GN⁺: Meta, 비밀번호를 평문으로 저장해 $102m(1330억원) 벌금 부과

• 아일랜드 데이터 보호 위원회(DPC)는 2019년 보안 침해 사건에 대한 조사를 마친 후 Meta에 1억 1백 5십만 달러(9천 1백만 유로)의 벌금을 부과함
• Meta는 원래 2019년 1월 자사 서버에 일부 사용자 비밀번호가 평문으로 저장된 사실을 발표했음
• 한 달 후, 수백만 개의 Instagram 비밀번호도 쉽게 읽을 수 있는 형식으로 저장되었다고 업데이트함
• Meta는 몇 개의 계정이 영향을 받았는지 밝히지 않았으나, 당시 한 고위 직원은 _Krebs on Security_에 최대 6억 개의 비밀번호가 관련되었다고 언급함
• 일부 비밀번호는 2012년부터 회사 서버에 평문으로 저장되었으며, 2만 명 이상의 Facebook 직원이 검색할 수 있었음
• DPC는 외부 당사자에게는 비밀번호가 제공되지 않았음을 확인함
• DPC는 Meta가 여러 GDPR 규칙을 위반했다고 판단함
  • 사용자 비밀번호 평문 저장과 관련된 개인 데이터 침해를 지체 없이 DPC에 통보하지 않음
  • 사용자 비밀번호 평문 저장과 관련된 개인 데이터 침해를 문서화하지 않음
  • 사용자 비밀번호의 무단 처리에 대한 보안을 보장하기 위한 적절한 기술적 조치를 사용하지 않음
• DPC의 부국장 Graham Doyle은 "사용자 비밀번호는 평문으로 저장되지 않아야 하며, 이는 특히 소셜 미디어 계정 접근을 가능하게 하는 민감한 정보임을 고려해야 한다"고 언급함
• DPC는 벌금 외에도 Meta에 경고를 주었으며, 위원회가 최종 결정을 발표할 때 Meta에 어떤 영향을 미칠지 더 알 수 있을 것임

GN⁺의 의견

• 이번 사건은 대형 기술 기업들의 개인정보 보호 관행에 경종을 울리는 계기가 될 것임. 사용자 데이터를 안전하게 관리하는 것이 얼마나 중요한지를 다시 한번 일깨워줌
• 메타는 이번 일을 계기로 보안 시스템을 대대적으로 점검하고 개선해야 할 것임. 암호화 등 기술적 조치 뿐 아니라 직원 교육, 내부 감사 등 조직적 차원의 노력도 필요해 보임
• GDPR 위반에 대한 과징금 수준이 갈수록 높아지고 있음. 기업들은 GDPR을 비롯한 각국의 개인정보보호법을 철저히 준수하는 것이 리스크 관리 차원에서도 중요함을 인식해야 함
• 한편, 이번 사건에서 드러난 보안 취약점이 실제 악용된 정황은 확인되지 않았음. 그럼에도 메타가 거액의 과징금을 물게 된 것은, 문제의 심각성과 관련 규정 위반의 정도가 크다고 판단되었기 때문으로 보임
• 암호 관리와 관련해서는 평문 저장 외에도 솔트/해시 사용, 강력한 암호 정책 적용 등 다양한 보안 조치가 요구됨. 기업들은 전사적 차원에서 체계적인 암호 관리 정책을 마련하고 엄격히 적용할 필요가 있음