[뉴스웍스=문병도 기자] 개인정보보호위원회가 소셜네트워크서비스(SNS) 페이스북과 인스타그램 운영사인 메타에 맞춤형 광고 관련 과징금 제재를 내렸다. 

개인정보보호위원회는 지난 26일 전체회의를 열고 적법한 동의 없이 이용자의 웹·앱 이용기록을 수집해 맞춤형 광고 등에 이용한 메타 아일랜드와 인스타그램에 등에 과징금 총 74억300만원을 부과했다.

처분 대상은 지난 2018년 7월 14일 이전 한국 이용자에게 페이스북·인스타그램 서비스를 제공한 메타아일랜드, 인스타그램과 현재 해당 서비스를 제공하고 있는 메타 등이다.

개인정보위 조사 결과, 메타 아일랜드는 페이스북 계정 생성 시 작은 스크롤 화면을 통해 '데이터 정책' 전문을 보여주고 있어, 이용자가 타사 행태정보 수집 사실을 명확히 인지하고 동의했다고 볼 수 없었다. 인스타그램은 별도의 동의 절차 없이 인스타그램 계정 생성 시 약관 및 개인정보 처리방침에 동의한 것으로 간주했으며, 게다가 해당 개인정보 처리방침에는 '타사 행태정보 관련 내용'이 포함돼 있지 않았다.

이같은 행위는 관련법 위반에 해당한다.

개인정보위는 메타 아일랜드와 인스타그램에 각각 65억1700만원과 8억8600만원의 과징금을 부과했다.

메타는 개발자가 간편 로그인 기능을 제공하기 위해 '페이스북 로그인'을 설치하는 경우, '페이스북 로그인'의 기능과 전혀 관련이 없는 타사 행태정보(웹·앱 이용기록) 수집 도구가 함께 설치되도록 했다.

개인정보위는 메타가 '페이스북 로그인'을 통해 해당 정보가 전송·수집되는 사실을 사업자와 이용자 모두 알 수 없도록 하는 등 부정한 방법으로 개인정보를 취득한 것으로 보고 고발 여부를 검토했는데, 이 과정에서 메타는 3개월 내에 해당 행위를 자진 시정하겠다고 공식의견을 제출했다. 개인정보위는 자진 시정 기회를 부여해 개인정보 침해 소지를 빠르게 해소하되, 그 이행 여부를 점검·확인할 계획이다.

개인정보보호위원회는 또 최근 한국 이용자 600여명을 포함해 다량 개인정보 유출이 발생한 오픈AI에 대해 신고 의무 위반으로 과태료 360만 원을 부과하고 개선권고를 의결했다.

개인정보위에 따르면 올 3월 20일부터 21일 사이 오픈AI의 챗GPT 플러스에 접속한 전 세계 이용자 일부의 성명, 이메일, 결제지, 신용카드 번호 4자리와 만료일이 다른 이용자에 노출됐다. 이 중 한국 이용자 687명의 개인정보도 함께 유출됐다. 유출 원인은 서비스 속도 증가를 위해 오픈소스 기반 캐시 솔루션에서 알려지지 않은 오류가 발생했기 때문이다.

개인정보보호위원회가 성적을 유출한 경기교육청 등 14개 공공기관과, 환자정보를 제약사에 빼돌린 성모병원 등 17개 종합병원에 행정처분을 내렸다.

카페24, NHN커머스 등 쇼핑몰솔루 상위 4개 제공사업자에 대해서도 행정처분을 내렸다.

개인정보위는 올해 초 전국연합학력평가 성적이 유출된 경기도교육청과 개인정보 처리시스템 등의 안전조치를 소홀히 하여 주민등록번호가 유출된 13개 공공기관에 대한 제재 처분을 의결했다.

해킹으로  약 27만여 전국연합학력평가  응시학생의  성적정보가  유출된 경기도교육청에 대해서는 2160만 원의 과태료 처분과 함께 보유한 개인정보처리시스템 일제 점검, 거버넌스·매뉴얼 정비, 취급자 교육 강화 등의 개선 권고와 결과 공표를 의결했다.

조사 결과, 자체 개발한 온라인시스템의 접근통제를 미흡, 안전한  인증수단  등도 없이  시스템을  운영, 최신 보안패치를 미적용, 접속기록도 점검하지 않는 등 안전조치를 소홀, 보유기간이 지난 성적정보를 파기하지 않는 등 전반적인 관리 부실을 확인했다.

일반 개인정보보다 더 엄격히 보호해야 하는 주민등록번호가 암호화 등 안전성 확보조치가 되지 않은 채 유출된 13개 기관에 대하여는 과징금, 과태료 부과 등의 처분을 의결했다.

주민등록번호가 담긴 파일이 전자우편이나 공문에 잘못 첨부되어 발송되거나, 합격자 명단 등을 누리집에 게시하면서 엑셀 파일에 주민등록번호가 숨겨진 채로 함께 게시된 경우, 개인정보가 담긴 서류를 제대로 보관·관리하지 않아 이면지에 섞여 유출된 경우, 민간인증 로그인  시 본인인증  오류로 주민등록번호가 다른 사람에게  유출된 경우 등이 있었다. 

개인정보위는 개인정보보호 법규를 위반한 17개 종합병원 중 16개 병원에 대해  과태료를 부과하고, 17개 전체 종합병원의 개인정보 처리실태에 대한 개선을 권고했다. 

각 병원에서는 병원 직원 또는 제약사 직원이 병원 시스템에서 해당 제약사 제품을 처방받은 환자정보를 촬영· 다운로드한 후 전자우편, 보조저장매체(USB) 등을 통해 외부로 반출하거나, 제약사 직원이 불법적으로 시스템에 직접 접근해 환자정보를 입수하는 등의 방법으로 민감정보가 포함된 총 18만5271명의 환자정보가 유출된 것으로 드러났다.

조사 결과, 환자의 민감정보를 처리하는 개인정보처리시스템 운영과정에서 안전조치의무를 소홀히 하는 등 법 위반 사실을 확인했다. 

개인정보위는 쇼핑몰솔루션 제공사업자 카페24(카페24), 커넥트웨이브(메이크샵·마이소호), 아임웹(아임웹), NHN커머스(고도몰 ·샵바이)에 대해 총 1200만원 과태료 부과, 시정조치 명령, 개선권고를 내렸다. 이들 사업자는 솔루션을 이용해 쇼핑몰을 운영하는 이용사업자와 리셀러 개인정보를 처리하면서 개인정보처리시스템에 대한 접근통제, 접속기록 관리, 전송정보 암호화 등 안전조치 의무를 일부 소홀히 한 것으로 확인됐다.