페북, 국내 1,800만 개인정보 ‘제3자’에 무차별 제공

가입시 선택적 동의 없이 개인정보 수집, 여러 파트너와 공유

▲ 2018 페이스북 개발자 컨퍼런스에서 기조 연설을 하고 있는 마크 저커버그 CEO. [출처: flickr, Anthony Quintano]

개인정보 유출 논란으로 홍역을 앓고 있는 페이스북이 그동안 국내 이용자들의 개인정보도 수집해 명시적 동의 없이 제3자에게 제공하는 위법 행위를 저질러온 것으로 드러났다.

페이스북이 회원가입 시 개인정보 수집 및 제공에 대한 고지와 동의 절차를 제대로 이행하지 않은 채 회원들의 개인정보를 수집하고 이를 제3자에게 제공해 온 것으로 밝혀졌다. 

페이스북은 현재 전 세계 20억여 명의 월 활동 사용자(Monthly Active Users)를 보유하고 있는 세계 최대 SNS 플랫폼이며, 한국에서 월 활동 사용자만 1,800만여 명에 달한다.  

▲ 페이스북 데이터 정책 중 선택적 동의 없이 제3자에게 개인정보를 공유한다는 내용 [출처: 페이스북]

페이스북은 회원들에 대한 데이터 정책에서 회원들의 개인정보를 이른바 '제3자 파트너'와 공유한다고 밝히고 있다.

이들 제3자 파트너는 ‘페이스북 분석 서비스를 사용하는 파트너’, ‘광고주’, ‘측정 파트너’, ‘페이스북 제품 안에서 상품 및 서비스를 제공하는 파트너’, ‘벤더 및 서비스 공급자’, ‘연구원 및 학자’ 등이다. 또한 ‘사법당국 또는 법적 요청’이 있을 경우 이용자 정보를 공유한다고 명시하고 있다. 

그러나 국내 개인정보 보호법과 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)에 따르면 제3자는 '고객으로부터 개인정보를 수집한 해당 사업자를 제외한 모든 법인, 단체 등'을 의미한다. 따라서 페이스북의 같은 그룹 내 계열사라 하더라도 개인정보의 수집·이용·목적이 다른 별도의 법인이라면 이는 엄연히 제3자인 것이다. 

이런 점에서 페이스북 서비스와 무관한 다른 계열사에 회원의 개인정보를 제공하려면 페이스북은 회원들에게 반드시 ‘선택적 동의’를 받아야 한다. 

즉 회원이 페이스북에 가입할 때 무조건 동의해야 가입이 될 수 있는 지금의 편법적인 '눈 가리고 아웅 식' 동의가 아니라 구체적으로 제3자에게 개인정보를 제공해도 괜찮은지 가입자에게 '예' '아니오'라고 물은 뒤 동의를 받아야 비로소 합법적인 개인정보 제공이 되는 것이다. 

이와 함께 회원의 개인정보를 제공하게 될 제3자인 기업명도 모두 명시해야 한다. 

현재 페이스북 계열사는 △페이스북 페이먼트(Facebook Payments Inc.) △아틀라스(Atlas), △인스타그램(Instagram LLC), △오나보(Onavo), △모브스(Moves), △오큘러스(Oculus), △왓츠앱(WhatsApp Inc), △매스커레이드(Masquerade), △클라우드탱글(CrowdTangle) 등 9개 기업이다.

▲ 정보통신망법은 개인정보 수집,이용, 접근권한, 처리위탁시 선택적으로 동의할 수 있다고 명시하고 있다. [출처: 국가법령정보센터]

현재 페이스북은 위에서 본 것처럼 회원들의 개인정보를 제3자에게 제공하면서 어떤 선택적 동의나 '예' '아니오'라는 구체적인 동의 절차를 거치는 조항이 없으며 시스템적으로 이를 뒷받침하는 설명도 없는 것으로 확인됐다.

이는 직접 페이스북 가입 절차를 진행하면서 파악한 사항이며 국내 보안전문가와 법률전문가의 자문을 구해 취재한 내용이다. 

▲ 페이스북 약관, 데이터 정책, 쿠키 정책 모두 동의해야만 가입할 수 있는 페이스북. [출처: 페이스북]

페이스북 데이터 정책의 문제점과 위법 내용을 구체적으로 살펴보면 다음과 같다.

먼저 페이스북은 회원가입 시 ‘데이터 정책’이라는 항목 내 개인정보 취급방침에서 "페이스북이 계열사와 협력하는 방식’으로 “페이스북과 인스타그램은 회원님이 사용하는 모든 페이스북 및 계열사 제품에서 혁신적이고 관련성이 있으며 일관적이고 안전한 환경을 제공하기 위해 페이스북 및 계열사(WhatsApp 및 Oculus 포함)와 인프라, 시스템 및 기술을 공유합니다”라고 말하고 있다.

“또한 이러한 목적을 위해 관련 법률에서 허용하는 경우에 페이스북 및 계열사의 약관 및 정책에 따라 해당 계열사에서 회원님에 대한 정보를 처리합니다”라고 명시하고 있다.

도대체 무슨 이야기를 하는 것인지 여러 차례 꼼꼼히 읽어봐도 잘 알 수 없다. 영문을 옮겨 써서 그런지 우리말 어법이 안 맞고 문맥도 통하지 않는다. 번역했다면 엉터리 수준이다. 제대로 쓴 글이라면 회원들의 개인정보를 알아들을 수 없는 논리로 제3자에게 제공하겠다는 것을 교묘하게 둘러대고 있다고 볼 수 있다. 

문제는 이같이 이해하기 쉽지 않은 페이스북의 데이터 정책 문안으로 인해 회원들의 선택적 동의가 원천적으로 불가능하다는 사실이다. 

특히 가입 시 ‘데이터 정책’ 뿐만 아니라 선택 사항인 ‘권리 및 책임에 관한 정책’과 ‘위치 기반 정책’을 동의하지 않으면 다음 과정으로 아예 넘어가지 않아 가입 자체가 불가능하다. 

페이스북이 일방적으로 적시한 모든 정책에 동의해야만 페이스북 가입이 가능하다는 것이다.

국내 정보통신망법에 따르면 개인정보의 이용과 관련해 회원의 의견을 구하려면 ‘필수’와 ‘선택’으로 구분해 동의를 받아야 하는데, 페이스북은 무조건 모든 항목을 동의해야만 가입할 수 있게 돼 있다. 

더욱이 부분적으로 동의하거나 철회하는 것도 불가능하도록 해 놓고 있다.

▲ 개인과 관련된 민감정보를 선택적 동의 없이 수집하고 있는 페이스북 안내문. [출처: 페이스북]

또 페이스북에서는 “특별 보호를 받는 정보: 페이스북 프로필 필드 또는 중요 이벤트에 회원님의 종교관, 정치관, 관심 있는 사람 또는 건강 정보를 제공하도록 선택할 수 있습니다”라고 돼 있다. 

하지만 개인정보 보호법 제23조는 개인의 종교, 정치, 건강 등 민감정보는 원칙적으로 수집을 금지하고 있다.

쿠키 정책 또한 문제로 드러났다. 웹사이트에 접속할 때 자동적으로 만들어지는 임시 파일인 쿠키의 사용에 관한 내용 중 '광고'에 대한 부분은 별도의 동의가 필요하다. 

하지만 페이스북 ‘쿠키 및 기타 저장소 기술’에는 “쿠키는 페이스북이 회원님에게 페이스북 제품을 제공할 수 있게 하고, 저희가 회원님의 등록 또는 로그인 여부와 관계없이 회원님의 다른 웹사이트 및 앱 이용 등 저희가 받은 회원님에 대한 정보를 파악할 수 있게 합니다”라는 내용이 담겨 있다.

▲쿠키 정책 중 광고에 대한 별도 동의 없이 정보를 수집하고 있는 페이스북 안내문. [출처: 페이스북]

이같이 페이스북의 ‘데이터 정책’과 ‘쿠키 정책’의 세부 항목들은 국내 이용자들이 자세히 들여다 봐도 무슨 내용인지 이해하기 어렵다. 

또한 이용자들이 개인정보 보호와 관련해 자신의 권리를 행사할 방법도 제대로 안내하지 않고 있다.

개인정보 처리방침 역시 해당 서비스 국가 개인정보 보호책임자와 연락처를 명시해야 하는데도 한국 페이스북은 미국 캘리포니아 페이스북 본사(Facebook, Inc. 받는 사람: Privacy Operations 1601 Willow Road Menlo Park, CA 94025) 주소와 온라인 문의(데이터 정책에 관한 질문 8가지만 선택)만 올려 놓고 있다. 

국내 정보통신망법은 개인정보 보호책임자를 지정하지 않으면 2천만원 이하의 과태료를 부과한다고 명시하고 있다.

국내 보안전문가인 오디터 리(Auditor Lee)는 정보통신망법이 규정하고 있는 것처럼 "개인의 정보를 제3자에게 제공하려면 별도의 동의를 받아야 하고, 이용자는 거부할 권리가 있다”며, “제3자 제공이 서비스를 위해 반드시 필요한 것이 아니다. 따라서 동의를 거부한다고 해서 서비스를 거부하면 안 된다”고 지적했다.

페이스북코리아 관계자는 여기에 대해 "페이스북은 글로벌 플랫폼이라 본사 정책에 따라 운영하고 있어서 전 세계 국가의 개인정보보호 정책은 동일하다. 따라서 100% 국내법 실정에 맞출 수 없다"고 해명했다.

이 관계자는 "다만 최대한 국내법에 맞추려고 노력하고 있다"고 말해 한국 지사 차원에서는 이런 문제를 해결하기 위해 할 수 있는 일이 없다는 점을 내비쳤다.

한편 지난 3월 8,700만 명의 페이스북 개인정보가 케임브리지 애널리티카(CA)에 유출된 사태와 관련해 미국 정부의 사법 조사가 확대되고 있다. 

영국은 지난 11일 페이스북에 데이터 보호법 위반에 대한 유죄 판결을 내리고 최고액의 벌금을 부과했다. 호주도 페이스북에 소송을 제기했고 법 위반이 인정되면 4조 원이 넘는 과징금을 물어야 한다.

이렇게 세계 각국이 자국민 개인정보를 보호하기 위해 노력하고 있지만 우리 정부는 여전히 해외기업에 대한 느슨한 관리 감독을 지속하고 있다. 

방송통신위원회는 지난 12일 전 세계에 걸친 페이스북 개인정보 유출사태와 관련해 우리나라만 손 놓고 있다고 비판한 한 일간지 사설에 대한 해명자료에서 “방통위는 여전히 실태점검을 진행 중이며, 국내외 사업자 구분 없이 법과 절차에 따라 엄격하게 처리할 예정”이라고만 답했다. 

지난 3월 방송통신위원회는 페이스북 등 글로벌 SNS 사업자를 대상으로 개인정보 수집 실태점검에 나섰지만 120일이 지난 지금까지 깜깜무소식이다. 

영국 정부가 발빠르게 페이스북에 유죄 판결을 내리고 벌금형을 부과한 것과 대조적이다. 

또 유럽은 EU 기업을 보호하고 미국의 글로벌 IT 기업을 견제하고 회원국의 개인정보 관리를 강화하기 위해 만든 강력한 ‘일반 개인정보보호법(General Data Protection Regulation, GDPR)’이 지난 5월 25일부터 시행되고 있다. 

GDPR은 여러 개인정보가 저장되거나 이전되는 위치, 방법에서부터 개인정보에 접근할 때 적용되는 정책 등에 대한 내용이 담겨 있다. 

이를 지키지 않을 경우 최대 2천만 유로(약 250억원) 또는 전 세계 매출액의 4% 중 높은 금액을 과징금으로 물게 된다. 

특히 똑같은 위반 사항에 대해서도 해외 기업이 국내에서 정보통신망법이나 개인정보 보호법 위반으로 물게 되는 벌금은 국내 기업이 EU에서 GDPR을 위반했을 때 물게 되는 벌금과 비교해 엄청난 차이가 난다.  

EU는 벌금이 전세계 매출액의 4%인데 반해, 국내는 벌금이 해당 사업의 최대 3%이기 때문이다. 

이와 관련해 국내 페이스북 이용자들과 인터넷 서비스 업체들 사이에서는 "방통위가 직무를 소홀히 하고 있다"며 “국내 네이버나 카카오 등 포털과 인터넷 서비스기업은 철저히 단속하면서 해외기업은 방치해 역차별하고 있다”고 불만을 제기하고 있다. 

개인정보를 명시적 동의 없이 수집하고 제3자에 제공하는 것은 명백한 법률 위반이다. 수집된 국내 이용자의 개인정보가 해외로 유출된다는 점도 우려스러운 대목이다. 

방통위는 이에 따라 해외 기업의 위법 행위에 대해 국내 기업과 동등한 수준으로 조사하고 규제해야 한다. 

페이스북 같은 해외 사업자가 국내에 서비스할 경우 법령 위반 사항에 대해 해외 지사를 조사할 수 있다는 내용의 법령 개정도 필요하다. 아울러 국내도 EU 수준의 벌금을 부과할 수 있도록 법령 개정과 검토가 필요한 시점으로 보인다.

IT뉴스 / 김들풀 기자 itnews@itnews.or.kr · 이새잎 기자 ebiz@itnews.or.kr