GDPR(유럽연합 개인정보보호 규정)을 적용받지 않는 페이스북(Facebook) 데이터 유출
※ 기사 [Facebook data leak could be outside scope of GDPR]
https://www.computerweekly.com/news/252498884/Facebook-data-leak-could-be-outside-scope-of-GDPR
※ 국내 관련 기사
- 더 팩트, 페이스북 5억3000만 명 개인정보 유출...한국인도 12만명 (http://news.tf.co.kr/read/world/1852143.htm)
- 데일리 시큐, 유출된 페이스북 이용자 정보, 사이버공격에 악용될 위험 커 (https://www.dailysecu.com/news/articleView.html?idxno=122913)
- ZDNet Korea, 페이스북 “5억3천만명 정보 유출, 해킹사고 아냐” (https://zdnet.co.kr/view/?no=20210408132252)
- YTN, 페이스북 “2019년 9월 이전 5억 3천만명 개인정보 ‘추출’ 당해” (https://www.ytn.co.kr/_ln/0104_202104071235369191)
프로필 이름(profile names), 휴대폰 번호 및 위치 데이터를 포함하여 약 5억 3,300만 명의 사용자에 대한 데이터 유출이 발생된 소셜 미디어 플랫폼에 대한 규제 조치에 대한 논의가 촉발되었다. 그러나 GDPR(유럽연합 개인정보보호 규정, 이하 GDPR)에 따라 유출 사례를 처리하는 것은 가능하지 않을 것 같다. 아일랜드 데이터 보호 위원회(Ireland’s Data Protection Commission, 이하 DPC)에 따르면-아일랜드에서 페이스북이 상당히 성행했기 때문에 발생된 사건에 대한 조사를 일찍 시작했지만-데이터 유출 시기(data age)는 GDPR의 시행 이전이었다.
DPC는 다음과 같이 설명했다. 2019년과 2018년에 페이스북 웹사이트의 대규모 데이터 추출(scraping, 이하 스크래핑)이 공개되었는데, 이에 대해 페이스북은 2017년 6월부터 2018년 4월까지 폰 검색 기능(phone lookup functionality)의 취약점을 차단하면서 스크래핑이 발생했다고 밝혔다. GDPR 시행 이전에 스크래핑이 발생했기 때문에, 페이스북은 이를 GDPR에 따른 개인 데이터 침해로 통보하지 않기로 결정했다. DPC는 페이스북의 데이터셋은 제3자에 의해 수집된 것으로, 잠재적으로 여러 출처에서 수집된 것으로 판단된다며 추가 조사가 필요하다고 말했다. 페이스북은 데이터셋 유출과 관련하여 전적으로 협력하고 있는 것으로 파악된다. GDPR은 EU 법에 따라 2,000만 유로(€20m) 또는 연간 매출의 4%에 해당하는 과징금을 부과하고, 영국 법에 따라 17.5백만 파운드(£ 17.5m) 또는 연간 매출의 4% 중 더 큰 과징금을 부과한다. 미국에서는 캘리포니아 프라이버시 규정(California’s benchmark privacy regulations)에 따라 법무부 장관이 위반 1건당 2,500달러의 벌금을 부과할 수 있다. 만약 부과된다면, 벌금은 수십억 달러에 이를 수 있다.
카스퍼스키(Kaspersky)의 최고 비즈니스 책임자 알렉산드로 모이세프(Alexander Moiseev)는 페이스북 사용자들에게 소셜 미디어 플랫폼에 제공하는 정보에 대해 더 주의 할 것을 권고했다. 알렉산드로 모이세프는 “인터넷에 자신에 대한 다른 정보를 남기는 데 익숙할 수 있지만, 우리가 정말로 공개하고 싶은 것과 그렇지 않은 것은 구분해야 한다”고 말했다. “그렇기 때문에 피싱(phishing)*, 소셜 엔지니어링(social engineering)** 또는 계정 침입을 통한 계좌 탈취(account takeovers)***에 대해 데이터가 잘못 표시되는 경우 데이터를 어떻게 사용할 수 있는지 이해하는 것이 중요하다. 또한 이러한 상황이 발생한 경우 장치에 대한 전용 보호 기능을 준비하고 사용하는 것이 중요하다.”
* 피싱(phishing) : 전자 우편이나 메신저를 사용해서 믿을 만한 사람이나 기업이 보낸 것처럼 가장하여, 비밀번호나 신용 카드 정보와 같이 기밀을 유지해야 하는 정보를 부정하게 얻으려는 수법
** 소셜 엔지니어링(social engineering) 공격 : 시스템에 침입하는데, 기술적인 해킹 기법을 사용하는 대신 사람의 심리를 악용해 시스템 또는 데이터, 건물에 대한 출입 권한을 확보하는 기술
*** 계정 침입을 통한 계좌 탈취(account takeovers) : 컴퓨터 자동 프로그램으로 타인의 계정에 접속하여 계좌의 돈을 탈취하는 신원 도용 금융 범죄
- 첨부파일
- 이미지 [메인사진]국가생명윤리정책원.PNG (43.7KB / 다운로드 59)