시작된 GDPR은 캘리포니아를 통해 미국 전역으로 확산되고 있다. 현지 법률 전문가들은 CCPA의 통과를 계기로 다른 주에서도 같은 수준의 정보보호법이 추진될 것으로 예상하고 있다. IT 기업뿐 아니라, 고객 정보를 수집하는 모든 회사가 그 적용 대상이 될 것이다. 고객이 홍보 전화나 문자 메시지에 “제 번호 어떻게 아셨어요?”라고 물었을 때 더 이상 어물쩍 넘어갈 수 없게 됐다.
페이스북도 이런 흐름에 적극적으로 대응하고 있다. 11월 상원선거를 앞두고 러시아·이란 관련된 계정 수백 개를 삭제, 폐쇄했으며 개인정보를 공유하는 앱에 대한 대대적인 단속에 나서고 있다. 한편으로는 이용자 증가 및 사업 확장을 위해 미국 대형 은행과 고객정보 공유를 추진하는 등 매출 다변화를 위해 노력 중이다. 다만 최근 개인정보 스캔들을 인식한 듯, 은행들은 “우리는 페이스북과 고객 정보를 공유하지 않는다”고 선을 긋는 모습이다.
개인정보보호 강화는 거스를 수 없는 흐름이다. 유럽에서 캘리포니아로, 미 전역과 전 세계로 규제가 확대될 것이다. 페이스북이 시장과 이용자의 신뢰를 다시 얻을 수 있을지 주목되는 시점이다.