틱톡의 EU 게이트키퍼 소송이 보여준 빅테크 규제의 새 경계

틱톡과 유럽연합(EU)의 충돌은 단순히 한 앱이 규제 명단에서 빠지려는 사건이 아니다. 핵심은 EU가 **디지털시장법(Digital Markets Act, DMA)**으로 거대 플랫폼을 얼마나 넓게, 얼마나 이른 단계에서 규제할 수 있느냐다. 특히 틱톡처럼 스스로를 “기존 빅테크에 맞서는 도전자”로 설명하는 플랫폼까지 그 대상이 될 수 있는지가 이번 사건의 관전 포인트였다.

틱톡이 다툰 것은 무엇인가

EU 집행위원회는 2023년 9월 5일 바이트댄스를 틱톡의 온라인 소셜네트워킹 서비스와 관련한 DMA상 ‘게이트키퍼’로 지정했다 ^[47]. 게이트키퍼는 말 그대로 이용자와 사업자, 시장 사이의 핵심 관문 역할을 하는 대형 플랫폼을 뜻한다. 지정되면 경쟁과 이용자 선택권을 해치지 않도록 여러 의무를 부담한다.

바이트댄스는 이 결정을 취소해 달라는 소송을 제기했다 ^[3]. 틱톡의 주장은 비교적 명확했다. 자신은 메타, 알파벳/유튜브 같은 기존 강자가 아니라 이들을 흔드는 새롭고 빠르게 성장한 경쟁자이며, 이미 굳어진 지배적 지위를 가진 플랫폼과 같은 방식으로 취급해서는 안 된다는 논리였다 ^[10].

또 바이트댄스는 틱톡에 게이트키퍼 지위를 적용하면 오히려 DMA의 경쟁 촉진 목표가 훼손될 수 있다고 주장했다. 새 경쟁자를 묶어 두면 기존 대형 플랫폼을 보호하는 결과가 될 수 있다는 취지였다 ^[7][9].

하지만 EU 일반법원은 받아들이지 않았다. 2024년 7월 17일, 법원은 사건 T-1077/23에서 바이트댄스의 청구를 기각했고, 임시조치 절차와 관련된 비용을 포함해 소송비용을 바이트댄스가 부담하라고 명령했다 ^[37].

왜 이 판결이 중요한가

이번 판결은 DMA의 게이트키퍼 지정 체계가 법원에서 본격적으로 시험받은 초기 사례 중 하나다. EU 일반법원은 바이트댄스가 DMA의 정량 기준을 충족했고, 그에 따른 게이트키퍼 추정을 충분히 뒤집지 못했다는 집행위의 접근을 인정했다 ^[33][50].

이는 EU 집행위가 추진하는 사전 규제 모델에 힘을 실어준다. 전통적인 반독점 소송처럼 수년 동안 시장지배력 남용을 입증한 뒤에야 개입하는 방식이 아니라, 법이 정한 기준을 충족한 대형 플랫폼에는 미리 의무를 부과할 수 있다는 뜻이다 ^[47][50].

또 하나 중요한 점은 DMA가 미국 빅테크만 겨냥한 제도가 아니라는 사실이다. 틱톡의 모회사 바이트댄스는 알파벳, 아마존, 애플, 메타, 마이크로소프트와 함께 첫 게이트키퍼 지정 대상에 포함된 비미국 기업이었다 ^[5].

“도전자”라는 논리는 왜 통하지 않았나

틱톡의 주장은 정치적으로나 상업적으로 설득력 있게 들릴 수 있다. 실제로 틱톡은 기존 소셜미디어와 동영상 플랫폼의 이용 시간을 빼앗아 온 서비스다. 그렇다면 왜 기존 강자처럼 규제받아야 하느냐는 질문이 나올 수 있다.

하지만 법원의 판단은 다른 지점에 있었다. DMA는 한 기업이 과거에 누구를 흔들었는지만 보지 않는다. 지금 그 서비스가 이용자와 기업, 시장을 잇는 핵심 통로가 됐는지를 본다. 법정 기준을 충족할 만큼 규모와 영향력이 커졌다면, 그 플랫폼이 한때 도전자였는지와 별개로 시장의 개방성과 공정성을 지키기 위한 규제를 받을 수 있다는 것이 이번 판결의 메시지다 ^{[33][47][50][53]}.

독일발 ‘유럽 소유’ 논의와 DMA는 별개다

독일을 포함한 유럽 정치권에서 거론되는 “틱톡에 대한 유럽 내 통제 또는 소유 강화” 주장은 더 넓은 디지털 주권 논쟁에 속한다. 그러나 그것이 이번 DMA 게이트키퍼 사건의 직접적인 법적 쟁점은 아니다. DMA 지정 자체가 틱톡을 유럽 기업이 소유해야 한다는 일반 의무를 만들어 내는 것은 아니다 ^[47].

우려의 배경은 더 넓다. 틱톡은 중국 기반 바이트댄스가 소유한 플랫폼이고, 유럽 정책권에서는 외국 영향력, 안보, 이용자 데이터 접근 문제를 반복적으로 들여다봐 왔다 ^[1]. 이런 우려는 게이트키퍼 논쟁과 겹쳐 보이지만 같은 법적 문제는 아니다. DMA는 주로 디지털 시장의 경쟁 가능성과 공정성을 다루는 법이고, 소유 구조나 국가안보 문제는 데이터 보호, 사이버보안, 외국 영향력, 플랫폼 위험 관리 논의와 더 밀접하게 연결된다 ^[1][47].

데이터 이전 우려는 또 다른 압박축이다

틱톡을 향한 유럽의 시선은 경쟁 문제에만 머물지 않는다. 유럽의회 조사 서비스는 중국 계열사가 이용자 데이터에 접근할 수 있다는 우려와 더 넓은 국가안보 위험을 반복적으로 지적해 왔다 ^[1].

그래서 틱톡 논쟁은 자주 여러 법 체계를 오간다. DMA는 틱톡이 디지털 시장에서 게이트키퍼인지 묻는다. 반면 다른 EU 제도와 정책 논의는 개인정보 보호, 사이버보안, 플랫폼의 시스템적 위험, 아동·청소년 보호, 외국 영향력 문제를 다룬다 ^[1].

프로젝트 클로버가 해결하려는 것

프로젝트 클로버(Project Clover)는 틱톡의 유럽 데이터 보안 프로그램이다. 틱톡은 정치권의 압박 속에서 이 계획을 발표하며, 유럽 이용자 데이터를 현지에 저장하고 역외 이전을 줄이며 직원들의 이용자 데이터 접근도 축소하겠다고 밝혔다 ^[17].

틱톡은 현재 유럽 이용자 데이터가 노르웨이, 아일랜드, 미국의 데이터센터에 걸친 전용 ‘유럽 데이터 엔클레이브’에 기본 저장된다고 설명한다. 또 데이터 통제, 보호 조치, 데이터 흐름을 독립적으로 감독·점검·검증하기 위해 NCC Group을 참여시켰다고 밝히고 있다 ^[18].

따라서 프로젝트 클로버는 데이터 주권 우려에 대한 틱톡의 핵심 대응책이다. 다만 이것이 DMA 게이트키퍼 지정을 없애 주지는 않는다. 또한 규제 당국이 틱톡의 안전장치를 충분하다고 볼지 여부까지 자동으로 결론내리는 것도 아니다 ^[1][18].

중독적 설계와 청소년 보호 논란도 부담을 키운다

틱톡은 중독적 기능과 미성년자 위험 문제로도 scrutiny를 받고 있다. 유럽의회 조사 서비스는 틱톡을 둘러싼 논의를 중독적 설계, 청소년 보호, 소셜미디어 서비스에 적용될 수 있는 여러 EU 법률과 연결해 설명한다 ^[1].

이 역시 DMA와는 주된 초점이 다르다. 중독적 설계나 아동·청소년 안전 문제는 게이트키퍼 지정 기준보다는 플랫폼 위험 관리나 소비자 보호 체계와 더 가깝다. 하지만 정치적 효과는 누적된다. 유럽에서 틱톡은 더 이상 단순한 인기 엔터테인먼트 앱으로만 취급되지 않는다. 서비스 설계, 데이터 관행, 소유 구조가 모두 공익상 문제를 일으킬 수 있는 시스템적 플랫폼으로 다뤄지고 있다 ^[1].

어떤 제재 위험이 있나

이번 판결의 즉각적인 결과는 바이트댄스가 틱톡에 대해 DMA상 게이트키퍼 의무를 이행해야 한다는 점이다 ^[9][37]. 지정된 게이트키퍼가 의무를 위반하면 상당한 집행 리스크가 뒤따를 수 있다. 여기에는 금전적 제재와 행태상 의무가 포함될 수 있다 ^[7][53].

틱톡의 유럽 리스크는 한 갈래가 아니라 여러 갈래가 겹친 형태다. DMA 문제가 생기면 그것은 데이터 보호, 플랫폼 안전, 소비자 보호, 디지털 주권 논의와 나란히 놓이게 된다 ^[1]. 그래서 프로젝트 클로버, 데이터 이전 우려, 중독적 설계 논란, 소유 구조 논쟁은 서로 다른 사안이면서도 틱톡을 향한 전체 규제 압박을 함께 키운다.

결론: 유럽의 플랫폼 규제는 ‘기존 강자’만 보지 않는다

틱톡은 자신을 DMA가 보호해야 할 경쟁적 외부자로 그렸다. 그러나 EU 법원은 틱톡의 규모와 시장 내 역할만으로도 바이트댄스를 게이트키퍼 체계 안에 둘 수 있다는 집행위의 판단을 받아들였다 ^[33][37].

이 사건의 의미는 틱톡 하나에 그치지 않는다. 유럽의 플랫폼 규제가 빠르게 성장한 도전자, 비미국 기업, 그리고 시장지배력 문제를 넘어 데이터·안전·외국 영향력 우려까지 얽힌 서비스에 닿을 수 있음을 보여준다. 유럽에서 틱톡의 과제는 이제 하나의 소송이 아니라 묶음에 가깝다. DMA상 경쟁 의무, 데이터 주권 논쟁, 아동·청소년 보호 scrutiny, 외국 영향력 우려, 그리고 유럽 이용자 데이터를 안전하게 관리하고 있다는 점을 계속 입증해야 하는 부담이 동시에 놓여 있다.