아일랜드 데이터 보호 위원회(DPC)는 메타에 1억 1천5백만 달러(9천1백만 유로)의 벌금을 부과함. 이는 2019년 보안 침해 조사 결과에 따른 것임. 당시 메타는 사용자 비밀번호를 일반 텍스트로 잘못 저장한 사실을 발견했음. 메타는 원래 발표에서 그 해 1월 서버에 일반 텍스트로 저장된 사용자 비밀번호를 발견했다고만 언급했음. 하지만 한 달 후, 수백만 개의 인스타그램 비밀번호도 쉽게 읽을 수 있는 형식으로 저장되어 있었다고 업데이트했음.
메타는 몇 개의 계정이 영향을 받았는지 밝히지 않았지만, 당시 한 고위 직원은 크렙스 온 시큐리티에 이 사건이 최대 6억 개의 비밀번호와 관련이 있다고 말했음. 일부 비밀번호는 2012년부터 회사 서버에 일반 텍스트로 저장되어 있었고, 2만 명 이상의 페이스북 직원이 검색할 수 있었음. 그러나 DPC는 이 결정에서 외부 당사자에게는 제공되지 않았다고 명확히 했음.
DPC는 메타가 침해와 관련된 여러 GDPR 규칙을 위반했다고 판단했음. 메타가 사용자 비밀번호를 일반 텍스트로 저장한 개인 데이터 침해를 DPC에 지체 없이 통보하지 않았고, 이를 문서화하지 않았다고 판단했음. 또한 메타가 사용자 비밀번호의 무단 처리로부터 보안을 보장하기 위한 적절한 기술적 조치를 사용하지 않았다고도 언급했음.
DPC의 부국장 그레이엄 도일은 성명에서 "사용자 비밀번호는 일반 텍스트로 저장되어서는 안 된다는 것이 널리 받아들여진 사실임. 이러한 데이터에 접근하는 사람들로부터 발생할 수 있는 남용의 위험을 고려해야 함. 이 사건의 비밀번호는 특히 민감한 것으로, 사용자 소셜 미디어 계정에 접근할 수 있게 해줌"이라고 말했음.
DPC는 벌금 외에도 메타에 경고를 주었음. 메타에 대한 구체적인 의미는 위원회가 향후 최종 결정을 발표할 때 더 알 수 있을 것임.
