데이터 유출로 수백만 명이 피해를 본 후 메타에게 2억 5100만 유로의 벌금이 부과되었습니다.

아일랜드 데이터 보호 위원회(DPC)는 2018년에 발생한 주요 데이터 유출 사건에 대한 두 차례의 조사를 통해 메타 플랫폼스 아일랜드 유한회사(MPIL)에 2억 5100만 유로의 벌금을 부과했다는 내용이 DPC 보도자료에 보도되었습니다.

이번 사건은 전 세계적으로 약 2천 9백만 명의 페이스북 계정에 영향을 미쳤으며, 사용자들의 세부적인 개인 정보, 즉 이름, 이메일 주소, 전화번호 등이 노출되었습니다. 피해를 입은 계정 중 약 300만 개는 유럽 연합(EU) 및 유럽 경제 지역(EEA)에 기반을 두고 있었다고 DPC가 밝혔습니다.

해당 침해는 무단 측이 페이스북 플랫폼에서 사용자 토큰을 악용함으로써 사용자 데이터에 접근했을 때 발생했습니다. MPIL은 2018년 9월에 이 사건을 보고했고, 이 침해 사항은 MPIL과 그것의 미국 모회사에 의해 신속하게 해결되었습니다.

The Record는 메타 대변인이 발표한 성명에서 이 벌금이 6년 전에 발생한 사건에서 비롯되었다는 것을 강조하고 있다고 보도했습니다.

“문제가 발견되자마자 즉시 조치를 취해 해결했고, 영향을 받은 사람들과 아일랜드 데이터 보호 위원회에게 능동적으로 알렸습니다.”라는 선언이 있다고 The Record에서 보도했습니다. “우리는 우리 플랫폼 전반에 걸쳐 사람들을 보호하기 위한 업계 최고의 다양한 조치들을 갖추고 있습니다.”

최종 결정에서, DPC는 일반 데이터 보호 규정(GDPR)의 여러 위반을 인용하며 상당한 벌금을 부과했습니다. 위원회의 조사는 두 가지 주요 비준수 영역을 확인했습니다.

첫 번째 결정은 메타가 침해 알림에 필요한 모든 정보를 포함시키지 못한 것에 초점을 맞췄습니다. 구체적으로, 회사는 침해에 대한 충분한 세부 사항을 제공하지 않았습니다. 더욱이, 메타는 침해 사실을 문서화하지 못하였다는 점에서 비난을 받았습니다. 그 결과, DPC는 각각 €8백만과 €3백만의 벌금을 부과하였습니다.

두 번째 결정은 메타가 시스템 설계에서 데이터 보호 원칙을 준수하지 못했음을 주목했습니다. 메타는 처리 시스템에 데이터 보호 안전장치를 적절히 통합하지 못했다는 것이 밝혀졌습니다.

게다가, Meta는 필요한 개인 정보만을 처리하도록 보장하지 않은 것에 대해 벌금을 부과받았습니다. 이러한 위반에 대한 벌금은 총 1억 3천만 유로와 1억 1천만 유로에 이르렀다고 DPC가 밝혔습니다.

DPC의 부위원장인 그레이엄 도일은 이번 위반의 심각성을 강조하면서, 부적절한 데이터 보호 조치가 개인을 중대한 위험에 노출시킬 수 있다는 점을 지적하였습니다.

“페이스북 프로필은 종교나 정치적 신념, 성생활이나 성적 성향 등과 같은 사용자가 특정 상황에서만 공개하고 싶어하는 정보를 포함하고 있을 수 있습니다.”라고 도일이 보도자료에서 말했습니다.

“프로필 정보의 무단 노출을 허용함으로써, 이번 해킹의 취약점은 이러한 유형의 데이터가 잘못 사용될 심각한 위험을 초래하였습니다.”라고 도일이 덧붙였습니다.

DPC의 조사는 표준 GDPR 절차를 따르며, 초안 결정서는 2024년 9월에 동료 검토를 위해 제출되었습니다. 위원회는 그들의 조사 결과에 대한 이의가 없었으며, EU/EEA 감독 당국의 협력에 감사의 마음을 표현했습니다.

이러한 시정 조치는 EU 내에서 운영되는 기업들에게 강력한 데이터 보호 조치의 중요성을 강렬하게 상기시킵니다.

화요일에 발표된 이 벌금은 메타가 유럽 데이터 보호법을 위반함으로써 마주한 최근의 금융 처벌 중 하나입니다. 9월에는 DPC가 메타에게 사용자의 비밀번호 데이터를 제대로 보호하지 못했다는 이유로 1억 150만 달러의 벌금을 부과했습니다.