2019.07.26

미 정부가 강제한 페이스북의 새로운 개인정보 제약의 의미

Mark Hachman | PCWorld
미국 연방통상위원회(FTC)가 페이스북에 50억 달러라는 기록적인 벌금을 부과했지만 얼굴 인식과 전화번호, 두 가지를 제외하면, 페이스북의 탐욕스러운 사용자 데이터 수집 관행에 제동이 걸릴 가능성은 별로 없다. 대신 페이스북과 FTC 간의 합의는 페이스북에서 서드파티 개발사로 사용자 데이터가 흘러 들어가는 것을 막는 데 초점을 둔다.
 
페이스북은 지난 수요일 FTC 명령에 따라 50억 달러의 벌금을 내고 20년 간의 감시 프로그램에 따르는 데 동의했다. 사용자 개인정보 보호에 관한 2012년 FTC 지시를 이행하지 않은 데 따른 처분이다. 많은 이들이 지적했듯이 50억 달러의 벌금은 2019년 1분기에만 150억 달러의 수익을 거둔 페이스북에는 솜방망이 처벌이다. 
 
FTC가 강제할 변화 중 상당수는 구조적인 변화이며 이러한 변화가 페이스북의 사업 방식에 미칠 영향을 정확히 예측하기는 어렵다. 가장 중대한 변화는 회사 이사회가 선임하는 독립적인 개인정보보호 위원회 구성일 것이다. 위원회 위원은 이사회 자체의 과반수 이상의 찬성이 있을 경우에만 해임이 가능하다. 최고경영자인 마크 주커버그가 개인적으로 페이스북 지분의 과반을 소유해 회사를 지배하고 있음을 감안하면 중대한 변화다.
 
또한 페이스북은 개인정보보호 규정 준수 담당자도 선임해야 하며 각 담당자는 이사회의 개인정보보호 위원회 승인을 받아야 한다. 개인정보보호 담당자는 FTC 명령의 시행을 책임지며 FTC에 분기마다 페이스북이 명령을 준수하고 있다는 증명서를 제출한다. 주커버그와 개인정보보호 위원회는 매년 1회 FTC의 연간 점검도 받아야 한다.
 

페이스북의 얼굴 인식 사용에 따르는 조건

FTC: 페이스북은 얼굴 인식 기술 사용에 관한 명확한 고지를 눈에 잘 띄게 제공해야 하며, 이전에 사용자에게 알린 범위를 실질적으로 초과하여 이 기술을 사용할 경우 사전에 명시적인 사용자 동의를 받아야 한다.
 
페이스북 사용자에게 가장 즉각적으로 미치는 직접적인 영향은 얼굴 인식 및 전화번호와 관련된 부분이다. 이에 관한 세부적인 배경 정보는 페이스북이 합의한 벌금 외에 부가적인 민사상 처분을 위해 미국 사법부(DOJ)가 페이스북을 상대로 제기한 별도의 소송에 나와 있다.
 
페이스북은 얼굴 인식을 사용해서 사진에서 사람들을 “태그”한다. 이 소셜 기능 외에 페이스북에 따르면 다른 사람이 사용자가 포함된 사진을 (본인 동의 없이) 업로드할 경우에도 얼굴 인식 기술을 통해 이를 사용자 본인에게 알린다고 한다. 또한 페이스북은 계정 인증 과정에서도 사진을 사용해서 본인 여부를 확인한다.
 
그러나 페이스북에서 이는 간단한 문제가 아니다. DOJ는 소송에서 페이스북이 얼굴 인식 기능을 켜도록 사용자를 유인하는 데 사용한 단계적인 방법에 문제를 제기했다. 사법부가 문제시한 부분은 페이스북이 3,000만 명의 기존 사용자를 대상으로 사실상 동의 없이 얼굴 인식을 활성화했으며, 추가로 3,000만 명의 신규 사용자들 역시 동의를 받지 않고 얼굴 인식이 활성화됐다는 점이다.
 
확실치 않은 점은 FTC의 새로운 명령이 지난 수요일 페이스북을 상대로 별도의 소송을 제기한 DOJ의 요구사항도 충족할지 여부다. 또한 사용자가 이미 선택한 얼굴 인식을 페이스북이 어떻게 처리할지, 그리고 페이스북이 얼굴 인식 기술의 “실질적인” 새로운 용도에 대해 얼만큼 사전에 사용자의 동의를 받아야 하는지도 아직 확실치 않다.
 

페이스북의 전화번호 사용에 따른 조건

FTC: 입수한 전화번호를 광고를 위한 보안 기능(예를 들어 이중 요소 인증)을 구현하는 데 사용하는 것은 금지된다.
 
페이스북은 2015년에서 2018년 사이 전화번호로 코드 문자를 전송하는 방법을 포함한 2중 요소 인증을 등록하도록 사용자들을 독려했다. DOJ에 따르면 당시 페이스북이 사용자에게 밝히지 않은 점은 이렇게 페이스북으로 넘어간 전화번호가 광고주에게도 전달된다는 점이다. 광고주와의 공유 사실을 알리지 않은 채 2FA를 위해 사용자에게 전화번호를 요구하는 페이스북의 행태는 비교적 최근인 2018년 11월까지 계속됐다.
 
FTC는 이 부분에 대해서는 별 말이 없는 상황이라 앞으로 이 행태도 금지될지, 과거에 했던 부분까지 되돌려야 할지 등에 대해서는 알 수 없다.
 

페이스북이 준수해야 할 사용자 비밀번호 관리 방법

FTC: 페이스북은 사용자 비밀번호를 암호화하고 정기적으로 검사해 일반 텍스트로 저장된 비밀번호가 있는지 여부를 확인해야 한다. 소비자가 페이스북 서비스에 가입할 때, 페이스북은 다른 서비스의 이메일 비밀번호를 요청할 수 없다.
 
페이스북은 지난 4월 수억 개의 비밀번호가 암호화되지 않은 형태로 페이스북 서비스 내에 내부 개발자가 접근할 수 있는 상태로 저장되어 있다고 공개했다. FTC는 이러한 관행에 종지부를 찍고자 한다.
 
또한 FTC 합의문은 페이스북이 “포괄적인 데이터 보안 프로그램을 수립, 시행, 유지”할 것도 요구한다. 
 

페이스북이 사용자 데이터를 광고주에게 넘기기 위한 조건

FTC: 페이스북은 서드파티 앱을 더 철저히 감독해야 한다. 여기에는 페이스북의 플랫폼 정책을 준수함을 입증하지 못하거나 특정 사용자 데이터의 필요성을 정당화하지 못한 앱 개발사를 해고하는 것이 포함된다.
 
이번 합의 판결에서 FTC의 주된 목적은 페이스북이 사용자 데이터를 서드파티 광고주에게 판매하는 관행을 감독하는 것이다. 여기서도 사용자 데이터를 수집하는 페이스북의 실질적 역량을 제한하는 것과 관련된 내용은 없다. (FTC는 지난 수요일 “디스이즈유어디지털라이프(thisisyourdigitallife)” 앱의 개발사인 캠브리지 애널리티카(Cambridge Analytica)를 상대로도 소송을 제기했다고 밝혔다. 이 앱은 2014년경 페이스북 사용자의 개인정보를 수집하지 않는다고 주장한 후 실제로는 수집한 혐의를 받고 있다.)
 
FTC와 DOJ 모두 페이스북이 수집한 사용자 및 사용자 친구들에 관한 데이터를 어떻게 이용하는지 사용자에게 밝히지 않았다는 점을 문제로 지적했다.
 
페이스북은 2014년 4월 서드파티 앱 개발자가 사용자의 페이스북 친구들에 관한 데이터를 수집하도록 허용하는 관행을 중단하겠다고 발표했다. 그러나 FTC는 페이스북이 비공개적으로 개발자들에게 페이스북 플랫폼에 앱이 있다면 2015년 4월까지는 데이터를 수집할 수 있다는 말을 했다고 주장했다. 또한 페이스북은 기자들에게는 앱이 친구 데이터에 액세스할 수 있도록 허용하는 이른바 ‘그래프 API V1’을 폐기했으며, 대신 서드파티 개발자가 이 데이터에 액세스하지 못하도록 차단하는 그래프 API V2를 사용할 것이라고 말했다. 그러나 DOJ에 따르면 페이스북이 누구에게도 말하지 않은 것은 “화이트리스트”에 포함된 20개 이상의 개발사가 여전히 그래프 API V1과 사용자 친구 데이터에 액세스할 수 있었다는 점이다.
 
이 데이터에는 “사용자의 약력, 생일, 가족 및 관계, 웹사이트, 상태 업데이트, 사진, 비디오, 링크, 메모, 고향, 현재 거주지, 학력, 경력, 활동, 관심사, ‘좋아요’ 내역, 앱 활동, 온라인 상태”가 포함된다. DOJ에 따르면 이 데이터가 모두 서드파티 앱 개발자에게 전달됐다.
 
소송에서 DOJ는 “일부 경우 앱이 친구에 관한 데이터를 요청한 횟수는 앱의 월별 활성 사용자 수를 훨씬 초과하기도 했다. 예를 들어 감사에서 드러난 한 앱의 경우 4억 5,000만 회 이상 데이터를 요청했다. 이는 앱 월별 활성 사용자 수의 약 33배에 해당한다”고 주장했다.
 
FTC는 서드파티 앱이 사용자 데이터의 필요성을 “정당화”할 수 있는지 여부를 결정하는 데 있어 페이스북에 얼마간의 재량권을 부여한 것으로 보인다. 그러나 DOJ 소송에 따르면 페이스북은 페이스북에서 25만 달러 이상을 지출한 앱 개발자에 대해서만 데이터의 필요성을 확인했다. 따라서 재량권 부여에는 일부 문제의 소지가 있다.
 
결과적으로 무엇이 바뀌는가? 감독 위원회가 마련된다는 점 외에는 명확하지 않다. 주커버그는 페이스북에 개인정보 보호를 약속하는 또 다른 글을 올렸다. 주커버그는 “우리는 사람들의 개인정보를 보호할 책임이 있다. 이미 이 책임을 성실히 이행하기 위해 노력하고 있지만 이제부터 업계 전체를 위한 완전히 새로운 기준을 정립할 것”이라고 썼다.
 

합의 내용으로 충분한가?

재무적인 측면에서 이번에 부과된 벌금이 페이스북에 미칠 영향은 기껏 한두 분기 정도에 그친다. 얼마 전 예정된 합의문이 공개되자 페이스북의 주가는 오히려 올랐다.
 
FTC 합의가 3-2 투표로 결정됐으며 반대한 두 위원은 완강히 반대했다는 점을 상기할 필요가 있다. 로힛 초프라 위원은 이번 합의문이 페이스북 경영진에 “광범위한 면책권”을 부여하며 큰 변화를 일으키지도 못할 것”이라고 주장했다. 초프라는 “이 명령은 페이스북이 적절한 기록을 남기는 한 사용자로부터 얼만큼의 정보를 수집할지, 이 정보로 무엇을 할지 알아서 결정하도록 허용한다”고 비판했다. editor@itworld.co.kr 


2019.07.26

미 정부가 강제한 페이스북의 새로운 개인정보 제약의 의미

Mark Hachman | PCWorld
미국 연방통상위원회(FTC)가 페이스북에 50억 달러라는 기록적인 벌금을 부과했지만 얼굴 인식과 전화번호, 두 가지를 제외하면, 페이스북의 탐욕스러운 사용자 데이터 수집 관행에 제동이 걸릴 가능성은 별로 없다. 대신 페이스북과 FTC 간의 합의는 페이스북에서 서드파티 개발사로 사용자 데이터가 흘러 들어가는 것을 막는 데 초점을 둔다.
 
페이스북은 지난 수요일 FTC 명령에 따라 50억 달러의 벌금을 내고 20년 간의 감시 프로그램에 따르는 데 동의했다. 사용자 개인정보 보호에 관한 2012년 FTC 지시를 이행하지 않은 데 따른 처분이다. 많은 이들이 지적했듯이 50억 달러의 벌금은 2019년 1분기에만 150억 달러의 수익을 거둔 페이스북에는 솜방망이 처벌이다. 
 
FTC가 강제할 변화 중 상당수는 구조적인 변화이며 이러한 변화가 페이스북의 사업 방식에 미칠 영향을 정확히 예측하기는 어렵다. 가장 중대한 변화는 회사 이사회가 선임하는 독립적인 개인정보보호 위원회 구성일 것이다. 위원회 위원은 이사회 자체의 과반수 이상의 찬성이 있을 경우에만 해임이 가능하다. 최고경영자인 마크 주커버그가 개인적으로 페이스북 지분의 과반을 소유해 회사를 지배하고 있음을 감안하면 중대한 변화다.
 
또한 페이스북은 개인정보보호 규정 준수 담당자도 선임해야 하며 각 담당자는 이사회의 개인정보보호 위원회 승인을 받아야 한다. 개인정보보호 담당자는 FTC 명령의 시행을 책임지며 FTC에 분기마다 페이스북이 명령을 준수하고 있다는 증명서를 제출한다. 주커버그와 개인정보보호 위원회는 매년 1회 FTC의 연간 점검도 받아야 한다.
 

페이스북의 얼굴 인식 사용에 따르는 조건

FTC: 페이스북은 얼굴 인식 기술 사용에 관한 명확한 고지를 눈에 잘 띄게 제공해야 하며, 이전에 사용자에게 알린 범위를 실질적으로 초과하여 이 기술을 사용할 경우 사전에 명시적인 사용자 동의를 받아야 한다.
 
페이스북 사용자에게 가장 즉각적으로 미치는 직접적인 영향은 얼굴 인식 및 전화번호와 관련된 부분이다. 이에 관한 세부적인 배경 정보는 페이스북이 합의한 벌금 외에 부가적인 민사상 처분을 위해 미국 사법부(DOJ)가 페이스북을 상대로 제기한 별도의 소송에 나와 있다.
 
페이스북은 얼굴 인식을 사용해서 사진에서 사람들을 “태그”한다. 이 소셜 기능 외에 페이스북에 따르면 다른 사람이 사용자가 포함된 사진을 (본인 동의 없이) 업로드할 경우에도 얼굴 인식 기술을 통해 이를 사용자 본인에게 알린다고 한다. 또한 페이스북은 계정 인증 과정에서도 사진을 사용해서 본인 여부를 확인한다.
 
그러나 페이스북에서 이는 간단한 문제가 아니다. DOJ는 소송에서 페이스북이 얼굴 인식 기능을 켜도록 사용자를 유인하는 데 사용한 단계적인 방법에 문제를 제기했다. 사법부가 문제시한 부분은 페이스북이 3,000만 명의 기존 사용자를 대상으로 사실상 동의 없이 얼굴 인식을 활성화했으며, 추가로 3,000만 명의 신규 사용자들 역시 동의를 받지 않고 얼굴 인식이 활성화됐다는 점이다.
 
확실치 않은 점은 FTC의 새로운 명령이 지난 수요일 페이스북을 상대로 별도의 소송을 제기한 DOJ의 요구사항도 충족할지 여부다. 또한 사용자가 이미 선택한 얼굴 인식을 페이스북이 어떻게 처리할지, 그리고 페이스북이 얼굴 인식 기술의 “실질적인” 새로운 용도에 대해 얼만큼 사전에 사용자의 동의를 받아야 하는지도 아직 확실치 않다.
 

페이스북의 전화번호 사용에 따른 조건

FTC: 입수한 전화번호를 광고를 위한 보안 기능(예를 들어 이중 요소 인증)을 구현하는 데 사용하는 것은 금지된다.
 
페이스북은 2015년에서 2018년 사이 전화번호로 코드 문자를 전송하는 방법을 포함한 2중 요소 인증을 등록하도록 사용자들을 독려했다. DOJ에 따르면 당시 페이스북이 사용자에게 밝히지 않은 점은 이렇게 페이스북으로 넘어간 전화번호가 광고주에게도 전달된다는 점이다. 광고주와의 공유 사실을 알리지 않은 채 2FA를 위해 사용자에게 전화번호를 요구하는 페이스북의 행태는 비교적 최근인 2018년 11월까지 계속됐다.
 
FTC는 이 부분에 대해서는 별 말이 없는 상황이라 앞으로 이 행태도 금지될지, 과거에 했던 부분까지 되돌려야 할지 등에 대해서는 알 수 없다.
 

페이스북이 준수해야 할 사용자 비밀번호 관리 방법

FTC: 페이스북은 사용자 비밀번호를 암호화하고 정기적으로 검사해 일반 텍스트로 저장된 비밀번호가 있는지 여부를 확인해야 한다. 소비자가 페이스북 서비스에 가입할 때, 페이스북은 다른 서비스의 이메일 비밀번호를 요청할 수 없다.
 
페이스북은 지난 4월 수억 개의 비밀번호가 암호화되지 않은 형태로 페이스북 서비스 내에 내부 개발자가 접근할 수 있는 상태로 저장되어 있다고 공개했다. FTC는 이러한 관행에 종지부를 찍고자 한다.
 
또한 FTC 합의문은 페이스북이 “포괄적인 데이터 보안 프로그램을 수립, 시행, 유지”할 것도 요구한다. 
 

페이스북이 사용자 데이터를 광고주에게 넘기기 위한 조건

FTC: 페이스북은 서드파티 앱을 더 철저히 감독해야 한다. 여기에는 페이스북의 플랫폼 정책을 준수함을 입증하지 못하거나 특정 사용자 데이터의 필요성을 정당화하지 못한 앱 개발사를 해고하는 것이 포함된다.
 
이번 합의 판결에서 FTC의 주된 목적은 페이스북이 사용자 데이터를 서드파티 광고주에게 판매하는 관행을 감독하는 것이다. 여기서도 사용자 데이터를 수집하는 페이스북의 실질적 역량을 제한하는 것과 관련된 내용은 없다. (FTC는 지난 수요일 “디스이즈유어디지털라이프(thisisyourdigitallife)” 앱의 개발사인 캠브리지 애널리티카(Cambridge Analytica)를 상대로도 소송을 제기했다고 밝혔다. 이 앱은 2014년경 페이스북 사용자의 개인정보를 수집하지 않는다고 주장한 후 실제로는 수집한 혐의를 받고 있다.)
 
FTC와 DOJ 모두 페이스북이 수집한 사용자 및 사용자 친구들에 관한 데이터를 어떻게 이용하는지 사용자에게 밝히지 않았다는 점을 문제로 지적했다.
 
페이스북은 2014년 4월 서드파티 앱 개발자가 사용자의 페이스북 친구들에 관한 데이터를 수집하도록 허용하는 관행을 중단하겠다고 발표했다. 그러나 FTC는 페이스북이 비공개적으로 개발자들에게 페이스북 플랫폼에 앱이 있다면 2015년 4월까지는 데이터를 수집할 수 있다는 말을 했다고 주장했다. 또한 페이스북은 기자들에게는 앱이 친구 데이터에 액세스할 수 있도록 허용하는 이른바 ‘그래프 API V1’을 폐기했으며, 대신 서드파티 개발자가 이 데이터에 액세스하지 못하도록 차단하는 그래프 API V2를 사용할 것이라고 말했다. 그러나 DOJ에 따르면 페이스북이 누구에게도 말하지 않은 것은 “화이트리스트”에 포함된 20개 이상의 개발사가 여전히 그래프 API V1과 사용자 친구 데이터에 액세스할 수 있었다는 점이다.
 
이 데이터에는 “사용자의 약력, 생일, 가족 및 관계, 웹사이트, 상태 업데이트, 사진, 비디오, 링크, 메모, 고향, 현재 거주지, 학력, 경력, 활동, 관심사, ‘좋아요’ 내역, 앱 활동, 온라인 상태”가 포함된다. DOJ에 따르면 이 데이터가 모두 서드파티 앱 개발자에게 전달됐다.
 
소송에서 DOJ는 “일부 경우 앱이 친구에 관한 데이터를 요청한 횟수는 앱의 월별 활성 사용자 수를 훨씬 초과하기도 했다. 예를 들어 감사에서 드러난 한 앱의 경우 4억 5,000만 회 이상 데이터를 요청했다. 이는 앱 월별 활성 사용자 수의 약 33배에 해당한다”고 주장했다.
 
FTC는 서드파티 앱이 사용자 데이터의 필요성을 “정당화”할 수 있는지 여부를 결정하는 데 있어 페이스북에 얼마간의 재량권을 부여한 것으로 보인다. 그러나 DOJ 소송에 따르면 페이스북은 페이스북에서 25만 달러 이상을 지출한 앱 개발자에 대해서만 데이터의 필요성을 확인했다. 따라서 재량권 부여에는 일부 문제의 소지가 있다.
 
결과적으로 무엇이 바뀌는가? 감독 위원회가 마련된다는 점 외에는 명확하지 않다. 주커버그는 페이스북에 개인정보 보호를 약속하는 또 다른 글을 올렸다. 주커버그는 “우리는 사람들의 개인정보를 보호할 책임이 있다. 이미 이 책임을 성실히 이행하기 위해 노력하고 있지만 이제부터 업계 전체를 위한 완전히 새로운 기준을 정립할 것”이라고 썼다.
 

합의 내용으로 충분한가?

재무적인 측면에서 이번에 부과된 벌금이 페이스북에 미칠 영향은 기껏 한두 분기 정도에 그친다. 얼마 전 예정된 합의문이 공개되자 페이스북의 주가는 오히려 올랐다.
 
FTC 합의가 3-2 투표로 결정됐으며 반대한 두 위원은 완강히 반대했다는 점을 상기할 필요가 있다. 로힛 초프라 위원은 이번 합의문이 페이스북 경영진에 “광범위한 면책권”을 부여하며 큰 변화를 일으키지도 못할 것”이라고 주장했다. 초프라는 “이 명령은 페이스북이 적절한 기록을 남기는 한 사용자로부터 얼만큼의 정보를 수집할지, 이 정보로 무엇을 할지 알아서 결정하도록 허용한다”고 비판했다. editor@itworld.co.kr 


X