50만개 사이트 '소셜로그인' 쓰는데…탈퇴자 정보 파기 미흡아시아경제 기사제공: 2025-02-13 12:02:00

카카오, 네이버(NAVER) 아이디 등을 연동해 다른 사이트에 로그인하는 일명 '소셜로그인 서비스'를 이용하다 탈퇴한 이용자의 정보 파기 조치가 제대로 이뤄지지 않은 것으로 조사됐다.

개인정보보호위원회는 구글, 네이버, 카카오, 애플, 메타 등 5개 소셜로그인 서비스 사업자에 대해 지난해 사전 점검을 실시했고, 12일 전체회의를 열어 일부 개인정보 침해 우려 사항에 대해 개선권고를 실시했다.

소셜로그인은 포털, SNS 등 소셜 계정의 회원정보를 다른 웹사이트나 애플리케이션에 연동해 이용자가 손쉽게 로그인하는 방식으로, 50만여개 국내 사이트가 활용 중이다.
개인정보위는 소셜로그인으로 인해 발생하는 보안 문제와 개인정보 제공·파기 우려로 지난해 4월부터 11월까지 사전 실태점검을 실시했고, 일부 우려 사항에 대해 개선권고를 의결했다.

먼저 소셜로그인을 위해 소셜계정이 타 사이트에 이용자 개인정보를 제공하는 과정에선 특별한 문제점이 발견되지 않았다.
사이트가 개인정보를 항목별로 구분해 제공을 요청하면, 소셜로그인 사업자가 적정성을 검수해 요청을 수락하는 절차를 운영하고 있었다.
이후 실제 이용자가 소셜로그인을 통해 사이트에 가입하는 시점에 제3자 제공 동의를 받아 처리하고 있었다.

하지만 소셜계정을 탈퇴한 개인정보 파기는 적정하게 이뤄지지 않고 있는 것으로 나타났다.
이용자가 소셜계정을 탈퇴하는 경우 소셜로그인 사업자는 연동된 모든 이용사이트에 이 사실을 통보해 탈퇴 처리 이뤄질 수 있도록 해야 하는데, 메타의 경우 일괄 통보 기능을 제공하지 않았다.

이용자가 사이트를 탈퇴하는 경우 소셜로그인 사업자는 토큰(인증정보)을 삭제하도록 토큰 폐기 기능을 제공하면서 개발자 문서 등을 통해 공개하고 있었다.
하지만 개발자 문서에 포함된 정보가 방대하고, 이 중 토큰 폐기 기능에 대한 내용을 찾기 어려워 널리 활용되지 못하는 실정이었다.

이에 개인정보위는 토큰폐기 기능을 쉽게 확인할 수 있도록 안내 방안을 확충할 것을 개선권고했다.
탈퇴자에 대한 토큰을 폐기하지 않으면, 소셜로그인 사업자가 이용자의 해당 사이트 탈퇴 사실을 알 수 없어 이후에도 탈퇴자의 정보를 전송할 가능성이 있기 때문이다.

개인정보위는 "소셜로그인 사업자들과 함께 개선권고 사항을 실효성 있게 이행할 방안을 협의할 계획이며, 이를 통해 이용자가 안심하고 소셜로그인 서비스를 이용할 수 있는 환경을 강화해 나갈 방침"이라고 밝혔다.