메타, 페이스북 및 인스타그램 비밀번호를 일반 텍스트로 저장한 혐의로 9,100만 유로 벌금 부과

아일랜드 데이터 보호 위원회(DPC)는 메타 플랫폼스 아일랜드 리미티드(MPIL)에 대해 수억 개의 사용자 비밀번호를 내부적으로 일반 텍스트로 저장한 혐의로 9,100만 유로(1억 달러)의 벌금을 부과했습니다.

또한 이 문제에 대해 회사에 경고를 발령했습니다.

2019년 3월, 메타는 DPC에 특정 페이스북 사용자 비밀번호를 내부 시스템에 일반 텍스트로 잘못 저장했다고 통보했습니다. 즉, 암호화 보호나 암호화 없이 저장된 것입니다. 당시 사건을 공개적으로 인정하기도 했습니다.

“1월의 정기 보안 검토의 일환으로, 일부 사용자 비밀번호가 내부 데이터 저장 시스템 내에서 읽을 수 있는 형식으로 저장되고 있음을 발견했습니다. 이는 우리의 로그인 시스템이 비밀번호를 읽을 수 없도록 만드는 기술을 사용하여 마스킹하도록 설계되었기 때문에 주목을 받았습니다.”라고 메타는 2019년 3월 뉴스 릴리스에서 밝혔습니다.

회사는 이 문제로 영향을 받은 사용자 수를 공개하지 않았지만, “수억 명의 페이스북 라이트 사용자, 수천만 명의 다른 페이스북 사용자,” 및 “수백만 명의 인스타그램 사용자”에게 통지할 것이라고 추정했습니다.

당시 메타는 비밀번호가 외부 당사자에게 제공되었거나 내부적으로 남용되거나 부적절하게 접근되었다는 증거는 발견되지 않았다고 밝혔습니다.

메타의 사건 공개 이후, DPC는 2019년 4월 회사의 비밀번호 저장 관행을 조사하여 MPIL의 유럽연합 일반 데이터 보호 규정(GDPR) 준수 여부를 평가했습니다.

특히, 이 기술 대기업은 GDPR의 네 가지 다른 조항을 위반했으며, 여기에는 개인 데이터 유출에 대해 DPC에 통지하지 않은 것, 사용자 비밀번호를 일반 텍스트로 저장하는 것과 관련된 개인 데이터 유출 문서화, 사용자 비밀번호 데이터를 무단 처리로부터 보호하기 위한 적절한 기술적 또는 조직적 조치를 사용하지 않은 것, 사용자 비밀번호의 지속적인 기밀성을 보장하기 위한 적절한 기술적 및 조직적 조치를 활용하지 않은 것이 포함됩니다.

“사용자 비밀번호는 이러한 데이터에 접근하는 사람들로부터 발생하는 남용 위험을 고려할 때 ‘일반 텍스트’로 저장되어서는 안 된다는 것이 널리 받아들여지고 있습니다. 이 사건에서 고려되는 비밀번호는 특히 민감하며, 사용자들의 소셜 미디어 계정에 접근할 수 있게 해줍니다.”라고 DPC의 부위원장 그레이엄 도일이 성명에서 말했습니다.

DPC는 또한 뉴스 릴리스에서 “GDPR은 데이터 처리 시 서비스 사용자에 대한 위험 및 데이터 처리의 성격과 같은 요소를 고려하여 데이터 관리자에게 적절한 보안 조치를 구현할 것을 요구합니다. 보안을 유지하기 위해 데이터 관리자는 처리에 내재된 위험을 평가하고 이러한 위험을 완화하기 위한 조치를 구현해야 합니다.”라고 밝혔습니다.

위의 GDPR 위반에 대한 응답으로 DPC는 메타에 대해 9,100만 유로(1억 달러)의 벌금을 부과하고 GDPR 제58조(2)(b)에 따라 경고를 발령했습니다. 이 기관은 사건과 관련된 전체 정보 및 추가 정보를 적절한 시기에 발표할 예정입니다.

DPC의 벌금에 대한 반응으로 메타는 AP와 공유한 성명에서 “우리는 이 오류를 수정하기 위해 즉각적인 조치를 취했으며, 이러한 비밀번호가 남용되거나 부적절하게 접근되었다는 증거는 없습니다. 우리는 이 문제를 우리의 주요 규제 기관인 아일랜드 데이터 보호 위원회에 사전적으로 알렸으며, 이 조사 전반에 걸쳐 그들과 건설적으로 협력해왔습니다.”라고 밝혔습니다.