미국 연방거래위원회(FTC)는 사이버 보안 회사 어베스트(Avast)에 대해 1650만 달러의 거액의 벌금을 지불하고 사용자의 웹 검색 데이터 판매를 금지하도록 명령하는 등 중대한 조치를 취했다.
이번 조치는 어베스트가 사용자 동의 없이 검색 데이터를 무단으로 수집, 저장 및 판매하는 등 소비자의 개인정보 보호 권리를 침해한 혐의에 대한 법적 조치다.
FTC는 최소 2014년부터 수년에 걸쳐 이루어진 것으로 알려진 어베스트의 광범위한 데이터 수집 관행에 대해 발표했다. 영국에 본사를 둔 어베스트는 브라우저 확장 프로그램과 바이러스 백신 소프트웨어를 통해 사용자 모르게 또는 동의 없이 사용자의 브라우징 정보를 수집한 혐의를 받고 있다.
이 데이터에는 각 웹 브라우저의 고유 식별자, 방문한 웹 사이트에 대한 세부 정보, 타임스탬프, 디바이스 및 브라우저 유형, 사용자의 도시, 주 및 국가와 같은 지리적 정보가 포함되었다.
어베스트는 사용자의 검색 기록을 보호하고 온라인 추적을 방지하는 도구로 제품을 마케팅했지만, 자회사를 통해 수집한 데이터를 100개 이상의 제3자에게 판매하여 기만적인 행위를 한 것으로 의심된다. 2020년까지 8페타바이트 이상의 브라우징 정보를 축적했다고 불만 사항에 명시되어 있을 정도로 어베스트 자회사가 수집한 데이터의 양은 엄청나다.
또한 FTC는 어베스트가 사용자의 개인정보가 비식별 형태로만 전송될 것이라고 거짓 주장해 사용자를 속였다고 비난했다. 실제로는 사용자의 명시적인 동의 없이 상세하고 재식별 가능한 브라우징 데이터를 제3자에게 판매했다.
FTC의 조사는 2019년 말 사용자 추적에 대한 우려로 인해 모질라가 저장소에서 어베스트의 브라우저 확장 프로그램 몇 가지를 제거한 조치로 인해 부분적으로 촉발되었다. 이후 언론 매체의 조사를 통해 어베스트가 자회사를 통해 데이터를 판매한 사실이 드러나면서 규제 당국의 조사가 시작되었다.
FTC와의 합의에 따라 어베스트는 1,650만 달러의 벌금을 납부해야 하며 제품을 통해 수집한 브라우징 데이터를 광고 목적으로 라이선스하거나 판매하는 것이 금지된다. 또한 어베스트가 아닌 제품에서 얻은 브라우징 데이터를 판매하거나 라이선스를 부여하기 전에 고객의 명시적인 동의를 얻어야 한다. 또한 어베스트는 자회사와 공유한 모든 브라우징 데이터를 삭제하고 영향을 받은 사용자에게 FTC의 조치에 대해 알려야 한다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
