이용자 5억3천300만명 개인정보 유출 사건에 휘말린 페이스북이 유럽연합(EU)에서 거액의 벌금을 부과받을 위험에 처했다.
테크크런치를 비롯한 외신들에 따르면 아일랜드 개인정보보호위원회(IDPC)는 14일(현지시간) “페이스북 이용자 개인정보가 인터넷 상에 올라와 있다는 여러 국제 언론 보도와 관련해 일반개인정보보호법(GDPR) 110조 위반 여부에 대한 조사에 착수했다”고 밝혔다.
페이스북은 최근 106개 국 이용자들의 연락처와 계정 명칭·이름·거주지·생일·이력·이메일 주소 등이 유출된 사실이 드러나면서 논란에 휘말렸다. 또 페이스북 이용자들이 공유한 내역 정보도 함께 유출됐다. 이번 데이터 유출 사건에는 한국인 12만 명도 피해를 입었다.
페이스북의 개인정보 유출 사고는 2019년에 발생한 것이다. 또 사고 이후 문제가 됐던 취약점은 다 수정했다고 밝혔다.
하지만 EU는 그 과정에서 페이스북이 GDPR이 규정한 개인정보 관리자(controller) 의무를 제대로 이행했는지 살펴보겠다는 것이다. 개인정보 유출 사고 발생 당시 EU 감독기구나 피해 개인들에게 제 때 알렸는지도 중요한 쟁점이다.
GDPR은 개인정보 침해 사고가 발생할 경우 72시간 내에 감독 기구에 신고하도록 규정하고 있다. 또 피해 당사자에게도 즉시 통보해야 한다.
EU는 GDPR 위반 업체에 대해선 강하게 규제하고 있다. 심각한 규정 위반 사례가 드러날 경우 직전 회계연도 전 세계 매출액 4% 또는 2천만 유로 중 큰 금액을 상한으로 하는 과징금을 부과한다.
■ 아일랜드 규제 당국도 언론 통해 유출사실 알아
이번 조사는 유럽연합집행위원회(EC)가 아일랜드 데이터보호위원회를 압박한 직후 시작됐다. 페이스북은 아일랜드에 유럽 본부를 두고 있다.
이에 따라 이번 조사는 아일랜드 데이터보호위원회 주도로 진행된다. 하지만 조사 상황에 따라 EC가 직접 개입할 가능성도 있다.
그 동안 페이스북은 이번 정보 유출 사고가 해킹으로 인한 것은 아니라고 설명해 왔다. 페이스북의 플랫폼의 보안 허점을 이용해 데이터를 긁어간 것(스크래핑)이라고 해명했다.
문제는 페이스북이 이런 사고 발생 사실과 처리 내용을 데이터 감독 기구에 신고했느냐는 점이다.
테크크런치를 비롯한 외신들에 따르면 페이스북 정보 유출 사건에 대한 감독 기구인 아일랜드 정보보호위원회도 언론 보도를 통해 해당 사실을 알게 됐다.
그 뿐 아니다. 페이스북은 5억3천300만 명에 이르는 정보 유출 피해자 어느 누구에게도 관련 사실을 통보하지 않은 것으로 알려졌다.
따라서 지금까지 드러난 상황만 놓고 보면 페이스북이 GDPR 규정을 심각하게 위반한 것으로 볼 수 있다.
■ 아일랜드 당국의 느슨한 규제 경향이 또 다른 변수
문제는 페이스북에 대한 1차 규제 기관인 아일랜드 정보보호위원회의 행보다.
많은 보안 전문가들은 규제 감독 기구인 아일랜드 정보보호위원회가 아직까지 한번도 페이스북의 비즈니스 관행에 대해 딱 부러진 결정을 한 적이 없다고 지적했다.
관련기사
- 페이스북 "5억3천만명 정보 유출, 해킹사고 아냐"2021.04.08
- EU, '페북 정보유출 사건' GDPR 위반여부 조사2021.04.15
- 페이스북, 5억명 넘는 주소·직업·생일 정보 유출2021.04.04
- 팀 쿡 "페이스북은 관음증 환자"2021.04.13
유럽 의회는 지난 달 아일랜드 데이터 보호 당국이 대부분의 위반 사례를 규제보다는 합의를 통해 마무리하는 부분에 대해 ‘심각한 우려’를 나타내는 결의안을 채택하기도 했다.
이런 상황에서 또 다시 전 세계 이용자 5억3천300만 명의 개인 정보가 유출되는 사고가 발생하면서 아일랜드 정보보호위원회의 처리 결과에 많은 관심이 쏠리고 있다.