“회원가입 귀찮아” 무심코 눌렀다 생긴 일, 내 탓이라고?[박지영의 법치락뒤치락]

페이스북 소셜로그인 서비스 이용시
제3자 앱에 친구 개인정보 제공
2020년 개보위 67억 과징금
메타 불복 소송 1심·2심 패소

페이스북, 네이버, 카카오 등 기존 SNS 계정을 통해 제3자 앱과 서비스에 가입·로그인 하는 소셜로그인 서비스 예시. 사진은 기사 내용과 직접적인 관련 없음. [박지영 기자]

[헤럴드경제=박지영 기자] 새로운 앱을 하나 다운로드 받은 당신. 서비스를 이용하려면 회원가입이 필요하네요. 회원가입을 클릭하니 나오는 이름, 생년월일, 주민등록번호, 주소 입력창. 귀찮네요. 결국 ‘페이스북 계정으로 로그인하기’를 눌렀습니다. 몇 번 클릭만 하면 원래 가지고 있던 페이스북 아이디로 서비스를 쉽게 이용할 수 있으니까요.

이때 내 정보 뿐만 아니라 나와 페이스북 ‘친구’를 맺은 이들의 개인정보까지 앱에게 넘어갔다면 어떨까요? 단순히 친구 목록만 넘어간게 아니라 친구의 게시글, 정치관, 연애·결혼 상태 등까지 모두 넘어갔다면? 찝찝하지 않나요?

최근 법원이 소셜로그인 이용자의 친구 정보를 제3자 앱에 넘기도록 한 페이스북의 조치가 위법이라고 2차례에 걸쳐 확인했습니다. 페이스북 운영사인 메타는 친구 정보를 제공한 주체는 메타가 아니라 ‘이용자’라고 주장했지만 법원을 이를 받아들이지 않았습니다.

소셜로그인이란 페이스북, 네이버, 카카오톡 등 기존 가입된 서비스 계정으로 다른 앱이나 사이트에 로그인하는 것을 말합니다. 회원가입 절차에 비해 이용이 간편해 보편적으로 사용되고 있습니다.

소셜로그인 이용자 친구 330만명 정보 유출

지난 13일 서울고등법원 행정1-2부(부장 김종호·이승한·심준보)는 메타가 개인정보보호위원회(개보위)를 상대로 제기한 시정명령 등 처분 취소청구의 소송에서 원고 패소 판결했습니다. 지난해 10월 1심 재판부 서울행정법원 행정13부(부장 박정대)가 내린 결론과 동일합니다.

개인정보보호위원회는 2020년 11월 메타에게 67억원의 과징금 부과와 시정명령 처분을 내렸습니다. 메타가 소셜로그인 서비스를 제공하며 2012년 5월부터 2018년 6월까지 약 6년간 330만명의 개인정보를 위법하게 유출했다는 이유였습니다.

[로이터]

메타는 이용자가 소셜로그인을 할 때 제3자 앱에 로그인 이용자 뿐만 아니라 이용자가 페이스북에서 맺은 ‘친구’들의 개인정보까지 제공했습니다. 단순 프로필 정보 뿐만 아니라 가족 및 결혼·연애 상태, 학력 및 경력, 활동, 관심사, 종교관, 정치 성향 등 사실상 페이스북에 기재된 정보 전체였죠.

참고로 메타는 2015년 4월 30일부터 제3자 앱에 친구 개인정보가 제공되지 않도록 조치했다고 했지만, 개보위 조사 결과 68개 앱에 대해서는 2018년 6월까지 친구 정보가 제공된 것으로 나타났습니다.

법원 “정보 제공 주체는 이용자 아닌 메타”

메타는 개보위의 처분에 불복해 소송을 제기했습니다. 메타는 제3자 앱에 개인정보를 이전한 주체는 메타가 아닌 소셜로그인 서비스 이용자라고 주장했습니다.

메타-개보위 소셜로그인 소송 1심 판결문(23.10.26)

가. 원고 주장의 요지

이용자 친구의 개인정보가 제3자 앱에 이전되는 과정은 원고가 아니라 이용자가 주도한 것이다. 이용자는 페이스북 계정을 이용한 로그인 방식으로 제3자 앱에 가입해 이용할 것을 결정하고 ‘허가 요청’ 화면에서 ‘허가하기’를 선택해 정보 이전의 주도적인 의사결정을 했다. 친구는 자신의 개인정보를 페이스북 서비스를 통해 이용자에게 자발적으로 공유함으로써(친구의 ‘공개 범위 설정’에 따라) 이용자에게 그 정보를 재공유할 수 있는 권한을 부여한 것이다. 이는 원고의 데이터 정책, 권리 및 책임에 관한 정책(Statement of Right and Responsibilities·SRR) 등에 의해 충분히 고지됐다. 이용자는 제3자에게 재공유하는 것이 허용된 정보를 제3자 앱이 이전한 것 뿐이다. 반면에 원고는 (중략) 인터페이스를 개발·도입해 기술적인 지원을 한 것일 뿐이므로, 이 사건 쟁점조항의 주체가 될 수 없다.

쉽게 말해 친구 정보를 넘긴 것은 메타가 아니라 이용자라는 겁니다. 이용자가 소셜로그인 방식으로 가엽하려고 하면 메타는 ‘제3자 앱이 친구의 개인정보에 접근하는 것을 허가할 것인지’ 여부를 묻는 창을 띄우는데, 이를 본 이용자가 ‘허가하기’를 눌렀기 때문입니. 메타는 트위터(현 엑스) 이용자가 리트윗을 하거나, 이메일을 다른 사람에게 포워딩 하는 것과 같다고 주장했습니다.

하지만 법원은 메타의 주장을 받아들이지 않았습니다. 1심, 2심 모두 메타가 제3자 앱에 개인정보를 제공한 주체라고 판단했습니다. 메타 제재의 근거가 된 법은 구 정보통신망법 제24조의 2항입니다. 정보통신서비스 제공자가 이용자 개인정보를 제3자에게 제공하려면 이용자에게 알리고 동의를 받아야 합니다.

1심 재판부는 해당 조항을 적용해 제재를 하기 위해서는 ▷주체 요건 ▷행위 요건 ▷동의 요건 3가지를 충족시켜야 한다고 기준을 세웠습니다. 메타는 3가지 요건을 모두 충족시켜 제재가 정당하다고 판단했습니다. 주체 요건에 대해 보다 구체적으로 살펴보겠습니다.

메타-개보위 소셜로그인 소송 1심 판결문(23.10.26)

원고는 자신이 수집·관리하는 친구의 개인정보를 제3자 앱에게 제공되도록 하는 기술적 장치를 개발해 도입한 것에서 더 나아가 이용자가 페이스북 로그인 방식으로 제3자 앱에 가이하려고 할 때 친구 개인 정보의 제공에 관한 ‘허가하기’ 화면을 직접 제작해 노출시키는 등, 친구의 개인정보가 제3자 앱으로 이전되는 이 사건 정보이전 과정을 제3자 앱과 함께 적극적·체계적으로 주도했다. 원고의 주장과 같이 정보통신서비스 제공자가 사건 쟁점조항의 주체가 될 수 있는 경우를 ‘개인정보 제공을 주도하는 경우’로 엄격하게 해석하더라도, 원고는 여전히 이 사건 쟁점조항의 주체라고 봄이 타당하다.

1심 재판부는 “이용자는 간편하게 제3자 앱에 가입해 서비스를 이용하려는 것으로 친구의 개인정보까지 제3자 앱에 제공된다는 것을 예상하기는 어렵다”고 덧붙였습니다. 일반적인 이용자의 소셜로그인 목적을 감안하면, 친구 정보 제공은 과하다는 지적입니다.

2심 재판부는 한발 더 나아갔습니다. “원고가 정보통신서비스 제공자인 이상 특별한 사정이 없는 한 이 사건 쟁점조항의 주체 요건을 충족한다”고 했습니다. 구체적인 개인정보 제공 양상을 살펴볼 필요도 없다는 의미로 풀이됩니다.

내 정보가 왜 거기까지 넘어가? ‘정보주체’는 친구

메타는 친구 정보를 제3자에게 제공하려면 어떻게 해야 했을까요? 메타측은 친구에게 별도 동의를 받을 필요는 없다는 취지로 주장했습니다. 친구가 페이스북 서비스를 이용하면서 자신의 정보를 자발적으로 공유했고, 이를 통해 이용자가 친구의 정보를 재공유할 수 있다는 점은 페이스북의 정책으로 이미 고지했다는 갑니다.

법원 판단은 달랐습니다. 문제가 되는 정보이전의 정보 주체는 친구이기 때문에, 친구의 동의도 분명히 받아야 했다고 판단했습니다. 1심 재판부는 “공개된 개인정보도 보호대상이 되고, 개인정보를 스스로 공개한 경우에도 개인정보의 처리는 정보주체의 통제 하에 있어야 한다”고 했습니다.

정보통신서비스 제공자는 제3자에게 개인정보를 제공하려면 정보 주체에게 4가지를 알려야 합니다. ▷개인정보를 제공받는 자 ▷개인정보 이용 목적 ▷개인정보 항목 ▷개인정보 보유 및 이용 기간입니다. 이 4가지는 법으로 정해진 내용(법정 고지사항)이었습니다. 1심 재판부는 개인정보가 제3자에게 제공된다는 사실 뿐만 아니라 법정 고지사항을 인식할 수 있는지 여부까지 고려해야 한다고 봤습니다.

1심 재판부도 2심 재판부도 메타가 법정 고지사항을 친구에게 제대로 알렸다고 보기 어렵다고 판단했습니다.

메타-개보위 소셜로그인 소송 2심 판결문(24.9.13)

친구로서는 이용자의 ‘허가하기’ 선택에 따라 별도의 적법한 동의 내지 허락 절차를 거쳐 자신의 개인정보가 제3자 앱에 제공될 수도 있다는 점을 인식할 수 있었다고 볼 수는 있을지언정, 나아가 친구 자신의 아이디 이외에 바이오 정보, 기념일, 가족관계, 종교 및 정치관 등의 프로필 내용과 온·오프라인 현황 (중략) 페이스북을 사용하는 과정에서 자연스럽게 생성되는 개인정보까지 광범위하게 정보주체인 자신의 별도 동의 내지 허락 없이 제 3자 앱에 제공될 수 있음을 인식하리라 기대하기는 어려워 보인다. 이러한 개인정보들까지 제3자 앱에 제공되는 것이 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에 있다고 볼 수는 없다.

과징금 얼마 내야 할까?

메타는 과징금 액수에 대해서도 불만을 가졌습니다. 설사 모든 것을 인정한다 해도 ‘개인정보 제3자 제공’을 통해 발생한 수익을 기준으로 과징금을 산정해야 한다는 것이죠. 개보위는 국내에서 발생하는 메타의 전체 매출액을 기준으로 산정했습니다.

법원은 개보위의 손을 들어줬습니다. 메타의 수익이 ‘개인정보’에서 오기 때문에 특정 서비스 제공뿐만 아니라 개인정보 보유·관리 전체를 과징금의 기준으로 봐야한다는 겁니다.

메타-개보위 소셜로그인 소송 1심 판결문(23.10.26)

제3자 앱에 제공된 개인정보는 페이스북 사용자들의 정보가 담긴 데이터베이스에서 유출된 것이다. 개인정보는 페이스북 서비스의 전체적인 운영을 위해 수집·관리되는 정보다. 그렇다면 과징금 산정을 위한 관련 매출액도 개인정보 데이터베이스를 보유·관리하는 서비스인 페이스북 서비스 전체의 매출액으로 봐야 한다. (중략) 제3자 앱에 제공된 친구 개인정보를 보유·관리하는 것은 페이스북 서비스 전체이므로, 위반행위로 인해 영향을 받는 범위가 페이스북 로그인 서비스로 한정된다고 볼 수 없다. 나아가 원고의 매출은 주로 페이스북 사용자들이 서비스를 통해 공유한 개인정보를 이용해 광고주들로부터 대가를 수령하고 맞춤형 광고를 보게 함으로써 발생하는 이상, 서비스 자체가 무료로 제공된다는 사실은 매출액 산정과 별다른 관련이 없다.

메타와 개보위의 이번 소송 영향은 67억원에 그치지 않습니다. 메타는 이외에도 개보위와 과징금 308억원짜리 소송을 진행 중입니다. 페이스북이 이용자의 타사 행태 정보를 위법하게 수집했다며 개보위가 부과한 처분입니다. 같은 이유로 구글은 무려 692억원 과징금을 부과받았고 역시 불복해 소송을 제기 중입니다.

개인정보 제공 주체, 제공 방식에 따른 책임, 위반 행위에 부과되는 과징금 부과 기준 등 많은 소송이 이번 재판과 쟁점이 유사합니다. 글로벌 SNS와 개보위의 쫓고 쫓기는 추격전, 다음 번에는 어떤 결과가 나올까요?

park.jiyeong@heraldcorp.com