애플코리아는 위치 정보 수집 시 사용자가 동의를
철회했음에도 불구하고 관련 자료를 수집한 행위에 대해 과태료 조치를 받게 되었다.
방송통신위원회는 지난 3일, 제45차 전체회의를 열고 애플코리아가 일부 사용자가 동의를 철회한 경우에도 위치 정보를 수집한 행위에 대해서는 300만원의 과태료를 부과하고, 애플코리아 및 구글코리아가 위치 정보를 이용자의 휴대 단말기에 암호화하지 않고 저장한 행위에 대해서는 위반행위를 시정할 것을 의결하였다.
방송통신위원회의 조사 결과, 애플의 경우 지난해 6월 22일부터 올해 5월 4일까지 이용자의 동의철회에도 불구하고 일부 아이폰으로부터 위치정보를 수집한 사항과 애플 및 구글의 경우 위치정보 캐쉬를 암호화하지 않고 휴대단말기 내에 저장하는 등 기술적 보호조치 일부가 미비한 사항을 확인하였다.
▲ 아이폰의 '위치정보' 관련 메뉴
방통위 조사결과에 따르면 애플은 위치정보의 수집·이용·제공 등에 관해 이통사 가입신청서상 위치정보 관련 이용약관, 초기 아이폰 활성화 시 소프트웨어 사용 계약서, 아이폰에서 위치기반 어플리케이션 최초 구동 시 '현재 위치 확인' 등으로 동의를 받고 있으나, 해당 기간 동안 일부 아이폰의 경우 이용자가 위치서비스를 '끔'으로 설정했을 때에도 아이폰 주변의 기지국 및 WiFi AP 위치값을 서버로 전송하였고, 애플서버는 해당 Wi-Fi AP 및 기지국의 위경도 값을 아이폰으로 전송하는 등 위치정보 수집행위를 한 것으로 나타났다.
또한 애플은 본사(Apple Inc.)에서 관리하는 위치정보 DB는 위치정보법 제16조 및 동법 시행령 제20조의 암호화, 방화벽 설치 등 기술적 보호조치와 데이터센터에 대한 접근통제 등 관리적 보호조치를 하고 있음을 확인하였으나, 위치정보사업의 효율성 등을 위해 위치정보 DB의 일부가 이용자의 휴대단말기에 캐쉬파일로 저장되도록 설계하면서 위치정보 캐쉬에 대해서는 암호화 조치를 하지 않은 것을 확인하였다.
구글은 초기 안드로이드폰 설정화면에서 위치정보 수집·이용·제공 관련 사항을 고지하고 동의를 받고 있으며 위치기반 어플리케이션 설치 시 위치정보 사용에 대한 사항을 고지하고 설치 여부를 선택할 수 있도록 하고 있음을 확인하였으며, 이용자는 '무선 네트워크 사용'에 체크 표시를 해제함으로써 위치정보 수집 등에 대해 동의 철회를 할 수 있고, 이용자 동의 철회 시 어떤 위치서비스 관련 데이터도 구글 서버로 전송되지 않는 것으로 나타났다.
구글은 본사(Google Inc.)에서 관리하는 위치정보 DB는 위치정보법 제16조 및 동법 시행령 제20조의 암호화, 방화벽 설치 등 기술적 보호조치와 데이터센터에 대한 접근통제 등 관리적 보호조치를 하고 있음을 확인하였으나, 구글은 애플과 마찬가지로 휴대단말기 내 위치정보 캐쉬에 대해 암호화 조치를 하지 않은 것으로 나타났다.
위치정보의 보호 및 이용 등에 관한 법률(이하 '위치정보법') 제15조 제1항은 개인 또는 소유자의 동의를 얻지 아니하고 당해 개인 또는 이동성 있는 물건의 위치정보를 수집·이용·제공하는 행위를 금지하고 있으나,애플의 경우 아이폰 이용자가 설정 등을 통해 위치서비스를 끔으로써 동의철회를 했음에도 불구하고 아이폰 인근의 기지국 및 WiFi AP의 위치를 위치정보 캐쉬에 지속적으로 업데이트하여 이동성 있는 물건의 소유자(사용자)의 동의없는 위치정보 수집을 금지하고 있는 위치정보법 제15조 제1항을 위반하였다.
또한, 위치정보법 제16조 제1항은 ‘위치정보의 누출, 변조, 훼손 등을 방지하기 위해 방화벽의 설치나 암호화 소프트웨어의 활용 등의 기술적 조치’를 의무화하고 있으며, 동법 시행령 제20조 제2항에서는 기술적 조치에 ’위치정보시스템에의 권한없는 접근을 차단하기 위한 암호화·방화벽 설치 등의 조치‘ 등을 규정하고 있다.
애플 및 구글이 휴내단말기 내 위치정보 캐쉬를 암호화 하지 않고 저장한 행위는 위치정보 캐쉬가 암호화 되지 않아 휴대단말기의 분실이나 해킹 시 이용자의 위치 궤적이 그대로 타인에게 노출 될 수 있는 등 프라이버시 침해 위험이 존재한다.
위치정보 캐쉬는 이용자의 위치 결정에 사용될 뿐 아니라 인근의 기지국 및 WiFi AP의 최신 위치를 사업자 위치 서버로 전송하는 등 사업자 서버와 유기적으로 연계가 되어 있어 위치정보 시스템의 일부다. 위치정보 캐쉬가 휴대단말기 내부에 저장되기 때문에 인증, 식별 등 위치정보법 시행령에 열거된 모든 보호조치를 할 수 없다고 할지라도 캐쉬에는 사업자 서버와 동일한 내용이 저장되어 있어 누출 등을 방지하기 위한 암호화 조치가 반드시 필요하다.
결과적으로 이는 위치정보법 시행령 제20조 제2항 제2호의 위치정보시스템에의 권한 없는 접근을 차단하기 위한 암호화 조치의무 위반이다.
방송통신위원회는 애플코리아 및 구글코리아의 이러한 위치정보보호 법규 위반행위에 대하여 다음과 같이 조치하기로 결정했다.
위치정보법 제13조제1항제4호 및 제14조제1항에 따라 사업정지 또는 위치정보사업 매출액의 3/100 이하의 과징금 부과가 가능하나, 스마트폰에 저장된 위치정보에 대해서도 암호화 의무가 있는지에 대해 사업자가 사전에 인지하기 어려웠다고 판단되며, 애플, 구글 모두 스마트폰에 저장된 위치정보에 대해서도 향후 암호화 조치를 취할 계획임을 발표하였으며, 사업정지 처분 시 이용자의 피해가 커 이에 갈음하는 과징금을 부과해야 하나, 위치서비스가 무료로 제공되고 있어 관련 매출액에 근거한 과징금 부과시 처분의 실익이 없어 과징금 부과 대신 빠른 시일 내에 위법사항을 시정토록 하였다.
추가적으로, 애플, 구글이 그동안 위치정보 수집방식 및 활용범위 등에 대해 이용자에게 충분한 정보제공을 하지 않아 이용자의 서비스 이용에 대한 불안을 초래했으므로 애플, 구글에 대해 새로운 위치정보 수집 및 활용방식 등에 대해 이용자가 이해할 수 있도록 충분한 정보를 제공할 것을 권고하였다.
방송통신위원회는 이번 조치를 통해 스마트폰 관련 위치정보사업자 및 위치기반서비스사업자(OS사업자, 제조사, 앱 개발자 등)가 새로운 서비스를 개발할 경우에도 위치정보보호 법규를 준수토록 유도하고, 이로 인해 이용자들이 스마트폰의 위치기반서비스를 안심하고 사용할 수 있는 환경이 조성될 수 있도록 노력할 예정이다.
또한, 방송통신위원회는 이번 시정요구가 잘 지켜질 수 있도록 모니터링을 지속적으로 실시하는 한편, 향후 스마트폰의 위치기반서비스 관련 위치정보보호 법규를 위반하는 사업자를 선별하여 조사하고 제재 조치를 할 계획이다.
추가적으로, 방송통신위원회는 향후 위치정보보호 법규 위반사업자에 대한 합리적인 제재가 가능하기 위해 법의 과태료 상한액을 높이고 위반행위로 인한 피해 범위 등을 고려하여 차등화된 처분이 가능하도록 시행령을 개정하며, 사업자들의 위치정보 보호조치에 대한 예측가능성을 높일 수 있도록 위치정보시스템의 정의 및 보호조치 적용범위를 구체화하고, 향후 새로운 서비스의 도입 가능성을 고려해 세부적인 보호조치 내용을 고시 등으로 하향 입법하고, 또한, 위치정보사업 또는 위치기반서비스사업 관련 매출액이 없는 경우에도 위치정보보호 법규 위반행위에 대한 과징금 처분이 가능하도록 정액 과징금 도입하기로 위치정보보호 법규 개선도 추진하겠다고 밝혔다.
*.방송통신위원회 보도자료
IT조선 이진 기자 miffy@chosunbiz.com
<
상품전문 뉴스채널 'IT조선(it.co.kr)' >