"한국인 98만명 민감정보 광고에 써"…메타, 과징금 216억원

메타가 한국 개인정보 보호법 위반으로 개인정보보호위원회로부터 철퇴를 맞았다.

개인정보위는 지난 4일 제18회 전체회의를 열고 해당 보호법을 위반한 메타에 대해 과징금 216억원, 과태료 2천320만원을 부과했다고 5일 밝혔다. 민감정보 처리 시 합법 근거를 마련하고 안전성 확보 조처를 하는 동시에 이용자의 개인정보 열람 요구에 응할 것도 시정명령했다.

개인정보위 이은정 조사1과장은 이날 진행한 브리핑에서 과징금 산정 기준을 설명했다. 이 과장은 국가법 기준에 맞춰 금액을 결정했다고 했다. 그는 "전체 매출액에 위반 사항 중요도·민감도 등 부과 기준율을 곱해 산정했다"고 말했다.

앞서 개인정보위는 메타가 동의 없이 민감정보를 수집·활용하는 행위를 인지하고 관련 조사에 착수한 바 있다. 이 과정에서 메타가 정당한 사유 없이 개인정보 열람을 거절했다는 민원과 해킹으로 개인정보가 유출됐다는 신고를 확인하고 관련 조사를 함께 진행해 왔다.

"근거 없는 민감정보 수집·활용…정보 유출 사례도" 

메타는 페이스북 프로필을 통해 국내 이용자 약 98만명의 종교관·정치관, 동성과 결혼 여부 등 민감정보를 수집한 것으로 드러났다. 이런 정보들을 광고주에게 제공해 약 4천 개 광고주가 이를 이용한 것도 확인됐다. 

특히 이용자가 페이스북에서 '좋아요'를 누른 페이지, 클릭한 광고 등 행태 정보를 분석해 민감정보 관련 광고 주제를 만들어 운영한 사실도 있었다.

보호법은 사상·신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감정보로 규정했다. 원칙적으로 처리를 제한하고 있다. 예외적으로 정보 주체에게 별도 동의를 받은 경우 등 적법 근거가 있는 경우만 이를 처리할 수 있다.

그러나 메타는 민감정보를 수집하고 맞춤 서비스 등에 활용하면서도 데이터 정책에 불분명하게 기재만 한 것으로 드러났다. 사용자들로부터 별도 동의를 받지 않고 추가적인 보호조치를 취한 사실도 없었다.

메타는 이용자의 개인정보 열람 요구에 대해 보호법상 열람 요구 대상이 아니라는 등의 이유로 거절한 사실도 드러났다.

보호법 시행령에 따르면 제3호 개인정보의 보유 및 이용 기간, 제4호 제3자 제공 현황, 제5호 개인정보 처리에 동의한 사실 및 내용을 열람 대상으로 정하고 있다. 이에 개인정보위는 메타가 해당 열람 요구를 거절한 것에 정당한 사유가 없다고 판단했다.

메타는 서비스 중단 또는 관리되지 않는 홈페이지를 삭제·차단 조치를 하는 등 안전조치를 하지 않은 사실도 드러났다. 사용하지 않는 계정 복구 페이지도 제거하지 않았다.

이에 해커는 현재 사용되지 않는 계정 복구 페이지에서 위조된 신분증을 제출해 타인 계정의 비밀번호 재설정을 요청한 사실도 알려졌다. 메타는 위조 신분증에 대한 충분한 검증 절차 없이 이를 승인해 한국 이용자 10만명 개인정보가 유출된 사실이 있었다.

"메타, 2022년 처분 건 시정명령 미이행"

개인정보위는 메타의 지난 처분 건에 대한 시정조치 진행 상황을 공유했다. 현재 메타는 과징금을 납부했지만 시정명령을 이행하지 않은 상태다.

앞서 메타는 2022년 9월 이용자 동의 없이 행태정보를 수집해 온라인 맞춤형 광고에 활용해 개인정보 보호법을 위반한 바 있다. 이에 개인정보위는 시정명령과 함께 메타에 과징금 308억원을 부과했다.

당시 메타는 법원에 집행정지를 신청했다. 법원이 이를 받아들여 현재 1심 소송이 진행 중이다. 

이어 지난해 2월 메타는 서비스 이용자에 강제 정보수집 동의에 대한 시정명령도 이행하지 않았다. 이에 해당 건도 1심 소송 중이다. 

관련기사

같은 해 7월 메타 아일랜드와 인스타그램은 과징금 처분만 받은 것으로 전해졌다. 이들은 한국에 서비스를 2018년 이전에 제공한 것으로 판단돼 시정명령 처분은 제외됐다. 

개인정보위는 "이번 조사‧처분은 글로벌 서비스를 운영하는 해외사업자도 국내 보호법에서 정하고 있는 민감정보 처리 시 의무를 준수해야 한다는 점을 알린 것"이라며 "개인정보의 열람 제공 등 정보 주체의 권리를 충분히 보장하도록 명령한 것에 의의가 있다"고 설명했다.