페이스북 정보 유출과 관련된 손해배상 소송의 서막이 올랐다. 진보네트워크와 법무법인 지향은 서울중앙지방법원에 페이스북을 상대로 손해배상을 청구하는 소장을 접수할 계획을 밝혔다. 지난 4월 페이스북을 상대로 개인정보 자기결정권(자기통제권) 침해에 대해 집단분쟁 조정을 신청한 데 이어, 2차로 공동소송을 제기하는 것이다. 

이번 소송에 참여한 인원은 90명 안팎이다. 진보네트워크와 법무법인 지향은 5월 31일까지 소송단을 모집해 자료를 취합했다. 이승우 변호사(법무법인 지향)는 이번 사건의 성격을 묻는 질문에 지난 홈플러스 사건과 크게 다르지 않다고 설명했다. 

깨알고지 논란의 중심 홈플러스
홈플러스는 지난 2011년 12월부터 2014년 6월까지 경품행사 등을 통해 고객정보를 수집했다. 수집된 개인정보는 약 712만건. 홈플러스는 수집한 고객정보를 보험사 7곳에 팔아 148억원의 부당이득을 챙겼다. 또 2011년 12월부터 2014년 8월까지 고객 동의 없이 개인정보를 라이나생명(약 765만건)과 신한생명(약 253만건)에 넘기고 사후 동의를 받은 경우는 건당 2800원을 받아 83억 5000여만원의 부당이득을 챙겼다.

홈플러스는 응모권 뒷면에 ‘개인정보는 보험상품 안내 등을 위한 마케팅자료로 활용된다’는 점을 고지했다고 항의했지만, 이런 내용이 1㎜ 크기의 작은 글씨로 적혀있어 ‘깨알고지’라는 논란이 일었다. 

2015년 6월 개인정보 유출 피해자 김 씨 등 1067명은 “홈플러스가 2011∼2014년 경품행사로 모은 개인정보와 패밀리카드 회원정보 2400만여건을 보험사에 팔아 개인정보를 침해당했다”며 1인당 30만원씩 배상하라는 손해배송 소송을 냈다.

서울중앙지법 민사합의31부(김정운 부장판사)는 2018년 1월, 1인당 5만∼30만원씩 총 8365만원을 배상하라는 원고 일부 승소 판결을 냈다. 홈플러스로부터 개인정보를 산 라이나생명보험과 신한생명보험도 배상액 중 각각 485만원과 1120만원을 부담하라고 판결했다. 

재판부는 “홈플러스가 경품행사를 통해 거짓이나 부정한 방법으로 개인정보를 수집해 이를 보험사에 판매한 행위, 제3자 정보제공에 동의하지 않은 사람들의 개인정보를 보험사에 제공한 행위는 개인정보의 자기결정권을 침해한 불법행위”라고 규정했다. 

학력부터 가족관계까지 제3자에 넘어가
세계 최대 SNS 페이스북(Facebook)의 정보 유출 사건은 2015년으로 거슬러 올라간다. 가디언의 기자 해리 데이비스(Harry Davies)가 2015년 12월 데이터 분석기업 케임브리지 애널리티카(영국, 런던)가 SNS 사용자들의 개인 데이터를 불법적으로 사용했음을 보도한 이후 의혹이 거듭됐다. 2018년 3월, 케임브리지 애널리티카의 전 직원 크리스토퍼 와일리(Christopher Wylie)가 내부고발자로 나서면서 페이스북 정보 유출 문제가 수면 위로 떠올랐다. 케임브리지 애널리티카가 정치 광고를 위해 페이스북 이용자 정보를 수집한 의혹이 사실로 드러나면서 미국 연방거래위원회(FTC)가 조사에 착수했고, 국내에서도 개인정보보호위원회(개인정보위)가 조사에 착수, 국내 페이스북 이용자의 정보가 다른 사업자에게 제공된 사실을 밝혀냈다.  

페이스북 이용자는 다른 앱/웹 서비스 이용 시 페이스북을 통해 로그인할 수 있다. 페이스북은 프로그램 간 상호작용을 돕는 인터페이스(매개체)인 Graph API V1 프로그램을 사용했는데, 이용자가 페이스북 로그인을 통해 제3자 앱에 가입할 때, 앱 사용자는 물론 그 사용자의 페이스북 친구 개인정보가 제3의 개발자에게 함께 제공되도록 Graph API V1을 운영한 사실이 드러났다. 이 과정에서 페이스북은 이용자의 페이스북 친구에게 개인정보 제공에 대한 동의를 받지 않았다. 제3의 사업자에게 제공된 정보에는 학력, 경력, 출신지, 가족, 결혼 및 연애상태, 관심사 등이 포함된 것으로 드러났다.

6년 동안 최소 330만명 정보 유출
국내 페이스북 이용자의 피해 규모를 확정짓긴 어려웠다. 페이스북이 정확한 자료를 제출하지 않았기 때문이다. 개인정보위 조사를 통해 2012년 5월부터 2018년 6월까지 약 6년간 국내 페이스북 이용자 1800만명 중 최소 330만명의 개인정보가 당사자들의 동의 없이 다른 사업자(광고, 쇼핑, 음악 등의 앱을 통해 제휴 서비스를 제공하는 IT 업체)에 무단으로 제공된 사실이 밝혀졌다. 페이스북 이용자가 직접 제휴 서비스를 사용한 경우뿐 아니라, 당사자들과 페이스북 친구 관계에 있는 이용자가 사용하는 제휴 서비스 업체에도 당사자의 개인정보가 제공됐다. 

조사 과정에선 페이스북 태도가 논란이 됐다. 개인정보위가 요구한 증빙자료를 20개월이 지난 후에야 제출해 위법 기간을 확정짓는데 혼란을 초래하는가 하면 개인 동의 없이 제3자에게 제공된 페이스북 친구 수를 명확하게 파악할 수 있음에도 이용자 수만 제출하고 친구 수를 제출하지 않아 위반 행위 규모를 파악하는 데 애를 먹었다.  

개인정보위가 본 페이스북 위반 내용은 크게 네 가지다. ▲당사자의 동의를 받지 않고 개인정보를 제3자에게 제공한 행위(과징금 67억원, 시정조치 명령) ▲이용자의 비밀번호를 암호화 조치하지 않고 평문으로 저장한 행위(과태료 1000만원) ▲이용자에게 연 1회 이상 주기적으로 개인정보 이용내역을 통지하지 않은 행위(과태료 5000만원) ▲위원회가 요구한 조사 관련 자료를 거짓으로 제출하거나 자료를 제출하지 않은 행위(과태료 600만원) 등이다. 특히 제3자 정보 제공 행위에 대해선 사안의 중대함과 거짓 자료 제출 등 조사를 방해하는 행위가 반복되지 않도록 고발 조치했다. 

이후로도 페이스북 정보 유출은 논란거리였다. 지난 4월 로이터 통신, BBC 코리아 등은 페이스북 이용자 5억 3300여만명의 개인정보가 유출됐다는 사건을 보도했다. 여기에 우리나라 이용자 12만명도 포함됐다. 페이스북은 보안 패치가 적용되기 전인 2019년에 유출된 데이터라고 해명했지만 IT 보안 전문가들은 이전에 유출된 자료라고 해서 악용되지 말라는 법은 없다고 지적했다. 이 자료에는 이름은 물론 생일, 연락처, 거주지, 이메일 주소 등이 포함된 것으로 밝혀졌다. 실상 페이스북이 개인정보 유출 문제를 방관하고 있는 것이나 다름없다는 비판이 나오는 대목이다.   

한편 이번 소송의 배상규모는 1인당 50만원 정도가 될 전망이다. 피해 금액의 규모를 떠나 이번 소송은 개인이 거대 정보 기업을 상대로 손해배상 소송을 제기함으로써 기업이 개인정보자기결정권을 침해하는 사례가 밝혀지면 개인이 정당한 주장을 해나갈 수 있는 실마리를 제공한다는 점에서 의미가 크다. 다만 판결까지는 시간이 다소 걸릴 전망이다. 소송대리인 이승우 변호사는 “페이스북 정보가 유출된 사실 자체를 부인하기는 어렵다”며 “다만 페이스북이 배상을 늦추기 위해 차일피일 시간을 끌 가능성이 높다”고 말했다.

박지연 기자 다른기사 보기