개인정보보호위원회(위원장 윤종인, 이하 ‘개인정보위’)는 11월 25일 제7회 위원회 회의를 개최하여 페이스북(Facebook)을 대상으로 67억원의 과징금을 부과하고 수사 기관에 고발하는 처분을 내렸다.

이번 조치는 지난 8월 5일 개인정보위 출범 후 첫 번째 제재이자, 해외사업자를 대상으로 한 첫 고발 사례다.

개인정보위는 페이스북 친구의 정보가 미국 대선(’16년) 등에 불법적으로 활용됐다는 논란이 언론에서 제기(’18. 3월)된 것을 계기로 이번 조사를 시작했고, 지난 제6회 위원회 회의(11.18.)에서 피심인 측의 의견 진술을 충분히 듣고 이를 토대로 오늘 회의에서 주요 쟁점에 대한 논의를 거쳐 의결했다.

개인정보위는 조사 결과 페이스북이 당사자 동의를 받지 않고 다른 사업자에게 개인 정보를 제공한 사실을 확인했다.

이용자가 페이스북 로그인을 통해 다른 사업자의 서비스를 이용할 때 본인 정보와 함께 “페이스북 친구”의 개인정보가 동의 없이 다른 사업자에게 제공되었으며, “페이스북 친구”는 본인의 개인정보가 제공된 사실조차 모르는 상태인 것으로 확인되었다.

페이스북의 위법 행위로 인한 피해규모는 페이스북이 자료를 제출하지 않아 정확히 알 수 없으나, 조사결과 2012년 5월부터 2018년 6월까지 약 6년간 위반행위가 이어져 온 것으로 드러났으며, 국내 페이스북 이용자 1,800만 명 중 최소 330만 명 이상의 개인정보가 제공된 것으로 확인됐다.

“페이스북 친구” 정보가 최대 1만여 개의 앱을 통해 제공될 수 있었던 상태인 점을 고려하면 더 많은 개인정보가 넘어갔을 것으로 추정된다.

다른 사업자에게 제공된 페이스북 친구의 개인정보 항목은 학력·경력, 출신지, 가족 및 결혼/연애상태, 관심사 등이 포함된 것으로 밝혀졌다.

개인정보위는 조사과정에서 페이스북이 거짓으로 자료를 제출하거나 불완전한 자료를 제출하는 등 조사를 방해했다고 밝혔다.

페이스북은 다른 사업자에게 동의 없는 개인정보 제공을 중단한 시점과 관련된 증빙자료를 거짓으로 제출했다가 위원회가 반증을 제시하자 조사에 착수한 지 20여 개월이 지난 후에야 관련 자료를 제출해서 법 위반 기간을 확정짓는데 혼란을 초래했고, 이미 제출된 자료에 비춰 개인정보가 동의 없이 제3자에게 제공된 페이스북 친구 수를 구분할 수 있는 게 명확한데도 이용자 수만 제출하고 친구 수를 제출하지 않아 위반행위 규모 산정을 어렵게 하는 등 조사를 방해했다

개인정보위는 당사자 동의를 받지 않고 제3자에게 개인정보를 제공한 행위를 중대한 위반행위로 보고 페이스북에 67억 원의 과징금 부과와 함께 시정조치를 명령하고 수사기관에 고발하기로 했다.

아울러 ▲이용자의 비밀번호를 암호화하지 않고 저장한 행위, ▲이용자에게 주기적으로 이용내역을 통지하지 않은 행위, ▲거짓자료 제출 등 행위에 대해서도 총 6천6백만 원의 과태료를 부과했다.

윤종인 개인정보위 위원장은 “개인정보 보호에 대해서는 국내 사업자와 해외사업자 구분없이 엄정하게 법을 집행하는 것이 개인 정보위의 기본 방향”이라며 “위법행위를 하고도 조사에 성실히 협조하지 않는 해외사업자에 대해서는 집행력 확보를 위해 강력히 조치해서 우리 국민의 개인 정보가 안전하게 보호되도록 할 것”이라고 말했다.

★정보보안 대표 미디어 데일리시큐!★