이 사건은 2019년 Meta가 일부 사용자 비밀번호가 암호화되지 않은 일반 텍스트로 저장되어 유럽 연합의 일반 데이터 보호 규정(GDPR)을 심각하게 위반하는 사실을 발견하면서 시작되었습니다. 특히 이 비밀번호는 페이스북과 인스타그램 등 Meta 서비스를 이용하는 수억 명의 사용자의 것이었습니다.

메타(Meta)가 사고를 신고한 이후 DPC(데이터보호위원회)가 조사를 진행했습니다. 조사 결과, 메타는 GDPR에 따른 데이터 관리자로서의 의무를 위반하여 사용자 개인 정보를 보호하기 위한 적절한 보안 조치를 이행하지 않은 것으로 나타났습니다.

이 규정은 회사가 적절한 보안 조치를 시행하고 잠재적 위험을 평가하여 개인 데이터가 손상될 위험을 최소화하도록 요구합니다.

메타는 2019년에 이 문제를 발견하고 즉시 시정 조치를 취했다고 설명했습니다. 그 결과, 페이스북 사용자 비밀번호 중 "소수"가 회사 내부 시스템에 읽을 수 있는 형태로 실수로 저장되었습니다.

메타는 해당 비밀번호가 무단 접근되거나 오용되었다는 증거는 없다고 밝혔습니다. 또한 해당 사건을 규제 기관에 즉시 보고하고 조사 과정 전반에 걸쳐 정보보호위원회(DPC)에 협조했습니다.

Meta의 엔지니어링, 보안 및 개인정보 보호 담당 부사장인 페드로 카나후아티는 2019년 3월 성명을 통해 회사가 수억 명의 Facebook Lite 사용자, 수천만 명의 다른 Facebook 사용자, 수만 명의 Instagram 사용자에게 이 문제에 대해 통보했다고 밝혔습니다.

2019년 4월 업데이트에서는 Meta가 암호화되지 않은 추가 Instagram 비밀번호 기록을 발견하여 수백만 명의 사용자에게 영향을 미쳤다고도 밝혔습니다.

1억 200만 달러의 벌금은 메타가 최근 몇 년간 유럽 규제 기관으로부터 받은 일련의 처벌 중 하나에 불과합니다. 2023년 초, 메타는 EU 개인정보보호법을 위반하여 개인 정보 추적 기반 광고 프로그램에 가입하도록 사용자에게 강요한 혐의로 4억 1,400만 달러의 벌금을 부과받았습니다.

메타가 유럽 규제 기관으로부터 현재까지 받은 총 벌금은 10억 달러가 넘으며, 그중 대부분은 개인정보 보호 및 개인정보 보안 위반으로 인한 것입니다. 이는 메타 그룹에 재정적 손실을 초래했을 뿐만 아니라 전 세계적으로 메타 그룹의 평판에도 악영향을 미쳤습니다.