로고

한국 CPO 포럼
회원가입 로그인
  • 뉴스 및 공지
  • News Letter
  • 뉴스 및 공지

    News Letter

    Weekly Privacy MagaZine

    한국CPO포럼 에서 매주 회원 여러분들게 보내드리는
    개인정보보호
    뉴스레터 입니다.  


    [VOL.405] 메타 '개인정보 수집' 강제 논란

    페이지 정보

    profile_image
    작성자 사무국
    작성일Date 22-07-29 12:02

    본문

    동의하지 않으면 8월 9일부터 계정 사용 불가
    63232_1645760637.png
    22년 7월 3주   <VOL 405>
    63232_1644987697.png
    이번 주 PICK
    ⚡ 메타 '개인정보 수집' 강제 논란
    ⚡ 전국 혼란 부른 콜택시 '먹통'... 해커에 몸값 넘길 수 밖에 없었다
    ⚡ [Udemy] CPO포럼 회원사대상 특별 프로모션
    63232_1644987697.png
    메타 '개인정보 수집' 강제 논란
    개인정보 제공 동의하지 않으면 8월 9일부터 계정 사용 불가

    최근 메타(META)가 페이스북과 인스타그램의 개인정보 동의 방식을 변경해 논란이 일고 있어요. 필수 이용자 정보 수집 동의 항목이 지나치게 많고, 동의하지 않으면 아예 계정 사용이 막히기 때문이에요. 이에 국내에서는 "메타가 개인정보를 볼모로 갑질한다"는 비판이 거세지고, 개인정보보호법 위반이라는 주장이 제기되고 있어요. 
     
    논란이 되는 부분은?
    메타가 이용자들에게 동의를 요구하는 항목은 ▲개인정보의 수집 및 이용 ▲개인정보의 제공 ▲개인정보의 국가 간 이전 ▲위치정보 서비스 약관 ▲개인정보처리방침 업데이트 ▲서비스 약관 등 6가지 항목으로 동의가 필수예요. 동의하지 않으면 다음 달 9일부터 관련 계정을 사용하지 못해요. 당초 7월 26일 강행하려 했으나 8월 9일부터 적용키로 했어요.
    문제는 이렇게 수집한 정보를 광고주를 포함한 제3자와 공유할 수 있다고 명시하고, 이런 내용에도 포괄적으로 동의하도록 했다는 데 있어요. 이용자 입장에서 보면 자신의 개인정보가 광고 활동에 활용되길 원치 않더라도, 페이스북 인스타그램 서비스를 이용하려면 어쩔 수 없이 동의해야 하는 상황이에요.
     
    반발의 목소리들
    경제정의실천시민연합·한국소비자연맹 등 시민단체는 공동성명을 내고 "메타의 동의 강요는 시장지배 사업자의 지위 남용에 해당한다"며 개인정보보호위원회의 규제를 촉구했어요.
    정의당 정혜영 의원과 배진교 의원은 시민단체인 진보네트워크센터, 참여연대와 공동으로 22일 국회의원회관에서 메타의 이번 개인정보처리방침이 현행법을 위반하는지를 살펴보는 토론회를 진행했어요. 이날 이은우 법무법인 지향 변호사는 토론회 발제에서 "페이스북, 인스타그램에서 맞춤형 광고 등에 동의하지 않으면 떠나라는 것은 문제가 있다"라며 "메타가 의도하는 것은 맞춤형 광고에 활용할 개인정보를 사실상 정보 주체 동의 없이 활용하겠다는 것"이라고 밝혔어요.
     

    메타의 입장은?
    메타 측은 "보유한 정보를 제품을 개선하는 데 이용한다"며 "맞춤화 기능·콘텐츠·페이스북 및 인스타그램피드·스토리·광고 추천이 포함된다. 종교관·정치관 등 프로필 정보로 (원치 않는) 광고를 노출하지 않는다"고 했어요. 회원을 특정할 우려가 있는 경우에는 정보를 비식별화(익명화)하거나 통계 처리를 한다는게 메타의 설명이에요.
    또 이번 개인정보 처리 방침 갱신은 다른 나라에서도 진행되고 있지만, 한국의 개인정보 처리 기대치를 맞추기 위해 한국에서는 필수 동의를 구하는 것이라고 설명했어요.
    비난이 쏟아짐에도 메타가 신규 정책을 강행하는 이유는 광고가 핵심 수익원이기 때문으로 추측돼요. 시장조사기관 스태티스타 조사를 보면 페이스북은 지난해 세계 디지털 광고 시장에서 점유율 23.7%로 구글(28.6%)에 이어 2위에 올랐어요.

    정부의 입장은?
    정부는 2020년 개인정보보호법을 개정해 "정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 않았다는 이유로 서비스제공을 거부해서는 안 된다"(39조3의 3항)는 조항을 신설했어요.
    개인정보위원회는 "개인정보보호법에 따라 메타가 모으는 이용자 정보가 서비스 제공을 위해 반드시 필요한 정보인지 중점적으로 검토 중"이라며 "위반 여부가 확인되면 이용자의 개인정보가 침해되지 않도록 적극적으로 조치할 예정"이라고 강조했어요. 이번 메타가 개인정보 수집에 동의하지 않은 국내 이용자 계정을 중단시킬 경우, 시정명령과 과태료 부과를 검토할 수 있다는 방침이에요. 

    <과거 관련 기사>
    63232_1644987697.png
    전국 혼란 부른 콜택시 '먹통'... 해커에 몸값 넘길 수 밖에 없었다
    전국 단위 피해, 허술한 보안 시스템 노린 듯

    지난 17일 국내 콜택시 시스템 운영사 오토피온의 전산 시스템이 랜섬웨어 공격을 받았어요.이후 대전과 부산, 춘천, 인천 등 30여 지자체에서 운영되는 콜택시 서비스가 먹통이 됐는데요. 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 시스템을 해킹한 뒤 악성코드로 데이터를 암호화하고 이를 인질삼아 금전을 요구하는 사이버 공격이에요. 오토피온은 해커에게 몸값을 지불하고 복구키를 받았다고 해요.
     
    다른 방법은 없었을까?
    랜섬웨어는 한번 감염되면 복구가 불가능해요. 오토피온의 전산 시스템은 물론 백업 서버까지 랜섬웨어에 감염돼 해커에게 키를 받지 않고는 복구가 불가능해서 몸값을 지불했다고 해요. 전문가들은 공격자가 일부러 보안이 허술한 중소기업을 노렸다고 지적해요. 특히 해당 업체 특성 상 여러 지자체의 콜택시와 연계된 원격 시스템이 많아 허점 공략이 쉬웠을 거란 분석을 하고 있는대요. 이와 같은 원격 시스템은 한번 성공하면 전국 단위로 피해를 입힐 수 있어 협박에도 유리해요. 

    몸값을 지불하면 안된다고?
    최근 기업을 노리는 랜섬웨어가 급증하고 있어요. 해커들이 기업을 노리는 이유는 보다 쉽게 금전적 이득을 취할 수 있기 때문이에요. 기업 입장에서는 랜섬웨어로 인한 서비스 중단 피해가 해커의 금전적 요구보다 더 두렵기 때문이죠. 그러나 몸값을 지불하고도 데이터 복구에 실패하는 기업이 늘고 있어요. 델테크놀로지스가 시장조사업체 ESG와 함께 발간한 '철저한 대비가 필요한 랜섬웨어 방어'보고서에 따르면 설문에 참여한 기업의 절반 이상(56%)은 데이터 및 애플리케이션, 혹은 시스템에 다시 엑세스하기 위해 몸값을 지불했으나, 몸값을 지불한 기업 중 14%만 전체 데이터를 복구할 수 있었다고 답했어요.

    랜섬웨어 방어는 어떻게 해?

    랜섬웨어 공격이 증가하고 있음에도 데이터 백업 비율은 감소한 것으로 나타났어요. 이번 사태처럼 백업 데이터를 대상으로 한 랜섬웨어 공격이 증가하면서 데이터 백업을 강화해야 한다는 의견이 많아요.
    한국인터넷진흥원(KISA) 사이버침해대응본부에 의하면 상반기 랜섬웨어 공격을 받은 중소기업 중 데이터 백업을 한 비율은 31.3%에 불과해요. 상반기 랜섬웨어 피해신고를 한 기업은 중소기업 99개를 포함 총 117개이며, 99개 기업 중 별도 장비나 클라우드를 통해 데이터를 백업한 기업은 31개에 불과해요. 그러나 해커는 공격 효과를 높이기 위해 이번 사태처럼 백업 서버를 공격하는 경우도 36%에 이르렀다고 해요. 데이터를 정기적으로 백업하는 동시에 백업 보안 수준 또한 강화해야 효과를 극대화할 수 있다고 해요.

    <과거 관련 기사>
    "작년 기업 21%가 랜섬웨어 경험...43%는 운영에 심각한 영향 받아" (2022.06)
    63232_1644987697.png
    63232_1657699195.jpg
    63232_1644987697.png
    이번 주 뉴스레터는 어떠셨나요?
    솔직한 의견을 보내주세요!
    의견 보내기
    63232_1644987697.png
    63232_1644987386.png
    homepage2-snsC.pngfacebook-snsC.pnginstagram-snsC.pngchannel-snsC.png