방통위, 애플 및 구글의 위치정보보호 법규 위반행위에 대해 시정요구 및 과태료 부과
기사입력 2011-08-03 17:50 최종편집 경남우리신문
작성자 안기한 기자
본문
0
방송통신위원회(위원장 최시중)는 3일(수) 제45차 전체회의를 개최하여 (유)애플코리아가 일부 사용자가 동의를 철회한 경우에도 위치정보를 수집한 행위에 대해서는 300만원의 과태료를 부과하고, (유)애플코리아 및 (유)구글코리아가 위치정보를 이용자의 휴대단말기에 암호화하지 않고 저장한 행위에 대해서는 위반행위를 시정할 것을 의결했다.▲ 애플이 일부 이용자의 동의철회에도 불구하고 위치정보를 수집한 행위에 대해 과태료 300만원 부과
▲ 애플 및 구글이 위치정보를 이용자의 휴대단말기 내에 암호화하지 않고 저장한 행위에 대해 시정요구
- 휴대단말기 내 위치정보 캐쉬에 대해 소프트웨어 암호화 기술을 적용
▲ 애플 및 구글은 향후 위치정보 수집방식 및 활용에 대해 이용자에게 충분한 정보제공을 할 것을 권고
< 참고 : 위치정보 및 위치정보 캐쉬의 개념 >
◆ (위치정보) 이동성이 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보로써, 전기통신설비 또는 전기통신회선설비를 이용하여 수집된 것을 말함
◆ (위치정보 캐쉬) 스마트폰이 보다 빠르게 위치를 파악하도록 위치정보사업자가 스마트폰 내에 일시적으로 저장되도록 설계한 위치정보 DB의 일부
< 조사 경과 >
o ’11. 4. 20 ~ : 아이폰의 위치정보 수집관련 언론보도
o ’11. 4. 25, 27 : 애플, 구글에 대한 위치정보 수집논란 관련 공식질의
o ’11. 5~6월 : 답변자료 등에 대한 법률검토 및 추가 자료제출 요구
o ’11. 7. 6~8 : 애플, 구글 미국 본사 위치정보시스템 현장점검
- 애플 및 구글이 허가 신청시 제출한 위치정보사업 계획에 대한 실태점검
- 방통위 질의(’11.4월)에 대한 애플 및 구글의 답변서 내용의 진위 확인
- 위치정보법 위반 가능성이 있는 부분에 대한 세부사항 확인
o ’11. 7. 19~26 : 행정처분 사전통지 송부 및 사업자 의견 청취
방송통신위원회는 스마트폰의 위치기반서비스 관련 애플 및 구글의 위치정보 수집․이용․제공에 대한 이용자 동의 획득여부 및 위치정보의 누출 등을 방지하기 위한 보호조치 등을 조사한 결과,애플의 경우 '10. 6. 22.~‘11. 5. 4.(약 10개월) 기간 동안 이용자의 동의철회에도 불구하고 일부 아이폰으로부터 위치정보를 수집한 사항과 애플 및 구글의 경우 위치정보 캐쉬를 암호화하지 않고 휴대단말기 내에 저장하는 등 기술적 보호조치 일부가 미비한 사항을 확인하였다.
(유)애플코리아
방통위 조사결과에 따르면 애플은 위치정보의 수집․이용․제공 등에 관해 (1)이통사 가입신청서상 위치정보 관련 이용약관, (2)초기 아이폰 활성화시 소프트웨어 사용 계약서(SLA), (3)아이폰에서 위치기반 어플리케이션 최초 구동시 “현재 위치 확인” 등으로 동의를 받고 있으나, ’10. 6. 22.~‘11. 5. 4.(약 10개월) 기간 동안 일부 아이폰의 경우 이용자가 위치서비스를 “끔”으로 설정했을 때에도 아이폰 주변의 기지국 및 WiFi AP 위치값을 서버로 전송하였고, 애플서버는 해당 Wi-Fi AP 및 기지국의 위경도 값을 아이폰으로 전송하는 등 위치정보 수집행위를 한 것으로 나타났다.
또한, 애플은 본사(Apple Inc.)에서 관리하는 위치정보 DB는 위치정보법 제16조 및 동법 시행령 제20조의 암호화, 방화벽 설치 등 기술적 보호조치와 데이터센터에 대한 접근통제 등 관리적 보호조치를 하고 있음을 확인하였으나,위치정보사업의 효율성 등을 위해 위치정보 DB의 일부가 이용자의 휴대단말기에 캐쉬파일로 저장되도록 설계하면서 위치정보 캐쉬에 대해서는 암호화 조치를 하지 않은 것을 확인하였다.
※ 아이폰 내에 ’10. 6. 22.~’11. 5. 4.(약 10개월) 기간 동안의 해당 아이폰 인근의 WiFi AP 및 기지국의 위치가 지속적으로 누적되었으며, ‘11. 5. 4, 소프트웨어 업데이트를 통해 7일보다 오래된 캐쉬정보는 삭제되도록 함
(유)구글코리아 관련
구글은 (1)초기 안드로이드폰 설정화면에서 위치정보 수집․이용․제공 관련 사항을 고지하고 동의를 받고 있으며 (2)위치기반 어플리케이션 설치시 위치정보 사용에 대한 사항을 고지하고 설치여부를 선택할 수 있도록 하고 있음을 확인하였으며, 이용자는 “무선 네트워크 사용”에 체크표시를 해제함으로써 위치정보 수집 등에 대해 동의철회를 할 수 있고, 이용자 동의철회시 어떤 위치서비스 관련 데이터도 구글 서버로 전송되지 않는 것으로 나타났다.
구글은 본사(Google Inc.)에서 관리하는 위치정보 DB는 위치정보법 제16조 및 동법 시행령 제20조의 암호화, 방화벽 설치 등 기술적 보호조치와 데이터센터에 대한 접근통제 등 관리적 보호조치를 하고 있음을 확인하였으나,구글은 애플과 마찬가지로 휴대단말기 내 위치정보 캐쉬에 대해 암호화 조치를 하지 않은 것으로 나타났다.
※ 안드로이드폰 캐쉬는 WiFi AP의 경우 200개까지, 기지국의 경우 50개까지 위치를 저장하며, 이는 약 7일정도의 위치정보 값에 해당
< 위법성 판단 >
위치정보의 보호 및 이용 등에 관한 법률(이하 “위치정보법”) 제15조 제1항은 개인 또는 소유자의 동의를 얻지 아니하고 당해 개인 또는 이동성 있는 물건의 위치정보를 수집․이용․제공하는 행위를 금지하고 있으나,애플의 경우 아이폰 이용자가 설정 등을 통해 위치서비스를 끔으로써 동의철회를 했음에도 불구하고 아이폰 인근의 기지국 및 WiFi AP의 위치를 위치정보 캐쉬에 지속적으로 업데이트하여 이동성 있는 물건의 소유자(사용자)의 동의없는 위치정보 수집을 금지하고 있는 위치정보법 제15조 제1항을 위반하였다.
< 동의없는 위치정보의 수집금지 조항 >
◆ 위치정보법 제15조(위치정보의 수집 등의 금지) ①누구든지 개인 또는 소유자의 동의를 얻지 아니하고 당해 개인 또는 이동성이 있는 물건의 위치정보를 수집ㆍ이용 또는 제공하여서는 아니된다. 다만, 제29조의 규정에 의한 긴급구조기관의 긴급구조 또는 경보발송 요청이 있거나 다른 법률에 특별한 규정이 있는 경우에는 그러하지 아니하다.
또한, 위치정보법 제16조 제1항은 ‘위치정보의 누출, 변조, 훼손 등을 방지하기 위해 방화벽의 설치나 암호화 소프트웨어의 활용 등의 기술적 조치’를 의무화하고 있으며, 동법 시행령 제20조 제2항에서는 기술적 조치에 ’위치정보시스템에의 권한없는 접근을 차단하기 위한 암호화․방화벽 설치 등의 조치‘ 등을 규정하고 있는데,
< 위치정보의 보호조치 관련 조항 >
◆ 위치정보법 제16조(위치정보의 보호조치 등) ①위치정보사업자등은 위치정보의 누출, 변조, 훼손 등을 방지하기 위하여 위치정보의 취급ㆍ관리 지침을 제정하거나 접근권한자를 지정하는 등의 관리적 조치와 방화벽의 설치나 암호화 소프트웨어의 활용 등의 기술적 조치를 하여야 한다. 이 경우 관리적 조치와 기술적 조치의 구체적 내용은 대통령령으로 정한다.
◆ 위치정보법시행령 제20조(위치정보의 관리적ㆍ기술적 보호조치) ② 법 제16조제1항에 따른 기술적 조치에는 다음 각 호의 내용이 포함되어야 한다.
1. 위치정보 및 위치정보시스템의 접근권한을 확인할 수 있는 식별 및 인증 실시
2. 위치정보시스템에의 권한없는 접근을 차단하기 위한 암호화ㆍ방화벽 설치 등의 조치
3. 위치정보시스템에 대한 접근사실의 전자적 자동 기록ㆍ보존장치의 운영
4. 위치정보시스템의 침해사고 방지를 위한 보안프로그램 설치 및 운영
□ 애플 및 구글이 휴내단말기 내 위치정보 캐쉬를 암호화하지 않고 저장한 행위는
① 위치정보 캐쉬가 암호화되지 않아 휴대단말기의 분실이나 해킹시 이용자의 위치궤적이 그대로 타인에게 노출 될 수 있는 등 프라이버시 침해 위험이 존재한다는 점,
※ 스마트폰의 관리권한 획득행위(탈옥, 루팅 등) 등을 통해 캐쉬의 내용을 확인하는 방법이 널리 공개되어 있고, 同 행위가 해킹과 같이 불법적인 것도 아니므로 캐쉬가 충분히 보호되고 있다고 할 수 없음
② 위치정보 캐쉬는 이용자의 위치결정에 사용될 뿐만 아니라 인근의 기지국 및 WiFi AP의 최신 위치를 사업자 위치서버로 전송하는 등 사업자 서버와 유기적 연계되어 있으므로 위치정보시스템의 일부라는 점,
③ 위치정보 캐쉬가 휴대단말기 내부에 저장되기 때문에 인증, 식별 등 위치정보법 시행령에 열거된 모든 보호조치를 할 수 없다고 할지라도 캐쉬에는 사업자 서버와 동일한 내용이 저장되어 있어 누출 등을 방지하기 위한 암호화 조치가 반드시 필요한 점 등을 고려했을 때,위치정보법 시행령 제20조 제2항 제2호의 위치정보시스템에의 권한 없는 접근을 차단하기 위한 암호화 조치의무 위반이라고 판단하였다.
< 행정처분 등 내용 >
방송통신위원회는 (유)애플코리아 및 (유)구글코리아의 이러한 위치정보보호 법규 위반행위에 대하여 아래와 같이 시정요구 및 과태료를 부과하였다.
【애플 : 이용자 동의없는 위치정보수집(제15조제1항 위반)】
o 법 제43조제2항 및 시행령 별표5 기준에 따라 과태료 300만원 부과
【애플, 구글 : 위치정보 암호화 의무 위반행위(제16조제1항 위반)】
o 위치정보법 제13조제1항제4호 및 제14조제1항에 따라 사업정지 또는 위치정보사업 매출액의 3/100 이하의 과징금 부과가 가능하나,
① 스마트폰에 저장된 위치정보에 대해서도 암호화 의무가 있는지에 대해 사업자가 사전에 인지하기 어려웠다고 판단되며,
② 애플, 구글 모두 스마트폰에 저장된 위치정보에 대해서도 향후 암호화 조치를 취할 계획임을 발표하였으며,
③ 사업정지 처분시 이용자의 피해가 커 이에 갈음하는 과징금을 부과해야 하나, 위치서비스가 무료로 제공되고 있어 관련 매출액에 근거한 과징금 부과시 처분의 실익이 없어 과징금 부과 대신 빠른 시일 내에 위법사항을 시정토록 하였다.
추가적으로, 애플, 구글이 그동안 위치정보 수집방식 및 활용범위 등에 대해 이용자에게 충분한 정보제공을 하지 않아 이용자의 서비스 이용에 대한 불안을 초래했으므로 애플, 구글에 대해 새로운 위치정보 수집 및 활용방식 등에 대해 이용자가 이해할 수 있도록 충분한 정보를 제공할 것을 권고하였다.
방송통신위원회는 이번 조치를 통해 스마트폰 관련 위치정보사업자 및 위치기반서비스사업자(OS사업자, 제조사, 앱 개발자 등)가 새로운 서비스를 개발할 경우에도 위치정보보호 법규를 준수토록 유도하고, 이로 인해 이용자들이 스마트폰의 위치기반서비스를 안심하고 사용할 수 있는 환경이 조성될 수 있도록 노력할 예정이다.
또한, 방송통신위원회는 이번 시정요구가 잘 지켜질 수 있도록 모니터링을 지속적으로 실시하는 한편, 향후 스마트폰의 위치기반서비스 관련 위치정보보호 법규를 위반하는 사업자를 선별하여 조사하고 제재 조치를 할 계획이다.
추가적으로, 방송통신위원회는 향후 위치정보보호 법규 위반사업자에 대한 합리적인 제재가 가능하기 위해 다음과 같은 위치정보보호 법규 개선도 추진하겠다고 밝혔다.
< 향후계획 >
① 법의 과태료 상한액을 높이고 위반행위로 인한 피해 범위 등을 고려하여 차등화된 처분이 가능하도록 시행령 개정
② 사업자들의 위치정보 보호조치에 대한 예측가능성을 높일 수 있도록 위치정보시스템의 정의 및 보호조치 적용범위를 구체화하고, 향후 새로운 서비스의 도입 가능성을 고려해 세부적인 보호조치 내용을 고시 등으로 하향 입법
③ 또한, 위치정보사업 또는 위치기반서비스사업 관련 매출액이 없는 경우에도 위치정보보호 법규 위반행위에 대한 과징금 처분이 가능하도록 정액 과징금 도입
