개보위, '동의 없이 정보 수집' 메타에 200억 대 과징금 철퇴

"페이스북 이용자 종교·정치관·性정체성, 광고주 4천곳에 넘겨"

이은정 개인정보보호위원회 조사1과장이 5일 서울 종로구 정부서울청사에서 개인정보위 제18회 전체회의 결과를 발표하고 있다. 개인정보위는 이날 합법 처리 근거 없이 민감정보를 수집·활용한 메타에 대해 216억 2,320만 원의 과징금·과태료와 시정명령을 부과하기로 했다고 밝혔다. 연합뉴스

정부가 사회관계망서비스(SNS) '페이스북'에서 이용자의 동의나 정당한 근거 없이 민감 정보를 수집해 온 '메타'에 과징금 216억여원을 부과했다. 페이스북 운영사인 메타는 이렇게 수집한 정보를 광고주에게 넘긴 사실도 드러났다.

5일 개인정보보호위원회(이하 개보위)는 "4일 전체회의를 열고 개인정보보호법을 위반한 메타에 216억2천320만원의 과징금·과태료와 시정명령을 부과하기로 의결했다"고 밝혔다. 개보위에 따르면 메타는 페이스북 프로필을 통해 국내 이용자 약 98만명의 종교관·정치관, 동성과 결혼 여부 등 민감정보를 수집한 것으로 파악됐다.

개인정보보호법은 사상·신념, 정치적 견해, 성생활 등에 관한 정보를 엄격히 보호해야 할 민감정보로 규정해 원칙적으로 처리를 제한한다. 단, 정보 주체에게 별도 동의를 받는 등 적법한 근거가 있는 경우에만 민감정보를 처리할 수 있도록 규정하고 있다.

게다가 메타는 무단 수집한 민감 정보를 약 4천곳의 광고주에게 넘겼다. 이들 광고주는 이용자의 민감정보를 이용한 사실이 조사 과정에서 확인됐다. 이 같은 수법은 2018년 7월부터 2022년 3월까지 약 3년 반 동안 이어졌다.

이은정 개인정보위 조사1과장은 "메타는 이용자가 페이스북에서 '좋아요'를 누른 페이지나 클릭한 광고 등 행태정보를 분석했다. 이를 토대로 특정 종교나 동성애, 성전환자, 북한이탈주민 등 각종 민감정보와 관련한 광고 주제를 만들어 운영했다"고 말했다.

이어 "페이스북 프로필에 종교관과 정치관 등을 입력할 공간을 마련해 이용자가 써넣도록 했다. 그리고 유사한 광고 카테고리를 9만여 개 만들고서 (이용자 입력 정보를 활용해) 타깃 광고를 벌였다"면서 "가령 사용자가 특정 정당이나 단체에 관심이 있다고 입력했다면 이와 관련된 집회 참여나 단체 가입을 유도하는 광고를 보내는 식"이라고 설명했다.

메타는 이용자의 민감정보를 수집하고, 맞춤 서비스 등에 활용하면서도 자사의 데이터 정책에는 불분명하게 기재했다. 이용자 동의도 별도로 받지 않고 추가적인 보호조치도 취하지 않았다. 이용자의 개인정보 열람 요구에 대해서도 개인정보보호법에 명시된 열람 요구 대상이 아니라며 거절했다.

메타는 서비스가 중단됐거나 관리되지 않은 홈페이지를 삭제 또는 차단해야 하는 안전조치 의무도 이행하지 않았다. 이런 점을 노린 해커가 사용되지 않는 계정 복구 페이지에서 위조된 신분증을 제출해 타인 계정의 비밀번호 재설정을 요청했고, 메타는 위조 신분증에 대한 충분한 검증 없이 이를 승인했다. 이 탓에 한국 이용자 10명의 개인정보가 유출됐다.

개보위는 "메타의 시정명령 이행 여부를 점검하고, 국내 이용자를 대상으로 서비스를 제공하는 글로벌 기업에도 차별 없는 개인정보보호법을 적용해 국민의 개인정보보호에 최선을 다하겠다"고 했다.