98만명 종교·성생활 등 민감정보 광고주에 무단제공, 메타 216억 제재

(브뤼셀 로이터=뉴스1) 김지완 기자 = 지난 2022년 12월 6일 찍힌 페이스북 모기업 메타의 벨기에 브뤼셀 사무실. 2022.12.06 ⓒ 로이터=뉴스1 Copyright (C) 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지. /사진=(브뤼셀 로이터=뉴스1) 김지완 기자

98만명에 이르는 국내 이용자의 민감 정보를 약 4000곳의 광고주에 무단 제공한 메타(옛 페이스북)에 210억원이 넘는 과징금이 매겨졌다.

개인정보보호위원회는 지난 4일 전체회의를 열어 개인정보보호법을 위한한 메타에 과징금 216억1300만원에 과태료 1020만원 및 시정명령 등 제재를 부과하기로 했다고 5일 밝혔다.

개인정보위에 따르면 2018년 7월부터 메타는 과거 페이스북 프로필을 통해 국내 98만명의 종교관과 정치관, 동성과 결혼 여부 등 민감 정보를 수집했다. 또 이용자가 페이스북에서 '좋아요'를 누른 페이지나 클릭한 광고 등을 통해 이용자 행태 정보를 분석해 특정 종교나 동성애, 트랜스젠더, 북한이탈주민 등과 관련한 민감정보 관련 광고 주제를 만들어 운영한 것이다. 이같은 정보들은 약 4000곳의 광고주들이 이용했다.

메타가 수집해 광고주들에게 제공한 이같은 정보들은 사상·신념, 정치적 견해, 성생활 등 국내 개인정보보호법 상 엄격히 보호해야 할 민감정보로 규정돼 원칙적으로 처리가 제한된다. 예외적으로 정보주체에게 별도 동의를 받은 경우 등 적법 근거가 있는 경우에만 이를 처리할 수 있다. 메타는 바로 이 부분을 정면으로 위반했다. 이같은 민감 정보 수집을 맞춤형 광고 등에 활용하고 있었음에도 메타는 데이터 정책에 이를 불분명하게 기재했다. 별도 동의를 받는 절차도 없었고 추가적 보호조치를 취한 사실도 없었다는 게 개인정보위의 지적이다.

이같은 사실은 개인정보위가 메타가 국내 이용자들의 페이스북 친구 정보를 3자에게 무단 제공하는 행위를 제재하는 과정에서 2020년 확인됐다. 2018년부터 시작된 메타의 이같은 민감정보 수집행위는 2021년 8월이 돼서야 중단됐다. 민감정보에 해당하는 광고주제들도 2022년 3월에서야 파기됐다.

이용자들이 개인정보 열람을 요구하더라도 메타는 열람 요구대상이 아니라는 등 이유로 이를 거부했다. 정보주체는 개인정보의 보유 및 이용기간, 제3자 제공 현황, 개인정보 처리에 동의한 사실 및 내용 등을 열람할 수 있도록 개인정보보호법 시행령이 규정하고 있음에도 메타는 이 조항도 어겼다.

메타는 서비스가 중단되거나 관리되지 않은 홈페이지를 삭제하거나 차단해야 하는 조치도 하지 않았다. 해커가 현재 사용되지 않는 계정 복구 페이지에 위조된 신분증을 제출해 타인 계정의 비밀번호를 재설정해달라고 메타에 요청했고 메타는 충분한 검증 없이 이를 승인해 한국 이용자 10명의 개인정보가 유출되기도 했다.

아울러 개인정보위는 서버 등에 대한 무단접속을 막을 수 있는 인증수단이나 방화벽 등 기초적 조치도 취하지 않아 해킹을 당해 10만7518명의 개인정보가 유출된 재테크 동영상 서비스 업체 ㈜월급쟁이부자들에 5110만원의 과징금과 270만원의 과태료를 부과했다. 역시 방화벽 등 보안장치를 설치하지 않는 등 시스템 보안을 게을리 해서 4000명이 넘는 회원 개인정보가 유출된 ㈜박차컴퍼니에도 959만원의 과징금과 810만원의 과태료 부과 처분을 내렸다.

황국상 기자 gshwang@mt.co.kr