개인정보위, 소셜로그인 탈퇴자 개인정보 파기 미흡 지적…개선권고

[사진=개인정보위]

개인정보보호위원회(이하 개인정보위)가 소셜로그인으로 가입 후 탈퇴한 이용자의 개인정보 파기가 미흡한 점을 지적했다. 

개인정보위는 지난 12일 제 3차 전체회의를 열고 소셜로그인 서비스를 제공하는 5개 사업자 △네이버 △카카오 △구글 △메타(페이스북) △애플에 대한 사전 실태점검 결과를 발표했다.

소셜로그인은 포털·SNS 계정(이하 소셜계정)의 회원정보를 다른 웹사이트나 모바일앱(이하 이용사이트)에 연동해 이용자가 손쉽게 로그인하는 방식이다. 50만여 개 국내 사이트에서 활용 중이다. 

개인정보위는 기존 웹사이트별 회원가입 절차가 대부분 소셜로그인 방식으로 대체됨에 따라 보안 문제, 개인정보 제공 파기 우려로 지난해 4월부터 11월까지 사전 실태점검을 실시했다.

관련기사

• 개인정보위, 주한미국상의와 만나…韓·美 개인정보 협력 강화
• 개인정보위 "AI·데이터 산업, 더 많은 혁신 사례 나와야"

점검 결과 개인정보 제공 관련 법 위반이 없는 것으로 확인됐다.

다만 개인정보 파기와 관련해서는 개선이 필요하다고 했다. 소셜계정을 탈퇴한 이용자 개인정보 파기는 잘 이뤄지지 않고 있었다.

모든 소셜로그인 사업자는 이용자가 소셜계정 설정화면에서 가입중인 이용사이트 목록을 조회할 수 있다. 탈퇴를 원하는 사이트에 대해선 '연동해지' 기능을 제공하고 있다. 

카카오, 구글, 애플, 메타의 경우 이 연동해지 이용률이 낮게 나타나고 있어 개인정보위는 대안 마련을 권고했다. 

또 이용자가 소셜계정 자체를 탈퇴하는 경우 소셜로그인 사업자는 연동된 모든 이용 사이트에 이 사실을 통보해 일괄 탈퇴처리가 이뤄질 수 있도록 기반을 마련해두고 있었다. 반면 메타의 경우 이 기능을 제공하지 않아 이를 갖추도록 했다. 

이어 모든 소셜로그인 사업자는 이용자가 이용사이트에서 탈퇴할 때 이용자의 소셜로그인 접근 토큰을 삭제하도록 토큰폐기(Token Revocation) 기능을 제공한다. 하지만 이 기능이 제대로 활용되지 않고 있는 상황이다. 이에 개인정보위는 소셜로그인 사업자에게 이용사이트 측이 토큰폐기 기능을 쉽게 확인할 수 있도록 안내 방안을 확충할 것을 권고했다. 

개인정보위는 "향후 소셜로그인 사업자와 함께 개선권고 사항을 실효성 있게 이행할 방안을 협의할 계획"이라며 "이용자가 안심하고 소셜로그인 서비스를 이용할 수 있는 환경을 강화해 나갈 방침"이라고 전했다.