개인정보위, 소셜로그인 실태점검 결과 발표

- '구글·메타·애플·네이버·카카오' 등 5개사 소셜로그인 서비스 대상

- 탈퇴자 개인정보 파기 미흡에 대하여 개선권고 실시

- 소셜로그인을 이용하는 50만여 개 국내 사이트의 개인정보 보호 개선 효과 기대

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')가 2월 12일(수) 전체회의를 열어, 소셜로그인 서비스*를 제공하는 5개 사업자인 네이버㈜, ㈜카카오, Google LLC(이하 '구글'), Meta Platforms, Inc.(이하 '메타'), Apple Distribution International Limited(이하 '애플')에 대한 사전 실태점검 결과를 발표하였다.

   * 네이버로그인, 카카오로그인, Sign In With Google, Facebook Login, Sign In With Apple

  소셜로그인은 포털·SNS 계정(이하 '소셜계정')의 회원정보를 다른 웹사이트나 모바일앱(이하 '이용사이트')에 연동하여 이용자가 손쉽게 로그인하는 방식으로, 50만여 개 국내 사이트에서 활용 중인 서비스이다.

  [ 점검배경 ]

  개인정보위는 사용자가 직접 회원가입하는 방식인 기존의 웹사이트별 회원가입 절차가 대부분 소셜로그인 방식으로 대체됨에 따라 발생하는 보안 문제 및 개인정보 제공·파기 우려로 '24.4월부터 11월까지 사전 실태점검을 실시하였고, 일부 개인정보 침해 우려 사항에 대해서 개선권고를 의결했다고 밝혔다.

  [ 점검내용① : 개인정보 제공 관련 법 위반 없음 ]

  먼저, 소셜로그인을 위하여 소셜계정이 이용사이트에 이용자 개인정보를 제공하는 과정에서는 특별한 문제점이 발견되지 않았다. ①이용사이트가 소셜로그인 연동 개발을 하면서 이용자 개인정보를 기본항목·별도항목으로 구분하여 제공을 요청*하면 ②그 내용에 따라서는 소셜로그인 사업자가 이용사이트 서비스 성격에 비추어 해당 개인정보 제공이 필요한 것인지 적정성을 검수하여 요청을 수락하는 절차를 운영하고 있었으며, ③이후 실제 이용자가 소셜로그인을 통해 이용사이트에 가입하는 시점에서 제3자 제공 동의를 받아 처리하고 있었다.

   * 기본 제공정보 : 이용자식별값(이용자별 해당 이용사이트 내에서 고유한 일종의 난수값) 등 소셜로그인 기능 구현을 위한 최소한의 정보

      별도 제공정보 : 전화번호, 연령대, 성별, 생일 등 추가적인 개인정보

  [ 점검내용② : 개인정보 파기 관련 개선 필요 ]

  반면, 소셜계정을 탈퇴한 이용자의 개인정보 파기는 적정하게 이뤄지지 않고 있는 것으로 나타났다. 이와 관련 개인정보위는 소셜로그인 사업자에 개선권고를 의결하였다.

  첫째, 모든 소셜로그인 사업자는 이용자가 소셜계정 설정화면에서 가입 중인 이용사이트 목록을 조회하고 탈퇴를 원하는 사이트에 대해 '연동해지'하는 기능을 제공하고 있다. 이용사이트는 이 연동해지 사실을 통보 받으려면 관련 기능을 구현한 웹페이지를 별도로 마련하여 그 인터넷주소(이하 'Callback URL')를 소셜로그인 연동 개발 시 등록해 두었어야 한다. 점검 결과, 이 기능은 5개 소셜로그인 서비스에서 모두 제공되고 있었으나, 카카오, 구글, 애플, 메타의 경우 실제 이용률이 낮게 나타나고 있어 이를 높일 대안을 강구하도록 하였다.

  둘째, 이용자가 소셜계정 자체를 탈퇴하는 경우 소셜로그인 사업자는 연동된 모든 이용사이트에 이 사실을 통보함로써 일괄 탈퇴처리가 이루어질 수 있도록 기반을 마련해두고 있었다. 다만, 메타의 경우 이러한 일괄통보 기능을 제공하지 않아 이를 갖추도록 하였다.

  셋째, 모든 소셜로그인 사업자는 이용자가 이용사이트에서 탈퇴하는 경우 이용자의 소셜로그인 접근 토큰*을 삭제하도록 토큰폐기(Token Revocation) 기능을 제공하면서 개발자 문서 등을 통해 공개하고 있다. 하지만 개발자 문서에 포함된 정보가 방대하고 이 중 토큰폐기 기능에 대한 내용을 찾기 어려워 널리 활용되지 못하는 실정이다. 이에 개인정보위는 소셜로그인 사업자들에게 이용사이트 측이 토큰폐기 기능을 쉽게 확인할 수 있도록 안내 방안을 확충할 것을 개선권고하였다.

   * 토큰 : 소셜로그인 이용자 정보를 이용사이트로 제공하기 위한 일종의 인증정보로, 탈퇴자에 대한 토큰을 폐기하지 않으면 부정 이용 우려 존재(소셜로그인 사업자가 이용자의 해당 사이트 탈퇴 사실을 알 수 없어 탈퇴자의 정보 전송 가능)

  [ 향후계획 ]

  개인정보위는 소셜로그인 사업자들과 함께 개선권고 사항을 실효성 있게 이행할 방안을 협의할 계획이며, 이를 통해 이용자가 안심하고 소셜로그인 서비스를 이용할 수 있는 환경을 강화해 나갈 방침이다.

  이와 함께 이용자는 소셜로그인 계정에 연동된 이용사이트 현황을 조회함으로써 가입된 사이트 목록을 확인할 수 있으며, 이용을 중지하고자 하는 사이트에 대해서는 소셜로그인 계정에서 사이트 연동해지를 설정하거나,  해당 이용사이트에 직접 방문하여 탈퇴*함으로써 개인정보 처리정지요구권을 행사할 수 있다고 전했다.

   * 이용사이트가 Callback URL을 등록하지 않은 경우가 있을 수 있음

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사3팀 김문호(02-2100-3158), 채리(02-2100-3153)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”