페이스북의 해킹 피해 확인 페이지(www.facebook.com/help/securitynotice?ref=sec). 위 화면이 나타날 경우 해킹 피해를 입지 않았다는 뜻. 사진=페이스북 홈페이지 갈무리
페이스북의 해킹 피해 확인 페이지(www.facebook.com/help/securitynotice?ref=sec). 위 화면이 나타날 경우 해킹 피해를 입지 않았다는 뜻. 사진=페이스북 홈페이지 갈무리

[뉴스로드] 페이스북에서 최근 벌어진 해킹사태로 수천만명의 개인정보가 유출된 가운데, 국내 사용자들도 약 3만 명 이상 피해를 입은 것으로 확인됐다. 연이은 개인정보 유출 사태로 페이스북에 대한 신뢰도가 떨어지고 있지만, 국내법상 강력한 처벌은 어려울 것으로 예상된다.

12일(현지시간) 페이스북은"2017년 7월~2018년 9월 발생한 해킹 공격으로 사용자 3000만명의 '액세스 토큰(Access token)'이 탈취당했다"고 밝혔다. 당초 5000만명으로 예상됐던 것에 비하면 피해 규모가 줄어든 셈. 하지만 페이스북에 따르면 피해자  중 약 1400만명의 경우 전화번호나 이메일같은 간단한 정보 외에도 연락처, 성별, 언어, 종교를 비롯해 로그인정보, 검색기록, 사용 기기 등에 대한 구체적인 정보까지 노출된 것으로 확인됐다.

방송통신위원회는 14일(한국시간) 이번 사태로 유출된 한국인 페이스북 계정수가 약 3만4891개라고 밝혔다. 이중 1만8856명은 기본정보 외에도 성별, 지역, 종교 등 특정 프로필 정보가 추가 유출됐으며, 412명은 친구 목록, 최근 메시지, 타임라인 게시물 등의 정보도 노출된 것으로 알려졌다.

페이스북의 대규모 개인정보 유출 사태는 이번이 처음은 아니다. 지난 3월에는 뉴욕타임스(NYT) 등이 페이스북에서 약 5000만명 규모의 개인정보가 유출됐다고 보도해 논란이 된 바 있다. 특히 이 사태는 도널드 트럼프 미국 대통령의 대선캠프와 선거캠페인을 위해 2016년 고용했던 영국 데이터조사업체 케임브리지 애널리티카가 연관된 것으로 알려져 큰 충격을 줬다. 이들은 수집한 페이스북 계정 정보를 사용해 개별 유권자에게 최적화된 선거캠페인을 펼친 것으로 알려졌다.

이번 사태는 지난 3월 벌어진 사태에 비해 규모는 작은 편이지만 개인정보가 유출된 경로는 다르다. 케임브리지 애널리티카 사태의 경우 페이스북이 지난 2010년 출시한 개발자용 프로그램(Open Graph API)에 페이스북 사용자의 정보를 쉽게 수집할 수 있는 기능을 추가하면서 불거졌다. 페이스북 사용자가 해당 프로그램을 활용한 앱에 자신의 정보를 사용할 권한을 허용할지 결정할 수 있지만, 해당 권한을 승인하는 페이지를 눈에 잘 띄지 않게 배치하면서 문제가 된 것. 이 때문에 해당 프로그램을 사용한 설문조사앱을 통해 대규모의 개인정보가 유출됐고, 케임브리지 애널리티카는 해당 정보를 통해 유권자 선호도를 분석한 뒤 맞춤 선거광고를 전달할 수 있었다.

반면 이번 사태의 경우 외부 해커가 액세스 토큰을 덮어쓰는 방식으로 약 40만개 계정을 탈취한 뒤, 이를 통해 약 2900만개의 계정 정보를 유출시키는 방식으로 진행됐다. 액세스토큰은 이미 인증된 유저를 식별하기 위한 문자열로, 해당 사용자가 성공적으로 자기 계정이 로그인했다는 일종의 확인서다. 이를 사용해 페이스북 이용자들은 매번 비밀번호를 입력하지 않고도 로그인 상태를 유지할 수 있다. 해커들은 지난 2017년 7월부터 페이스북의 ‘타임라인 미리보기’ 기능을 사용해 액세스토큰을 확보해온 것으로 알려졌다.

올해 들어 두 번이나 수천만명 규모의 개인정보 유출 사태를 당하게 된 페이스북이지만 국내법 상 처벌 수위는 그리 크지 않을 것으로 예상된다. 정보통신망법에 따르면 인터넷 서비스 사업자에게 부과할 수 있는 과징금은 매출액의 최대 3% 수준. 하지만 지난 국정감사에서도 드러났듯이 구글, 페이스북 등 해외 IT 기업들은 자세한 재무정보를 공개하기를 거부해왔다. 실제로 방통위는 지난 2014년 구글이 스트리트뷰 촬영 과정에서 개인정보를 불법수집했다는 혐의로 2억1230만원의 과징금을 부과했다. 구글의 2017년 국내 매출 규모가 약 5조원 가량으로 추측되고 있다는 점을 고려할 때,  2억원 수준의 과징금은 처벌로 보기 어렵다는게 중론이다.

유럽연합은 이번 개인정보 유출사태의 책임을 물어 페이스북에 최대 16억3000만 달러의 과징금을 부과할 것으로 예상된다. 월스트리트저널(WSJ)이 지난 1일 보도한 바에 따르면 유럽연합이 지난 5월 제정한 일반개인정보보호법(GDPR)에 따르면 무단 개인정보 유출의 경우 직전 회계연도 전 세계 매출액의 4%까지 과징금을 부과할 수 있다. 페이스북의 지난해 매출을 고려하면 최대 16억3000만달러의 과징금이 가능하지만, 실제 처벌 수위는 향후 조사과정을 지켜봐야 할 것으로 보인다.

한편 국내 피해자들도 페이스북을 상대로 손해배상 등 소송을 검토 중이다. 소비자주권시민회의 등 시민단체는 "개인 정보 유출로 인한 피해 사례를 면밀히 검토한 후에 법적 대응을 준비할 계획이다"라고 밝혀 귀추가 주목된다.

 

저작권자 © 뉴스로드 무단전재 및 재배포 금지