보안

98만명 민감정보 광고주에 넘긴 메타…216억원대 과징금 맞았다

김보민 기자
고학수 개인정보보호위원회 위원장이 4일 서울 종로구 정부서울청사에서 열린 '2024년 제18회 개인정보보호위원회 전체회의'에서 발언하고 있다. [ⓒ개인정보보호위원회]
고학수 개인정보보호위원회 위원장이 4일 서울 종로구 정부서울청사에서 열린 '2024년 제18회 개인정보보호위원회 전체회의'에서 발언하고 있다. [ⓒ개인정보보호위원회]

[디지털데일리 김보민기자] 개인정보보호위원회(이하 개인정보위)가 페이스북 운영사 메타에게 216억원대 과징금을 부과했다. 합법적인 처리 근거 없이 이용자 민감정보를 수집해 광고주에게 넘긴 점이 주요 이유로 꼽혔다.

업계 안팎에서 빅테크 기업에게도 국내 사업자와 동일한 개인정보보호 수준을 요구해야 한다는 목소리가 커진 가운데, 제재 칼날을 본격 겨누기 시작한 모습이다. 위원회는 메타를 대상으로 과징금과 더불어 시정명령 이행 여부를 점검할 예정이다.

개인정보위는 전날 제18회 전체회의를 열고 개인정보보호법을 위반한 메타에 대해 과징금 216억1300만원과 과태료 1020만원을 부과하기로 의결했다고 5일 밝혔다.

이은정 개인정보위 조사1과장은 이날 브리핑을 통해 "조사 결과, 메타는 과거 페이스북 프로필을 통해 국내 이용자 약 98만명의 민감정보를 수집했고, 약 4000개 광고주가 이를 이용한 것이 확인됐다"고 말했다.

민감정보는 종교관, 정치관, 동성과 결혼 여부 등 다양했다. 이 과장은 "종교관과 정치관에 대해서는 (페이스북) 프로필에 관련 내용을 입력하도록 했다"며 "이후 광고 범주(카테고리)를 9만여개 이상 만들어 종교, 동성과의 결혼 여부 등을 활용해 해당 사용자에 목표(타깃) 광고를 한 사실이 확인됐다"고 설명했다.

사용자가 민감정보를 입력하면, 주제에 맞는 집회 일정을 알려주거나 단체에 가입을 유도하는 방식이다. 이 과장은 "이용자가 페이스북에서 '좋아요'를 누른 페이지, 클릭한 광고 등 행태 정보를 분석해 민감정보 관련 광고 주제를 만들어 운영했다"고 부연했다.

현재 개인정보보호법은 사상, 신념, 정치적 견해, 성생활 등에 관한 정보를 민감정보로 규정해 처리를 제한하고 있다. 예외적으로 정보주체에게 별도 동의를 받거나 적법 근거가 있는 경우에만 이를 처리하도록 규정하고 있다.

메타의 경우 민감정보를 수집하고 맞춤 서비스에 이를 활용했지만, 데이터 정책에 불분명하게 기재만 하고 별도 동의를 받지 않은 것으로 나타났다. 개인정보위에 따르면 추가적인 보호조치를 취한 사실도 없었다.

이 밖에도 개인정보위는 메타가 이용자 개인정보 열람 요구를 거절한 점도 지적했다. 보호법 시행령은 개인정보 보유 및 이용 기간, 제3자 제공 현황, 개인정보 처리에 동의한 사실 및 내용을 열람 대상으로 정하고 있다. 메타는 보호법상 열람 요구 대상이 아니라고 했지만, 위원회는 정당한 사유로 볼 수 없다고 판단했다.

아울러 메타는 사용하지 않는 계정 복구 페이지를 제거하지 않은 것으로 확인됐다. 이 과장은 "해커는 현재 사용되지 않는 계정 복구 페이지에서 위조된 신분증을 제출해 타인 계정의 비밀번호 재설정을 요청했다"며 "메타는 위조 신분증에 대한 충분한 검증 절차 없이 이를 승인해, 한국 이용자 10명의 개인정보가 유출된 사실이 있었다"고 말했다.

개인정보위는 과징금 및 과태료와 더불어, 이용자 개인정보 열람 요구에 대해 응할 것을 시정명령했다. 개인정보위는 시정명령 이행 여부를 점검하고, 국내 이용자를 대상으로 서비스를 제공하는 글로벌 기업에도 동일하게 보호법을 적용하겠다는 입장이다.

이 과장은 "개인정보를 수집하고 처리하는 과정에서 개인정보보호법을 준수해야 하는 것은 국내외 사업자를 가리지 않은 정당한 의무"라며 "위반사항을 지적하고 이를 준수하도록 유도하는 것이 위원회의 역할이기 때문에, 추후 소송 등에 대한 고려보다는 법 준수 여부에 집중하고 있다"고 말했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널