연방거래위원회, 마이크로소프트에 261억 원 과징금 부과

지난 6월 5일 미국 연방거래위원회(Federal Trade Commission, FTC)는 마이크로소프트(MS)에 2,000만 달러(원화 약 261억 원)의 과징금을 부과했다.

마이크로소프트가 미국 아동 온라인 프라이버시 보호법(Children’s Online Privacy Protection Act of 1998, COPPA)을 위반했다는 혐의다.

COPPA는 만 13세 미만의 미국 아동의 개인정보를 수집하거나, 미국에 기반을 둔(US-based) 기업이 미국 아동의 개인정보를 수집할 경우에 적용이 된다.

FTC는 MS가 엑스박스(Xbox)를 통해 아동의 개인 정보를 수집하고 해당 정보를 불법적으로 보관한 것에 대한 조치라고 밝히고 과징금 부과와 함께 개인정보 보호를 위한 사항들을 발표했다.

우선 엑스박스(Xbox)의 콘솔에서 게임 플레이를 하거나 엑스박스(Xbox Live) 기능에 액세스하려면 유저는 계정을 만들고 개인 정보를 제공해야 한다.

유저가 13세 미만이라고 표시한 경우 추가 개인 정보(예: 전화번호)를 제공하고 마이크로소프트의 서비스 계약에 동의한 뒤 부모도 동의해야 계정이 생성된다.

2015년부터 2021년 5월 이전까지 마이크로소프트는 부모가 이 절차를 끝내지 못했더라도 개인 정보를 보관해왔다.

엑스박스에서 생성된 계정은 한 번 만들어지면 게이머 태그가 할당되며 개인 정보가 수집되는데 수집된 모든 정보는 타사 게임 및 앱 개발자와 공유할 수 있는 고유한 영구 식별자와 결합한다.

정보를 공유하기 전 부모는 자녀를 위해 이를 거부할 수 있는 추가 옵션이 있어야 하지만 확인된 결과 기존에는 존재하지 않았던 것으로 드러났다.

FTC의 조사 과정에서 계정 생성 프로세스가 시작되었지만 완료되지 않은 자녀 계정의 계정 생성 데이터가 사라지지 않는 기술적 결함도 발견됐으며 이는 유저가 중단한 부분부터 재시작하여 절차를 완료하기 쉽도록 해당 정보를 14일 동안만 저장하는 정책과 일치하지 않는다.

이에 마이크로소프트는 다음과 같은 조치들을 취할 것을 요구받았다.

엑스박스 계정 생성 과정에서 유저는 먼저 생년월일을 입력해야 한다.

13세 미만인 경우 다른 정보를 요청하기 전에 부모의 동의를 받아야 하는데 앞으로 몇 달 동안 2021년 5월 이전에 계정을 생성한 13세 미만 플레이어도 부모의 동의를 다시 받도록 해야 한다.

수집하는 정보와 사용하는 과정을 더욱 명확하게 설명하기 위해 개인 정보 취급 방침을 업데이트했다.

엑스박스에서 플레이어 데이터를 처리하는 방법에 대한 전용 섹션이 추가됐고 홈 화면에 MS 개인 정보 취급 방침에 대한 명확한 레이블이 지정된 링크가 표시되도록 업데이트했다.

링크는 개인 정보가 수집되는 서비스의 각 영역도 표시하고 어떤 데이터를 수집하고 사용하는지 가족과 공유하는 개인 정보 대시보드도 제공한다.

계정 생성 프로세스가 완료되지 않았을 시 남아있었던 데이터가 사라지지 않는 기술적 결함을 수정하고 데이터를 삭제했다.

오류 재발을 방지하기 위한 절차도 구현하지만. 해당 데이터는 사용, 공유 또는 수익화되지 않았다.

마이크로소프트 데이브 매카시 부사장은 “유감스럽게도 고객의 기대에 부응하지 못했으며 보안 조치를 강화하라는 명령을 준수하기 위해 최선을 다하겠다.”고 말했다.

이어서 “앞으로 몇 달 동안 연령을 검증하는 새로운 방법을 테스트하고 고객 경험으로부터 피드백을 받을 예정”이라면서 “피드백을 통해 플레이어 신원 확인 시스템을 발전시키겠다”고 말했다.