윤종인(왼쪽 두번째) 개인정보보호위원회 위원장이 25일 오전 서울 종로구 정부서울청사 개인정보보호위원회 대회의실에서 제7회 전체회의를 주재하고 있다./사진제공=개인정보보호위원회개인정보보호위원회는 25일 제7회 위원회 회의를 열어 페이스북을 대상으로 67억원의 과징금을 부과하고 수사 기관에 고발했다. 이번 조치는 지난 8월 개인정보위 출범 후 첫 번째 제재이자 해외사업자를 대상으로 한 첫 고발 사례다.
개인정보위는 페이스북 친구의 정보가 지난 2016년 미국 대통령 선거 등에 불법적으로 활용됐다는 논란이 지난 2018년 3월 언론에서 제기된 것을 계기로 이번 조사를 시작했고, 지난 달 열린 제6회 위원회 회의에서 피심인 측의 의견 진술을 듣고 이를 토대로 이날 회의에서 주요 쟁점에 대한 논의를 거쳐 의결했다고 설명했다.
개인정보위는 조사 결과 페이스북이 당사자 동의를 받지 않고 다른 사업자에게 개인 정보를 제공한 사실을 확인했다. 이용자가 페이스북 로그인을 통해 다른 사업자의 서비스를 이용할 때 본인 정보와 함께 ‘페이스북 친구’의 개인정보가 동의 없이 다른 사업자에게 제공됐으며 ‘페이스북 친구’는 본인의 개인정보가 제공된 사실조차 모르는 상태인 것으로 확인됐다.
페이스북의 위법 행위로 인한 피해규모는 페이스북이 자료를 제출하지 않아 정확히 알 수 없지만 조사결과 지난 2012년 5월부터 2018년 6월까지 약 6년 간 위반행위가 이어져 온 것으로 드러났으며 국내 페이스북 이용자 1,800만명 중 최소 330만명 이상의 개인정보가 제공된 것으로 확인됐다고 개인정보위는 설명했다. ‘페이스북 친구’ 정보가 최대 1만여개의 애플리케이션을 통해 제공될 수 있었던 상태인 점을 고려하면 더 많은 개인정보가 넘어갔을 것으로 추정된다는 게 개인정보위의 판단이다.
다른 사업자에게 제공된 페이스북 친구의 개인정보 항목은 학력·경력, 출신지, 가족 및 결혼·연애상태, 관심사 등이 포함된 것으로 밝혀졌다. 개인정보위는 조사과정에서 페이스북이 거짓으로 자료를 제출하거나 불완전한 자료를 제출하는 등 조사를 방해했다고 밝혔다. 특히 페이스북은 다른 사업자에게 동의 없는 개인정보 제공을 중단한 시점과 관련된 증빙자료를 거짓으로 제출했다가 위원회가 반증을 제시하자 조사에 착수한 지 20여 개월이 지난 후에야 관련 자료를 제출해서 법 위반 기간을 확정짓는데 혼란을 초래했고, 이미 제출된 자료에 비춰 개인정보가 동의 없이 제3자에게 제공된 페이스북 친구 수를 구분할 수 있는 게 명확한데도 불구하고 이용자 수만 제출하고 친구 수를 제출하지 않아 위반행위 규모 산정을 어렵게 하는 등 조사를 방해한 것으로 전해졌다.
개인정보위는 당사자 동의를 받지 않고 제3자에게 개인정보를 제공한 행위를 중대한 위반행위로 보고 페이스북에 67억원의 과징금 부과와 함께 시정조치를 명령하고 수사기관에 고발하기로 했다. 아울러 이용자의 비밀번호를 암호화하지 않고 저장한 행위, 이용자에게 주기적으로 이용내역을 통지하지 않은 행위, 거짓자료 제출 등 행위에 대해서도 총 6,600만원의 과태료를 부과했다.
윤종인 개인정보위원장은 “개인정보 보호에 대해서는 국내 사업자와 해외사업자 구분없이 엄정하게 법을 집행하는 것이 개인 정보위의 기본 방향”이라며 “위법행위를 하고도 조사에 성실히 협조하지 않는 해외사업자에 대해서는 집행력 확보를 위해 강력히 조치해서 우리 국민의 개인 정보가 안전하게 보호되도록 할 것”이라고 말했다.
