"구글플러스 사용자는 내년 8월까지 데이터 옮겨두세요"
'구글플러스 개인정보 유출' 논란 총정리
응용프로그램 버그 통해 '50만명 신상정보' 털린듯
구글은 규제 위반 아니라지만 집단 소송 가능성 커
내년 8월까지 데이터 다운로드..기업은 서비스 계속
[한겨레]
페이스북에 이어 구글에서도 이용자 개인정보 유출 논란이 불거졌다. 구글이 사회관계망서비스(SNS) ‘구글플러스(G+)’ 이용자의 개인정보 유출 가능성을 인지하고도, 해당 사실을 이용자들에게 알리지 않기로 결정한 일이 언론 보도로 뒤늦게 드러났기 때문이다.
구글 쪽은 언론 보도가 나간 뒤 곧바로 “내부 조사 결과 외부 앱 개발자가 이용자 데이터에 접근할 수 있는 허점(버그)이 발견됐을 뿐, 외부에서 이용자 데이터에 접근했거나 데이터를 오용한 증거는 없다”고 해명했다. 구글 쪽은 또 “구글플러스 서비스를 내년 8월 종료할 예정”이라고 밝혔다.
구글플러스 사용자들은 졸지에 자신의 정보 유출 가능성과 서비스 종료 소식을 한꺼번에 접하게 됐다. 구글플러스에는 대체 무슨 버그가 발생했으며, 사용자들은 어떻게 대처할 수 있나. 구글 성명서와 외신 등을 종합해 사건 내용과 쟁점, 대응 방안 등을 정리했다.
구글플러스 API에서 발견된 허점(버그)은 무엇? = <월스트리트저널>가 8일(현지 시각) 보도한 내용을 보면, 구글은 올해 3월 내부 보안 감사를 통해 구글플러스의 한 에이피아이(API, 응용프로그램 프로그래밍 인터페이스, 애플리케이션을 개발할 때 다른 서비스 플랫폼에 요청을 보내고 응답을 받을 때 사용)에서 버그를 발견했다(▶보도 원문 보러가기). 이 버그는 외부 앱 개발자가 구글플러스 사용자가 친구들에게만 공유하도록 설정한 데이터에 접근할 수 있도록 했다.
이 버그는 2015년부터 올해 3월 구글이 버그를 발견해 수정(패치)하기까지, 외부 앱 개발자가 구글플러스 이용자의 프로필 정보에 접근할 수 있게 했다. 구글 자체 조사 결과, 이 버그는 최대 50만여개에 이르는 구글플러스 이용자 계정에 영향을 미칠 가능성이 있는 것으로 확인됐다. 또 438개의 애플리케이션이 해당 버그가 포함된 에이피아이를 사용했을 가능성이 있었다. <월스트리트저널>은 소식통의 말을 빌어 “해당 구글플러스 계정에는 ‘지 스위트(G Suite)’ 유료 사용자 일부도 포함된다“고 전했다. 지 스위트는 구글이 지메일, 구글 드라이브, 구글 독스, 구글 달력 등 생산성 도구를 모아 기업·학교·정부기관에 유료로 제공하는 서비스다.
버그를 통해 유출됐을 가능성이 있는 정보는 사용자가 선택해서 입력할 수 있도록 한 항목으로, 이름·나이·성별·직업과 전자우편 주소 등이다. 구글 쪽은 “구글플러스에 게시한 글이나 이용자끼리 주고받은 메시지, 이용자 휴대전화 번호, 구글 계정 정보, 지 스위트 콘텐츠 등은 유출 가능성이 없다”고 밝혔다. 구글은 또 “우리는 외부 개발자들이 이 버그를 인식하거나, 오용한 증거를 발견할 수 없었다. 프로필 데이터가 오용된 사례를 단 한 건도 찾을 수 없었다”고 강조했다. 버그로 인해 외부 개발자의 데이터 접근 권한이 열려 있었고, 데이터 유출 가능성이 존재하지만 실제로 외부에서 데이터에 접근한 흔적이나 개인정보가 유출된 경우는 없다는 주장이다.
비공개 결정 내린 이유는? = 구글 내부위원회는 올해 초 이런 내용을 외부에 공개하지 않기로 결정했다. 내부 변호사들은 구글이 이 사건을 일반 대중에게 공개할 법적 의무가 없다고 판단한 것으로 알려졌다. 구글은 “우리는 법적인 요구사항을 넘어, 사용자에게 보안 문제에 대해 알릴지 여부를 결정할 때 몇가지 기준을 참고한다. 그 기준은 관련 데이터의 유형과 알려야 할 사용자를 정확히 식별할 수 있는지, 데이터 오용의 증거가 있는지, 외부 개발자나 사용자가 즉각 취할 조치가 있는지 등”이라며 “이번의 경우 그 어떤 것도 여기에 해당하지 않았다”고 설명했다.
하지만 <월스트리트저널>이 입수한 구글 내부 문건에 따르면, 이번 비공개 결정에는 ‘정치적 고려’도 한 몫 한 것으로 보인다. 구글의 법률·정책 담당자는 이 사건을 공개할 경우 “즉시 규제 문제를 일으킬 수 있다”고 경고하며 페이스북의 케임브리지 애널리티카(CA) 스캔들과 같은 후폭풍을 우려했다. 법률·정책 담당자가 쓴 메모에는 “(이 사건을 공개할 경우) 페이스북과 나란히, 또는 페이스북을 대신해서 스포트라이트를 받을 수 있다”, “(구글 최고경영자) 순다르가 의회에 나가서 증언할 것이 명백하다”는 내용이 담겨있다고 <월스트리트저널>은 전했다. 구글 내부에서 해당 사안을 공개할 경우 규제 당국의 조사나 기업 신뢰도 하락에 대한 염려가 컸다는 것을 의미한다. 순다르 피차이 구글 최고경영자(CEO)도 내부위원회로부터 이런 내용을 브리핑받았다.
“규제 위반 아니다” vs “집단 소송도 가능” = 구글은 이번 사건이 외부에서 데이터에 접근한 증거조차 없다는 점에서 사용자에게 알림을 할 수준이 아니라고 판단했다. 올해 5월에 발효된 유럽 일반개인정보보호규정(GDPR)에 따르면, 개인정보 유출 가능성이 발견됐을 경우 규제 당국에 72시간 이내에 보고해야 하지만, 이번 사건은 그보다 앞선 3월에 발견됐기 때문에 해당 규정의 적용을 받지 않는다.
한국의 경우 정보통신망법상 개인정보 유출 사실을 인지한 기업은 48시간 이내에 방송통신위원회나 한국인터넷진흥원에 신고해야 한다. 하지만 방통위, 한국인터넷진흥원 관계자 모두 “이번 구글플러스 사건의 경우 취약점이 존재하더라도 외부에서 접근한 흔적이 없기 때문에 신고 의무가 발생한다고 보기는 어렵다”고 말했다. 한국인터넷진흥원 관계자는 “국내는 판례상 데이터에 접근했다는 기록까지 남아 있어야 한다는 기준이 있다”고 설명했다.
하지만 <월스트리트저널>이 인터뷰한 한 변호사는 “일부 회사는 외부에서 데이터에 접근했는지 여부가 불투명하더라도 사용자에게 알리기로 결정한다”면서 “구글이 이 사건을 비공개한 결정을 두고 집단 소송에 직면할 수도 있다. 구글이 뭔가를 알고도 숨겼다는 것만으로도 원고들이 할 이야기는 충분하다”고 지적했다.
<월스트리트저널> 보도 뒤, 여러 매체에서 구글의 결정을 비판하는 칼럼을 내놓고 있다. <블룸버그>의 테크놀로지 칼럼니스트 시라 오비데는 이날 쓴 칼럼에서 “구글은 이 사안이 알려질 경우에 입을 타격을 잘 알고 있었기 때문에, 비공개 결정에 대한 변명의 여지가 사라졌다”면서, “구글이 3월에 문제를 공개했다면 큰 사안이었어도 위기는 아니었을 테지만, 사건 은폐로 인해 구글플러스의 보안 문제는 더 악화됐다”고 지적했다(▶칼럼 원문 보러가기).
구글플러스 개인 사용자는 내년 8월 안에 데이터 옮겨야…기업용은 서비스 지속 예정 = 구글은 <월스트리트저널> 보도 직후, 자사의 블로그 ‘보호 및 보안’ 항목에 벤 스미스 구글 펠로우(선임연구원) 겸 엔지니어링 담당 부사장 명의로 구글플러스 사건을 포함한 내부 감사 결과를 설명한 글을 게시했다(▶구글 블로그 원문 보러가기).
스미스 부사장은 이 글에서 “구글플러스가 소비자의 기대에 부합하도록 유지되는 데 중대한 문제가 발생했다”면서, <월스트리트저널> 보도로 알려진 내용을 대부분 직접 설명했다. 또 보안 문제를 비롯해 구글플러스의 사용자 참여가 낮다는 사실을 함께 공개했다.
구글플러스는 2011년 6월 구글이 ‘페이스북 대항마’로 만든 사회관계망서비스(SNS)다. 구글은 구글플러스 출시 초기에 유튜브 등 구글 서비스를 이용할 때 무조건 구글플러스 계정을 이용하도록 강제했으나, 사용자가 늘지 않자 2015년부터 다른 구글 서비스와 구글플러스 계정을 분리하도록 정책을 변경하기도 했다.
스미스 부사장은 또 “구글플러스의 일반용 버전은 사용률과 참여도가 낮다. 구글플러스 사용자의 90%는 플랫폼에 5초 이하로 머문다”고 밝혔다. 출시 7년 만에 구글플러스의 대중화 ‘실패’를 공식 인정한 셈이다. 구글은 보안 문제 등에 대한 총체적 조치로서 구글플러스 일반용 서비스를 중단하기로 결정했다고 밝혔다. 기존 사용자들이 데이터를 옮길 수 있는 시간을 10개월가량 제공하고자, 서비스 종료 시점은 내년 8월로 정했다. 스미스 부사장은 “향후 몇달 동안 이용자가 데이터를 다운로드하고 옮길 수 있는 방법을 포함해 추가 정보를 계속 제공할 예정”이라고 덧붙였다.
또 외부에서 데이터에 접근한 흔적이 발견되지 않았고 구글이 이미 버그 패치를 완료했다고 하지만, 정보 유출이 없다고 100% 확신할 수는 없으므로 구글플러스 이용자는 비밀번호를 교체하는 것이 안전하다.
구글, “G메일, 안드로이드 휴대폰의 사용자 정보에 제3자 개발자 접근권한 더 좁힐 것” = 한편 스미스 부사장은 해당 글에서 구글플러스 감사가 올해 초 시작된 ‘구글 스트로브’(Google Strobe) 프로젝트의 일환이라고 밝혔다. 구글은 해당 프로젝트를 시작한 배경에 대해 “수많은 앱과 서비스, 웹 사이트가 구글의 다양한 서비스를 토대로 구축됐다. 우리는 이런 활발한 생태계를 강력히 지지한다. 하지만 이런 생태계의 성공 여부는 데이터 보안에 대한 명확한 규칙을 가진 개발자와 자신의 데이터가 안전하다는 것을 알고 있는 사용자에게 달려있다”고 밝혔다. 이에 따라 구글 스트로브 프로젝트는 ”구글 계정과 안드로이드 기기 데이터에 대한 제3자 개발자 접근 및 앱 데이터 접근에 대한 심도 깊은 리뷰”를 목적으로 진행됐다는 것이다.
스미스 부사장은 “앞으로 지메일 에이피아이에 대한 사용자 데이터 정책을 업데이트해서 사용자의 지메일에 접근하는 권한을 요청하는 외부 앱을 제한하고, 사용자 휴대전화 주소록, 문자 메시지, 전화 통화 기록 등에 접근하려는 안드로이드 앱의 범위도 좁힐 예정”이라고 덧붙였다.
김효실 기자 trans@hani.co.kr
▶ 한겨레 절친이 되어 주세요! [오늘의 추천 뉴스]
[▶ 블록체인 미디어 : 코인데스크][신문구독]
[ⓒ한겨레신문 : 무단전재 및 재배포 금지]
Copyright © 한겨레신문사 All Rights Reserved. 무단 전재, 재배포, AI 학습 및 활용 금지