300만원 과태료 부과 및 위반행위 시정할 것 의결

[보안뉴스 김정완] 방송통신위원회(위원장 최시중)는 3일, 제45차 전체회의를 개최해 애플코리아가 일부 사용자가 동의를 철회한 경우에도 위치정보를 수집한 행위에 대해서는 300만원의 과태료를 부과하고 애플코리아 및 구글코리아가 위치정보를 이용자의 휴대단말기에 암호화하지 않고 저장한 행위에 대해서는 위반행위를 시정할 것을 의결했다.

방통위는 스마트폰의 위치기반서비스 관련 애플 및 구글의 위치정보 수집·이용·제공에 대한 이용자 동의 획득여부 및 위치정보의 누출 등을 방지하기 위한 보호조치 등을 조사한 결과 애플의 경우 2010. 6. 22~2011. 5. 4(약 10개월) 기간 동안 이용자의 동의철회에도 불구하고 일부 아이폰으로부터 위치정보를 수집한 사항과 애플 및 구글의 경우 위치정보 캐쉬를 암호화하지 않고 휴대단말기 내에 저장하는 등 기술적 보호조치 일부가 미비한 사항을 확인했다.

방통위 조사결과에 따르면 애플은 위치정보의 수집·이용·제공 등에 관해 △이통사 가입신청서상 위치정보 관련 이용약관 △초기 아이폰 활성화시 소프트웨어 사용 계약서(SLA) △아이폰에서 위치기반 어플리케이션 최초 구동시 ‘현재 위치 확인’ 등으로 동의를 받고 있으나 2010. 6. 22~2011. 5. 4(약 10개월) 기간 동안 일부 아이폰의 경우 이용자가 위치서비스를 ‘끔’으로 설정했을 때에도 아이폰 주변의 기지국 및 WiFi AP 위치값을 서버로 전송하였고, 애플서버는 해당 Wi-Fi AP 및 기지국의 위경도 값을 아이폰으로 전송하는 등 위치정보 수집행위를 한 것으로 나타났다.

또한 애플은 본사(Apple Inc.)에서 관리하는 위치정보 DB는 위치정보법 제16조 및 동법 시행령 제20조의 암호화, 방화벽 설치 등 기술적 보호조치와 데이터센터에 대한 접근통제 등 관리적 보호조치를 하고 있음을 확인하였으나 위치정보사업의 효율성 등을 위해 위치정보 DB의 일부가 이용자의 휴대단말기에 캐쉬파일로 저장되도록 설계하면서 위치정보 캐쉬에 대해서는 암호화 조치를 하지 않은 것을 확인했다.

구글은 △초기 안드로이드폰 설정화면에서 위치정보 수집·이용·제공 관련 사항을 고지하고 동의를 받고 있으며, △위치기반 어플리케이션 설치시 위치정보 사용에 대한 사항을 고지하고 설치여부를 선택할 수 있도록 하고 있음을 확인하였으며 이용자는 ‘무선 네트워크 사용’에 체크표시를 해제함으로써 위치정보 수집 등에 대해 동의철회를 할 수 있고 이용자 동의철회시 어떤 위치서비스 관련 데이터도 구글 서버로 전송되지 않는 것으로 나타났다.

구글은 본사(Google Inc.)에서 관리하는 위치정보 DB는 위치정보법 제16조 및 동법 시행령 제20조의 암호화, 방화벽 설치 등 기술적 보호조치와 데이터센터에 대한 접근통제 등 관리적 보호조치를 하고 있음을 확인하였으나 구글은 애플과 마찬가지로 휴대단말기 내 위치정보 캐쉬에 대해 암호화 조치를 하지 않은 것으로 나타났다.

방통위는 애플 및 구글이 휴내단말기 내 위치정보 캐쉬를 암호화하지 않고 저장한 행위는 ① 위치정보 캐쉬가 암호화되지 않아 휴대단말기의 분실이나 해킹시 이용자의 위치궤적이 그대로 타인에게 노출 될 수 있는 등 프라이버시 침해 위험이 존재한다는 점, ② 위치정보 캐쉬는 이용자의 위치결정에 사용될 뿐만 아니라 인근의 기지국 및 WiFi AP의 최신 위치를 사업자 위치서버로 전송하는 등 사업자 서버와 유기적 연계되어 있으므로 위치정보시스템의 일부라는 점, ③ 위치정보 캐쉬가 휴대단말기 내부에 저장되기 때문에 인증, 식별 등 위치정보법 시행령에 열거된 모든 보호조치를 할 수 없다고 할지라도 캐쉬에는 사업자 서버와 동일한 내용이 저장되어 있어 누출 등을 방지하기 위한 암호화 조치가 반드시 필요한 점 등을 고려했을 때, 위치정보법 시행령 제20조 제2항 제2호의 위치정보시스템에의 권한 없는 접근을 차단하기 위한 암호화 조치의무 위반이라고 판단하였다.

이에 방통위는 애플코리아 및 구글코리아의 이러한 위치정보보호 법규 위반행위에 대하여 아래와 같이 시정요구 및 과태료를 부과하였다.

애플은 이용자 동의없는 위치정보수집(제15조제1항 위반)에 따라 법 제43조제2항 및 시행령 별표5 기준에 따라 과태료 300만원 부과했다.

또한 애플, 구글은 위치정보 암호화 의무 위반행위(제16조제1항 위반)에 따라 위치정보법 제13조제1항제4호 및 제14조제1항에 따라 사업정지 또는 위치정보사업 매출액의 3/100 이하의 과징금 부과가 가능하나 ①스마트폰에 저장된 위치정보에 대해서도 암호화 의무가 있는지에 대해 사업자가 사전에 인지하기 어려웠다고 판단되며 ②애플, 구글 모두 스마트폰에 저장된 위치정보에 대해서도 향후 암호화 조치를 취할 계획임을 발표하였으며 ③사업정지 처분시 이용자의 피해가 커 이에 갈음하는 과징금을 부과해야 하나 위치서비스가 무료로 제공되고 있어 관련 매출액에 근거한 과징금 부과시 처분의 실익이 없어 과징금 부과 대신 빠른 시일 내에 위법사항을 시정토록 하였다.

추가적으로 애플, 구글이 그동안 위치정보 수집방식 및 활용범위 등에 대해 이용자에게 충분한 정보제공을 하지 않아 이용자의 서비스 이용에 대한 불안을 초래했으므로 애플, 구글에 대해 새로운 위치정보 수집 및 활용방식 등에 대해 이용자가 이해할 수 있도록 충분한 정보를 제공할 것을 권고하였다.

방통위는 이번 조치를 통해 스마트폰 관련 위치정보사업자 및 위치기반서비스사업자(OS사업자, 제조사, 앱 개발자 등)가 새로운 서비스를 개발할 경우에도 위치정보보호 법규를 준수토록 유도하고 이로 인해 이용자들이 스마트폰의 위치기반서비스를 안심하고 사용할 수 있는 환경이 조성될 수 있도록 노력할 예정이다.

또한 방통위는 이번 시정요구가 잘 지켜질 수 있도록 모니터링을 지속적으로 실시하는 한편, 향후 스마트폰의 위치기반서비스 관련 위치정보보호 법규를 위반하는 사업자를 선별하여 조사하고 제재 조치를 할 계획이다.

추가적으로, 방통위는 향후 위치정보보호 법규 위반사업자에 대한 합리적인 제재가 가능하기 위해 다음과 같은 위치정보보호 법규 개선도 추진하겠다고 밝혔다.

① 법의 과태료 상한액을 높이고 위반행위로 인한 피해 범위 등을 고려하여 차등화된 처분이 가능하도록 시행령 개정

② 사업자들의 위치정보 보호조치에 대한 예측가능성을 높일 수 있도록 위치정보시스템의 정의 및 보호조치 적용범위를 구체화하고, 향후 새로운 서비스의 도입 가능성을 고려해 세부적인 보호조치 내용을 고시 등으로 하향 입법

③ 또한, 위치정보사업 또는 위치기반서비스사업 관련 매출액이 없는 경우에도 위치정보보호 법규 위반행위에 대한 과징금 처분이 가능하도록 정액 과징금 도입

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>