1000억 과징금 맞은 ‘구글’과 ‘메타’…불법 개인정보 수집·활용

개인정보보호법을 위반한 구글과 메타에 총 1000억원이 넘는 과징금이 부과됐다. 동의 없이 이용자의 타사 행태정보를 수집해 맞춤형 광고에 활용한 사실이 밝혀져 개인정보보호 법규 위반으로는 가장 큰 규모의 과징금을 부과받게 됐다.

개인정보보호위원회(위원장 윤종인·이하 개인정보위)는 14일 전체회의를 열고 구글과 메타 미국 본사를 상대로 시정명령과 함께 각각 692억원, 308억원의 과징금 부과를 의결했다. 개인정보위는 두 회사가 온라인 맞춤형 광고를 위해 한국 사용자들의 다른 플랫폼 내 행태정보(웹사이트·앱 방문 이력, 구매·검색 이력 등)를 불법 수집한 것으로 판단했다.

개인정보위에 따르면, 두 회사는 자사 서비스 이용자의 타사 행태정보를 분석해 맞춤형 광고 등에 사용하는 사실을 명확히 알리지 않았고 사전 동의도 받지 않았다. 타사 행태정보는 플랫폼 이용자가 해당 플랫폼이 아닌 다른 웹사이트나 앱을 방문·사용하는 과정서 자동으로 수집되는 정보다. 어떤 행태가 수집되는 지 예측하기 어렵고, 특히 계정정보와 연결돼 맞춤형 광고에 이용된 타사 행태정보는 계속 쌓일 경우 개인에게 민감한 정보가 될 우려가 있다.

구글의 경우 2016년 6월부터 지금까지 구글 서비스 가입 때 이용자들로부터 맞춤형 광고에 쓰일 수 있는 행태정보를 사전 동의 없이 수집했다. 유럽 이용자들에게는 행태정보 수집을 허용할지 단계별 선택권을 제공한 반면, 한국 이용자에게는 옵션 더보기 화면을 가려둔 채 기본값을 ‘동의’로 설정하는 방법을 썼다.

메타는 2018년 7월14일부터 계정을 생성할 때 동의받을 내용을 이용자가 알아보기 쉽지 않은 형태로 데이터 정책 전문에만 기재했을 뿐, 구체적인 법정 고지사항 내용을 이용자에게 알리고 동의받지 않았다. 앞서 메타는 한국의 기존 이용자들에게 행태정보 수집 등에 동의하지 않으면 서비스를 제한하는 내용으로 동의 방식을 바꾸려다 이용자들의 거센 반발을 사기도 했다.

현행 개인정보보호법은 정보통신서비스 제공자가 이용자의 개인정보를 이용하려고 수집하는 경우 ▲개인정보의 수집·이용 목적 ▲수집하는 개인정보의 항목 ▲개인정보의 보유·이용 기간 모두를 알리고 동의 받도록 한다.

개인정보위는 조사 결과 한국 이용자 대다수(구글 82% 이상·메타 98% 이상)가 타사 행태정보 수집을 허용하도록 설정한 상태라 정보주체의 권리가 침해받을 위험성이 크다고 봤다.

이번 처분은 온라인 맞춤형 광고 플랫폼의 행태정보 수집·이용과 관련된 첫 번째 제재로 개인정보보호 법규 위반으로는 가장 큰 과징금 규모다. 개인정보위는 한국인터넷진흥원의 지원을 받아 지난해 2월부터 국내외 주요 온라인 맞춤형 광고 플랫폼의 행태정보 수집 이용 · 실태를 점검해 왔다.

특히 플랫폼이 이용자의 타사 행태정보를 수집해 맞춤형 광고 등에 활용하는 과정에서 적법한 동의를 받았는지 여부를 중점 조사했다.

개인정보위는 이번 처분과 함께 이용자 피해를 해결하고, 메타의 최근 동의 방식 변경 시도와 관련한 사항 등 추가 조사도 이어나갈 계획이다.

윤종인 개인정보위 위원장은 “이용자를 식별해 수집되는 행태정보가 축적되면 개인의 사생활을 심각하게 침해할 우려가 있어 위반행위가 중대하다”며 “이번 처분이 개인정보 자기결정권을 두텁게 보호하는 계기가 되기를 기대한다”고 강조했다.

한편 개인정보위는 개인정보 보호법규를 위반한 5개 사업자에 총 1210만원의 과징금과 5340만원의 과태료 부과 및 시정명령 조치를 내리기로 했다.

개인정보 유출과 침해 신고에 따른 사실 조사 결과, 문서공유 웹사이트를 운영하는 기업 에이전트소프트는 총 과징금 1210만원과 과태료 1020만원을 부과받았다.

이 회사는 홈페이지 취약점 점검을 하지 않고 웹방화벽을 비활성화하는 등 해킹 공격을 정상적으로 탐지·차단하지 못해 이용자 개인정보가 유출되는 사태를 겪었다. 또한 1년 이상 접속하지 않은 이용자의 개인정보를 즉시 파기하거나 다른 이용자의 개인정보와 분리해 별도로 저장·관리하지 않았다. 개인정보 유출을 인지한 시점으로부터 24시간 이내에 유출된 이용자 일부에게만 통지를 했다.

서버장비 쇼핑몰 운영사업자인 디에스앤지도 개인정보처리시스템 접속 권한을 제한하지 않고 접속한 인터넷주소 등을 재분석해 유출시도를 탐지하는 시스템을 운영하지 않아 이용자 개인정보가 유출됐다. 또한 이용자 비밀번호를 안전하지 않은 방식으로 암호화해 저장하는가 하면 주민등록번호를 암호화하지 않고 평문으로 저장함에 따라 과태료 1140만원을 부과 받았다.

이밖에 ▲지비에이(과태료 2100만원) ▲제이웍스코리아(과태료 720만원) ▲한국금융투자협회 금융투자교육원(과태료 360만원) 등 3개 사업자는 접근통제 개인정보 암호화 등 안전조치 의무를 소홀히 하거나, 법적 근거 없이 주민등록번호를 처리한 것으로 나타났다. 또한 개인정보 유출통지를 소홀히 하거나 개인정보를 파기·분리하지 않는 등 개인정보 보호 법규를 위반함에 따라 과태료를 부과 받았다.

지방자치단체의 개인정보 법규 위반 사례도 발견됐다. 개인정보위는 서울 관악구 등 16개 지자체에 대해 총 5100만 원의 과태료를 부과했다. 이와 함께 적발된 기관의 직원들을 교육하고 재발방지 대책을 마련하는 등의 시정조치 이행을 권고했다.