소셜네트워크서비스(SNS) 페이스북과 인스타그램을 운영하는 메타가 회원 약 98만 명의 동성애 여부와 종교관 등 민감한 개인정보를 수집해 광고주에게 제공한 혐의로 총 216억 2320만 원의 과징금·과태료 처분을 받았다.
개인정보보호위원회는 4일 열린 전체회의에서 개인정보보호법 위반 혐의로 메타에 대해 이 같은 과징금·과태료와 시정명령을 부과하기로 의결했다고 5일 밝혔다. 구체적으로 과징금 216억 1300만 원, 과태료 1020만 원이다.
개인정보위에 따르면 메타는 이용자가 직접 입력하는 페이스북 프로필을 통해 국내 회원 약 98만 명의 종교관·정치관, 동성과 결혼 여부 등 민감정보를 수집했다. 메타는 이러한 정보를 광고주에게 제공했고 약 4000개 광고주가 이를 이용해 영업 활동에 활용한 사실이 확인됐다. 이들은 이용자가 페이스북에서 ‘좋아요’를 누른 페이지, 클릭한 광고 등 행태정보를 분석해 민감정보 관련 광고주제(특정 종교, 동성애, 트랜스젠더, 북한이탈주민 등)를 만들어 운영했다.
개인정보보호법은 사상·신념, 정치적 견해, 성생활 등 정보를 엄격히 보호해야 할 민감정보로 규정하고 원칙적으로 처리를 제한한다. 예외적으로 정보주체에게 별도 동의를 받는 등 적법 근거를 갖춰야만 이를 처리할 수 있지만 메타는 이 과정에서 데이터 정책에 불분명하게 기재만 하고 별도로 동의를 받거나 추가적인 보호조치를 취하지 않은 것으로 나타났다.
메타는 조사 과정인 2021년 8월 이용자 프로필에서 확인한 민감정보 수집을 중단하고 이듬해 3월 이에 해당하는 광고 주제를 파기하는 등 자진 시정조치를 취했다.
메타가 정당한 근거 없이 개인정보 열람을 거절한 사실도 확인됐다. 메타는 이용자의 개인정보 열람 요구(개인정보 처리 기간, 페이스북 로그인을 통한 개인정보 제공 현황, 페이스북 외부활동 정보 수집 근거·동의 내역 등)에 대해 개인정보보호법상 열람 요구 대상이 아니라며 거절했다. 하지만 개인정보위는 개인정보보호법 시행령 상 개인정보 관련 내용을 열람할 수 있다고 보고 메타의 열람 요구 거절이 정당한 사유 없이 이뤄졌다고 판단했다.
해킹으로 인한 이용자의 개인정보가 유출되는 과정에서 안전조치를 제대로 준수하지 못한 점도 드러났다. 해커는 현재 사용하지 않는 계정을 확인한 뒤 계정 복구 페이지에서 위조된 신분증으로 타인 계정의 비밀번호 재설정을 요청했다. 메타는 위조 신분증에 대한 충분한 검증 없이 이를 승인했고 결국 한국 이용자 10명의 개인정보가 유출됐다. 개인정보위는 메타가 서비스 중단 또는 관리되지 않는 홈페이지를 삭제·차단 조치하는 등 안전조치를 해야 했지만 이 같은 의무를 다하지 않았다고 봤다.
개인정보위는 과징금·과태료를 부과하는 한편 메타에 민감정보 처리 시 합법 근거를 마련하고 안전성 확보 조치를 취할 것과 이용자의 개인정보 열람 요구에 성실히 응할 것을 시정명령했다.
이번 제재 결정과 관련해 메타는 별다른 입장을 내지 않았다. 다만 소명이 충분히 받아들여지지 않았다고 보고 내부적으로 행정소송 등 대응 방침을 검토할 것으로 알려졌다. 개인정보위 관계자는 “메타의 시정명령 이행여부를 지속 점검하는 한편 국내 이용자를 대상으로 서비스를 제공하는 글로벌 기업에 대한 차별 없는 개인정보보호법 적용을 통해 국민의 개인정보보호에 최선을 다하겠다”고 말했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >