메타, 비밀번호 6억 개 평문 저장으로 1억 달러 과징금... 직원 2000명이 900만 번 조회

메타플랫폼스(나스닥: META)가 2019년 보안 위반으로 아일랜드 데이터보호위원회(DPC)로부터 9100만 유로(약 1억150만 달러)의 과징금을 부과받았다.

사건 경위: DPC는 2019년 4월 당시 페이스북이었던 메타가 '수억 개'의 사용자 비밀번호를 서버에 평문으로 저장했다고 밝힌 후 일반 데이터 보호 규정(GDPR)에 따라 조사에 착수했다.

상황을 더욱 악화시킨 것은 평문으로 저장된 6억 개의 비밀번호를 회사 엔지니어 2000명이 약 900만 번이나 접근했다는 점이다.

DPC는 메타가 GDPR의 보안 기준을 충족하지 못했다고 결론 내렸다. 비밀번호가 암호화되지 않아 사용자의 소셜미디어 계정에 무단 접근될 위험이 있었기 때문이다. 또한 규제 당국은 메타가 72시간 이내 위반 사실을 보고하지 않았고 사건을 제대로 문서화하지 않았다고 지적했다.

그레이엄 도일 부위원장은 노출된 비밀번호의 민감성을 강조하며 무단 접근으로 인한 악용 위험을 지적했다.

이번 과징금은 메타의 GDPR 위반 벌금 이력에 추가되어 지속적인 개인정보 보호 준수 문제를 부각시켰다. 9100만 유로의 벌금은 2022년 3월 별도의 2018년 위반 사건으로 부과된 1700만 유로의 벌금보다 크게 늘어난 수준이다.

중요성: 이번 최신 과징금은 메타가 수년간 개인정보 침해로 받은 일련의 제재 중 하나다. 2022년 3월 아일랜드 정부는 2018년 6월부터 12월 사이 12건의 데이터 유출을 잘못 처리한 혐의로 메타에 1860만 달러의 과징금을 부과했다.

DPC는 메타가 EU 사용자 데이터를 보호하기 위한 적절한 보안 조치를 이행하지 않았다고 판단했다.

2023년 1월 아일랜드 감독 기관은 사용자 개인정보 침해로 메타에 3억9000만 유로의 과징금을 부과했다. 이 제재는 메타가 맞춤형 광고를 위해 사용자 데이터를 처리한 것이 GDPR 규정을 위반했다는 판단에 따른 것이다.

최근 2023년 7월 메타는 노르웨이에서 개인정보 보호 정책을 수정하지 않으면 하루 10만 달러의 과징금에 직면할 위기에 처했다. 노르웨이 데이터보호당국은 메타의 행태 광고에 3개월간 금지 조치를 내렸으며 유럽데이터보호이사회의 연장 가능성도 있다.