Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향트위터, GDPR 위반으로 벌금 부과
작성일 2020-12-16 조회 142

 

아일랜드의 데이터보호 위원회(DPC)는 트위터가 72시간 내 위반 사실을 DPC에 통보하고 문서화하지 않았기 때문에  유럽연합(EU)의 데이터 보호 규정에 따라 45만 유로의 벌금을 부과했다.

 

GDPR은 2018년 5월 25일 EU에서 발효된 사용자 및 데이터 프라이버스 규정으로 구글, 페이스북, 인스타그램, 왓츠앱이 '강제동의'를 사용했다는 이유로 논란이 된 이후로 활성화되었습니다.

 

EU 데이터 규제 기관은 GDPR 규칙 위반시 최대 2천만 유로(약 2430만 달러) 또는 위반 회사의 연간 글로벌 매출액의 4% 중 더 큰 금액을 벌금으로 부과할 수 있다.

 

아일랜드 DPC는 "트위터와 DPC로부터 위반 통보를 받은 뒤 2019년 1월 조사에 착수했는데, 트위터는 위반 사실을 DPC에 제때 통보하지 못하고 문서화하지 못했다는 점에서 GDPR 제 33조 1항과 제 33조 5항을 침해한 것으로 드러났다"고 밝혔다.

 

트위터가 벌금을 받은 이유는 보호된 계정의 개인 트윗을 실수로 노출시킨 책임이 있기 때문이다.

 

트위터는 버그바운티 프로그램을 통해 보호 계정을 가진 트위터 사용자가 Android용 Twitter를 사용하여 전자 메일 주소를 변경하면 계정이 보호되지 않는다는 보고서를 받았다.  코드상 오류는 2014년 11월 4일 변경된 코드로 인해 발생한다.

 

하지만 트위터는 사고 대응 프로세스가 활성화된 2019년 1월 3일까지 해당 문제의 심각성과 위반 사실을 깨닫지 못했다고 말했다. 그러나 트위터는 해당 사실을 깨닫고 나서도 1월 8일에서야 위원회로 해당 문제를 보고했기 때문에 72시간의 보고 시간을 지키지 못했다.

 

[그림 1. 트위터 공식 계정 트윗]

 

이 외에도 구글은 지난주 프랑스 데이터보호당국(CNIL)으로부터 "사전에 쿠키 동의를 받지 않고 검색엔진 사용자들의 컴퓨터에 광고를 제공했다"는 이유로 1억 유로의 벌금을 부과받기도 했다.

 

출처

https://www.bleepingcomputer.com/news/technology/twitter-fined-by-eu-data-protection-watchdog-for-gdpr-breach/

첨부파일 첨부파일이 없습니다.
태그 GDPR