개인정보보호위원회가 소셜로그인 서비스의 개인정보보호 관련 취약점을 점검하고 관련 사업자를 상대로 개선을 권고했다.
개인정보위는 지난 12일 전체회의를 열고 소셜 로그인 서비스를 제공하는 5개 사업자 네이버, 카카오, 구글, 메타, 애플에 대한 사전 실태 점검을 진행한 결과를 13일 발표했다.
소셜로그인은 포털·SNS 계정의 회원정보를 다른 웹사이트나 모바일 앱에 연동해 이용자가 손쉽게 로그인하는 방식으로 현재 50만개 가량의 국내 사이트에서 활용 중인 서비스다.
개인정보위는 이번 점검 결과 개인정보 제공 관련 법 위반 사항은 없는 것으로 파악했으나, 개인정보 파기와 관련해서는 개선점이 필요하다고 지적했다.
개인정보위에 따르면 모든 소셜로그인 사업자는 이용자가 사이트에서 탈퇴하는 경우 소셜로그인 접근 '토큰'을 삭제하도록 '토큰폐기(Token Revocation)' 기능을 제공하면서 개발자 문서 등을 통해 공개하고 있다.
하지만 개발자 문서에 포함된 정보가 방대하고 이 중 토큰폐기 기능에 대한 내용을 찾기 어려워 널리 활용되지 못하는 실정이다. 이에 개인정보위는 소셜로그인 사업자들에게 이용 사이트 측이 토큰폐기 기능을 쉽게 확인할 수 있도록 안내 방안을 확충할 것을 권고했다.
개인정보위 관계자는 "토큰은 소셜로그인 이용자 정보를 이용 사이트로 제공하기 위한 일종의 인증정보인데, 탈퇴자에 대한 토큰을 폐기하지 않으면 부정 이용 우려가 존재한다"고 말했다.
또한 모든 소셜로그인 사업자는 이용자가 소셜계정 설정화면에서 가입 중인 이용 사이트 목록을 조회하고 탈퇴를 원하는 사이트에 대해 '연동해지'하는 기능을 제공하고 있다. 이 연동해지 사실을 통보받으려면 관련 기능을 구현한 웹페이지를 별도로 마련해 그 인터넷 주소를 소셜로그인 연동 개발 단계에서 등록해 두어야 한다.
현재 이 기능은 5개 소셜로그인 서비스에서 모두 제공하고 있으나 카카오, 구글, 애플, 메타의 경우 실제 이용률이 낮게 나타나 이를 높일 대안을 강구하도록 개인정보위는 권고했다. 메타에는 이용자가 소셜계정 탈퇴시 모든 이용 사이트에 이 사실을 통보해 일괄 탈퇴 처리가 이뤄지도록 했다.
이날 회의에서 개인정보위는 구글(Chrome), 마이크로소프트(Edge), 모질라(Firefox) 등 주요 인터넷 브라우저 제공 사업자와 함께 자동로그인 서비스도 개선하기로 했다고 밝혔다.
자동로그인 서비스는 웹사이트에 한 번 로그인하면, 이후에는 자동으로 아이디와 비밀번호가 입력돼 별도 로그인 없이 웹사이트 이용할 수 있도록 지원하는 서비스를 말한다.
개인정보위에 따르면 모든 브라우저가 PC 등에 계정정보를 암호화해 저장하지만, 암호화 조치가 해제될 문제점이 있는 것으로 나타났다. 이 경우 악성코드 등으로 PC가 해킹되면 저장된 계정정보 탈취로 이어질 수 있다.
또한 해당 브라우저는 서버에 계정정보를 저장하고 이용자가 PC, 스마트폰 등 여러 기기에서 자동 로그인 기능을 사용할 수 있도록 지원하고 있는데, 이때 다수의 이용자가 일회용 비밀번호(OTP) 등 추가 인증수단을 설정하지 않고 아이디와 비밀번호만으로 브라우저에 로그인한다는 사실도 확인했다.
이에 따라 개인정보위는 운영체제(OS)가 제공하는 기존 계정정보 암호화 방식에 추가정보를 연결해서 강화된 암호방식을 적용하고, 암호화된 계정정보와 암호화 키는 분리해 저장하도록 했다.
개인정보위는 개인정보 유출로 인한 피해 예방을 위해서는 이용자도 계정 보안기능을 적극 활용할 필요가 있다고 강조했다.
한편 개인정보위는 개인정보보호 법규를 위반한 '섹타나인'에 대해 14억7700만원의 과징금과 720만원의 과태료를 부과하고 공표 명령도 의결했다. 섹타나인은 파리바게트, 베스킨라빈스 등 23개 브랜드의 가맹점에서 이용 가능한 해피포인트 멤버십 서비스 등을 운영하는 업체다.
앞서 신원 미상의 해커는 2022년 10월 섹타나인이 운영하는 해피포인트 앱을 해킹해 이용자 이름, 아이디, 성별, 생년, 해피포인트 카드번호 등 총 7585명의 개인정보를 탈취했다. 일부의 경우 해피포인트가 무단 사용되는 2차 피해가 발생했다. 이듬해도 해킹이 발생해 9762명의 개인정보가 추가로 유출됐다.
개인정보위는 "개인정보를 처리하는 사업자의 경우 운영중인 시스템에 대한 안전조치를 철저히 해야 한다"며 "사고가 이미 발생한 경우에는 재발방지 대책을 면밀히 수립해 유출사고가 재발하지 않도록 각별한 노력을 기울일 것"을 당부했다.
