소식 6억명 비번 일반 텍스트로 저장해온 메타, 벌금 1억 150만 달러
- BarryWhite
- 조회 수 506
- 2024.09.28. 11:07
페이스북과 인스타그램의 운영사 메타가, 6억 명이 넘는 사용자의 비밀번호를 암호화하지 않고,일반 텍스트 형태로 저장했던 것에 대해 벌금을 부과받았습니다.
아일랜드 데이터보호위원회(DPC)는 5년간의 조사 끝에 메타 아일랜드 지사에 1억 150만 달러(약 1,370억 원)의 벌금을 부과했습니다. DPC는 메타 아일랜드가 유럽연합(EU)의 개인정보보호법(GDPR)을 위반했다고 판결했습니다.
이 사건은 2019년 페이스북이 수억 명의 사용자 비밀번호를 암호화하지 않고 저장했다고 인정하면서 처음 알려졌습니다. 당시 페이스북은 해당 비밀번호가 회사 외부로 유출되지는 않았다고 주장했지만, 약 2,000명의 엔지니어가 해당 데이터베이스에 900만 건의 쿼리를 날린 사실이 밝혀져 보안에 대한 우려를 키웠습니다.
그레이엄 도일 DPC 부위원장은 "사용자 비밀번호를 일반 텍스트 형태로 저장하는 것은 해킹 위험이 크다는 점에서 용납될 수 없는 일"이라며 "특히 이번 사건에서 문제가 된 비밀번호는 사용자의 소셜 미디어 계정에 접근할 수 있는 중요한 정보였다는 점을 명심해야 한다"고 지적했습니다.
메타 아일랜드는 GDPR의 네 가지 조항을 위반한 것으로 드러났습니다. 특히 사용자 비밀번호를 일반 텍스트 형태로 저장한 사실을 DPC에 즉시 보고하지 않은 점이 문제가 됐습니다. 메타 아일랜드는 문제가 발견된 지 몇 달 후에야 DPC에 보고한 것으로 알려졌습니다.
아직까지 정확히 어떤 사용자들이 피해를 입었는지는 공개되지 않았습니다. DPC는 벌금 부과와 공식적인 질책 외에 구체적인 판결 내용을 아직 공개하지 않았습니다. 현재까지 공개된 정보만으로는 문제가 된 비밀번호에 아일랜드 또는 EU 이외의 지역, 특히 미국 사용자의 정보가 포함되었는지 여부는 확인되지 않았습니다.
2019년 페이스북이 CNN에 밝힌 내용을 고려하면 미국 사용자는 이 사건과 관련이 없을 가능성이 큽니다. 당시 페이스북은 일반 텍스트 형태로 저장된 비밀번호 대부분이 인터넷 연결이 느린 지역에서 사용되는 '페이스북 라이트' 서비스와 관련된 것이라고 설명한 바 있습니다.
메타는 2023년 DPC가 EU에서 미국으로의 사용자 데이터 전송과 관련하여 GDPR 위반으로 부과한 13억 달러의 벌금에 대해서도 항소한 상태입니다.
이 사건은 메타가 개인정보보호 및 보안 문제 관련, 수년간 여러 논란을 겪어온 가운데 발생했습니다. 메타는 이 사건이 처음 알려지기 직전에도 케임브리지 애널리티카를 비롯한 다른 회사와의 데이터 공유 문제로 미 연방 당국의 조사를 받고 있었습니다.