메타, GDPR 위반으로 1억 달러 벌금 부과
최근 몇 년 간 온라인 보안의 중요성이 점점 더 부각되고 있는 가운데, 메타 플랫폼스 아일랜드 리미티드(MPIL)가 인스타그램과 페이스북 사용자들의 암호를 평문으로 저장해왔다는 사실이 밝혀졌다. 이와 같은 사실은 2019년 처음 공개되었으며, 당시 메타는 수백만 개의 암호가 암호화되지 않은 평문으로 저장되었다고 데이터 보호 위원회(DPC)에 인정했다.
5년 간의 조사 끝에 1억 150만 달러 벌금
DPC의 5년간 조사 후, 메타의 아일랜드 운영부서는 유럽의 일반 데이터 보호 규정(GDPR)을 위반한 혐의로 1억 150만 달러(약 91백만 유로)의 벌금을 부과받았다. 메타는 이 암호들이 회사 외부로 유출되지 않았다고 주장했으나, 2,000명의 엔지니어가 해당 사용자 데이터베이스에 대해 9백만 건의 조회를 했다고 인정했다.
GDPR 위반 항목:
- 제33조 1항 – 사용자 암호의 평문 저장과 관련된 개인정보 유출을 DPC에 통지하지 않음
- 제33조 5항 – 사용자 암호의 평문 저장과 관련된 개인정보 유출을 문서화하지 않음
- 제5조 1항 (f) – 사용자 암호의 무단 처리에 대한 적절한 보안 조치를 시행하지 않음
- 제32조 1항 – 위험에 적합한 보안 수준을 보장하기 위한 기술적 및 조직적 조치를 시행하지 않음
DPC 부국장인 그레이엄 도일은 "평문으로 암호를 저장하는 것은 남용의 위험성이 크기 때문에, 사용자 암호는 평문으로 저장해서는 안 된다"고 강조했다.
비미국 사용자 대상
DPC의 이번 결정에 따라 메타는 GDPR 제58조 2항(b)에 따라 경고 조치를 내리게 되며, 앞서 언급된 91백만 유로의 벌금을 지불해야 한다. 이번 결정은 비미국 사용자들의 암호만을 대상으로 하고 있으며, 메타는 2019년 CNN에 대부분의 평문 암호가 느린 인터넷 연결 속도를 고려해 설계된 Facebook Lite 서비스의 것이라고 밝혔다.
메타는 페이스북, 메신저, 인스타그램 그리고 왓츠앱을 소유하고 있다.
출처 : 원문 보러가기