.png)
.png)
|
사건의 발단은 2014년 영국 케임브리지 대학교 알렉산더 코건 교수가 개발해 페이스북을 통해 배포된 ‘This Is Your Digital Life’라는 애플리케이션(이하 앱)이다. 페이스북 회원이 소셜 로그인(OAuth 2.0 기반의 사용자 인증 기능, 포털·SNS 아이디로 다른 서비스에 로그인할 수 있음) 기능을 사용해 해당 앱에 접속하면, 앱 개발자는 로그인 한 회원의 친구 목록, 좋아요를 누른 콘텐츠, 위치 정보 등에 접근할 수 있는 것으로 알려졌다.
이 앱을 통해 코건 교수가 수집한 페이스북 회원 약 5000만 명의 개인정보가 CA로 넘어갔고, CA는 다시 이를 도널드 트럼프 미 대통령 측 대선 캠프에 제공했다는 것이 페이스북 개인정보 유출사건의 주요 내용이다.
이 사건에 대해 페이스북 최고경영자(CEO) 마크 저커버그가 2018년 3월 25일 미국과 영국의 주요 일간지를 통해 사과문을 게재했으며, 이와 관련해 미 연방거래위원회(FTC)는 비공개 조사를 하고 있다고 2018년 3월 26일 공식 발표했다.
페이스북 개인정보 유출사건이 국내에서 일어났다면 현행 정보통신망법 상 어떤 문제가 발생할까.
소셜로그인 정보의 외부 제공에 대한 동의 여부 중요
소셜 로그인 API를 제공하는 페이스북은 이용자의 접근 토큰(access token)을 발급해 소셜 로그인을 적용한 웹사이트 등에 전달한다(페이스북→웹사이트). 페이스북으로부터 접근 토큰을 전달받은 웹사이트는 페이스북 소셜 로그인 API가 제공하는 정보에 접근할 수 있게 된다(웹사이트→페이스북).
페이스북이 접근 토큰을 발급해 이용자 정보를 열람할 수 있도록 허가해주는 것은 정보통신망법 제24조의2가 규정하고 있는 개인정보의 제3자 제공에 해당한다. 따라서 법이 정한 예외 사유에 해당하지 않는 한 정보통신서비스 제공자(소셜 로그인 API 제공업체, 포털·SNS 업체 등)는 정보통신망법 제24조의2 제1항에 따라 해당 개인정보 제공사실을 이용자에게 알리고 동의를 받아야 한다.
이 사건에서는 페이스북이 이용자에게 소셜 로그인을 할 경우 자신의 개인정보가 앱 개발자에게 제공된다는 사실을 고지하였는지, 이에 대해 이용자로부터 별도의 동의를 받았는지 여부가 문제된다. 만약 페이스북 측이 이를 지키지 않았다면 정보통신망법 제24조의 2 제1항에 위반되는 행위에 해당한다.
또한 정보통신망법 제24조의2 제2항은 위와 같은 방법으로 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자는 그 이용자의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우 외에는 개인정보를 제3자에게 제공하거나 제공받은 목적 외의 용도로 이용하여서는 아니 된다고 규정하고 있으므로, 페이스북이 위와 같은 절차를 모두 이행하였다 하더라도 코건 교수가 이를 통해 수집한 페이스북 회원의 개인정보를 CA에 무단으로 제공한 것은 위 조항에 위반되는 행위이다.
현재 의혹이 제기되고 있는 바와 같이 CA가 코건 교수로부터 제공받은 페이스북 회원의 개인정보를 다시 도널드 트럼프 미 대통령 측 대선 캠프에 제공하였다면, CA 역시 법률이 정한 예외사유에 해당하지 않음에도 이용자의 동의 없이 개인정보를 제공받은 목적 외의 용도로 이용하여 제3자에게 제공한 것이 되므로 이는 정보통신망법 제24조의2 제2항에 위반된다.
5년 이하 징역 또는 5000만원 이하 벌금 처벌할 수도
정보통신망법은 위 조항들에 대한 벌칙 규정으로 제71조 제1항 제3호를 두어 동법 제24조의2 제1항 및 제2항을 위반하여 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자는 5년 이하의 징역 또는 5,000만원 이하의 벌금에 처한다고 규정하고 있는 바, 페이스북 개인정보 유출사건이 국내에서 일어났다면 페이스북과 코건 교수, CA는 위 조항에 따라 처벌받을 가능성이 있다.
소셜 로그인 기능은 플랫폼 사업자의 생태계를 공고히 할 수 있고 이용자를 보다 편리하게 유입할 수 있다는 장점으로 더욱 확산될 것으로 예측된다. 하지만 앞서 페이스북의 사례처럼 정보통신망법 위반의 리스크도 분명히 존재하기에 서비스 도입 전, 충분한 고민과 검토가 필요하다.
|
