모바일 앱이나 인터넷 웹 사이트에 별도 회원가입 없이 간편하게 접속할 수 있는 ‘소셜 로그인' 기능이 개인정보를 제3자에게 과도하게 넘기거나 이용자 동의 절차가 미흡한 문제가 있는 것으로 나타났다. 특히 페이스북은 제3자에게 제공하는 개인정보 항목이 70개에 달했다.
정보통신망법 제24조의 2는 개인정보를 제3자에게 제공하려는 자는 개인정보를 제공받는 자, 이용 목적, 개인정보 항목, 개인정보 보유 및 이용 기간을 고지하고 동의를 받도록 명시하고 있다.
방통위 점검 결과, 서비스별로 ▲소셜 로그인 사용 업체에 과도한 개인정보 제공 ▲개인정보 제공에 대한 이용자 동의 절차 부적정 ▲소셜 로그인 사용 업체에 대한 관리 소홀 등의 문제가 있다고 판단해 업체별로 자발적 제도 개선을 요청했다.
소셜 로그인 사용 업체에 개인정보를 가장 많이 제공한 곳은 페이스북이었다. 페이스북은 최대 70개에 달하는 개인정보를 제공하면서도 제공되는 개인정보의 구체적인 항목을 이용자에게 밝히지 않고 있었다. 또 소셜 로그인 사용 업체의 개인정보 이용 목적이나 보유 기간 등에 대한 고지도 하지 않았다.
구글은 3개의 개인정보만 제공하지만, 페이스북과 마찬가지로 소셜 로그인 사용 업체의 개인정보 이용 목적 및 보유 기간 등에 대해 명시적으로 고지하지 않은 것으로 조사됐다.
네이버는 업체를 대상으로 사전 검수를 거쳐 최대 7개 항목을 제공하면서 개인정보 제공 항목 중 필수 항목과 선택 사항을 명시적으로 분류하지 않고 동의 항목을 체크로 기본 설정해 이용자에게 제공했다.
카카오는 최대 5개 항목을 사용 업체에 제공하면서 사전 검수 시스템을 도입하지 않았고, 사용 업체가 요청만 하면 소셜 로그인이 가능하도록 하고 있었다.
네이버는 방통위의 개선 요구에 선택적 사항을 기본 동의로 설정한 화면을 올해 말까지 개선하겠다고 밝혔다. 카카오는 9월 말까지 사용 업체 이상행위 등에 대한 사후관리를 강화하고, 내년 6월부터는 소셜 로그인 신청 업체에 대한 사전 검수 시스템을 도입할 계획이라고 답했다.
반면, 해외 업체인 구글과 페이스북은 자체 개선 계획을 밝히지 않은 상태다. 방통위는 구글과 페이스북의 개인정보 제3자 제공 시 정보통신망법 위반 여부에 대해 법적 검토 및 필요 시 추가 조사 등을 진행할 계획이다.
방통위는 또 이번 점검 결과를 바탕으로 소셜 로그인 제공 업체와 사용 업체, 이용자를 대상으로 소셜 로그인 활용 수칙을 마련해 배포하는 등 개인정보 침해 위험 없이 소셜 로그인 서비스를 안전하게 활용할 수 있도록 지원하겠다는 방침이다.