아일랜드 데이터 보호 위원회(DPC)가 페이스북에서 데이터 스크랩 방지 등 개인정보 보호 조치를 제대로 하지 않은 메타에 약 3650억 원(2억 6500만 유로)의 벌금을 부과했다.
DPC는 페이스북의 데이터 컨트롤러인 Meta Platforms Ireland Limited(MPIL)에 대해 약 3650억 5000만 원의 벌금과 다양한 시정 조치를 부과했다고 발표했다.
DPC에 따르면, 이번 조치는 2018년 5월부터 2019년 9월 사이 약 5억 3300만 명이 넘는 페이스북 이용자의 개인정보가 유출된 것에 대한 책임의 결과다.
유출은 사이버 보안 기업인 Hudson Rock의 CTO인 Alon Gal에 의해 처음 발견됐다. 유출된 정보는 약 106개 국의 사용자에게 영향을 미쳤으며, 구체적으로는 미국 계정 3200만 개 이상, 영국 계정 11개, 인도 계정 600만 개 등이다. 유출된 정보에는 전화번호, 페이스북 ID, 이름, 주소, 생년월일, 이메일 주소 등이 포함됐다.
DPC는 메타가 유럽 연합 일반 데이터 보호 규칙(GDPR)를 위반했는지 여부를 조사하고 있다.
외신 보도에 따르면, 정보가 유출된 당시 메타는 공격자가 Contact Importer라는 페이스북 도구를 악용해 다수 사용자의 전화번호를 업로드하고 개인정보를 수집했다며 유출을 막기 위해 전화번호를 사용하는 기능을 제거했다고 밝혔다.
하지만 DPC는 이후에도 메타가 적절한 보안 조치를 하지 않았다며 이는 GDPR을 위반한 것이라고 주장했다.
DPC 측은 “메타에 대한 이번 처분은 GDPR을 위반한 것에 대한 결과다. MPIL은 권고한 기간 내에 개선 조치를 해야 한다”라고 강조했다.
한편, 메타는 이번 조치에 대해 개인정보를 더 잘 보호하기 위해 여러 가지 변경 사항을 적용했다고 발표했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
