‘라인야후 사태’ 한일 간 온도 차는 어디서 오는 걸까?

[아무튼, 주말]
[장부승의 海外事情]
개인 정보 유출에 대한 일본인들 민감성 이해해야

2019년 11월 '야후재팬'을 운영하는 Z홀딩스 최고경영자(CEO) 가와베 겐타로(왼쪽)와 이데자와 다케시 '라인' CEO가 손을 잡으며 경영 통합을 선언하고 있다. 당시 네이버와 소프트뱅크는 일본 국민 메신저 ‘라인’과 일본 최대 검색 서비스 ‘야후재팬’의 통합으로 구글·아마존 등 글로벌 IT 기업들을 넘어서겠다고 했다. /게티이미지코리아

라인야후 문제로 여론이 뜨겁다. 한국이 개발한 ‘토종 메신저’를 일본이 뺏으려 한다는 것이다. 일본은 온도가 다르다. 일본의 4대 일간지 사설이 하나같이 개인 정보 보호 관련 라인야후의 책임을 강조한다. 흥미롭게도 양국의 다른 대응은 한 진앙에서 비롯됐다. 일본 총무성이 라인야후에 전달한 ‘행정지도’가 그것이다. 이 행정지도문에는 무엇이 담겼을까? 일본 총무성은 사건 개요와 원인을 꼼꼼히 설명하고, 대안을 제시했다. 내용은 충격적이었다.

라인야후는 데이터 및 네트워크 관리를 네이버 클라우드에 위탁했는데, 라인야후와 네이버 클라우드의 보안 유지를 맡은 제3 업체에 맬웨어(악성 소프트웨어)가 침투하여 네이버 클라우드의 AD(Active Directory·윈도 환경 네트워크 관리 시스템) 서버에 들어와, 관리자 권한을 뺏은 후, 인증 정보를 탈취하여, 네이버 클라우드와 접속된 라인야후 서버에까지 들어가 메신저 LINE의 이용자 정보를 유출했다는 것이다.

놀랍게도 이것은 처음이 아니다. 총무성은 2021년에도 유사한 문제가 있어 행정지도를 했는데, 개선이 없다며 유감을 표했다. 당시엔 LINE 일본 이용자의 개인 정보를 한국과 중국 소재 라인 직원들이 볼 수 있다는 문제가 제기됐다. 당시 라인은 사과와 함께 개선을 약속했지만 효과가 없었던 것이다. 더욱 충격적인 것은 네이버 클라우드는 라인야후가 해킹 사실을 알려주기 전까지 금번 해킹을 아예 인지하지 못했다는 사실이다.

행정지도문 행간에서는 총무성 담당자들의 짜증이 읽혔다. 여러 차례 결과 보고를 요청해도 기한을 맞추지 못하거나 보고를 해도 불확실한 내용이 많았다는 것이다. 라인야후가 모든 것을 네이버에 맡기다 보니 자체 로그 기록조차 없거나 분석도 못 할 지경이었다는 것이 총무성의 판단이다.

결론적으로 행정지도문은 네 가지 주문을 담고 있었다. 첫째, 라인야후와 네이버 간 네트워크를 분리하고 지나친 의존을 정리하라. 둘째, 침입 탐지 시스템 등 자체 안전 관리 시스템을 수립하라. 셋째, 업무를 맡길 경우 관리 감독을 강화하라. 넷째, 위 세 가지 방안이 적절히 실행될 수 있도록 라인야후의 모회사(소프트뱅크, 네이버)까지 포함한 그룹 차원의 정보 보안 거버넌스를 개선하라는 것이다.

한국 언론의 주목을 받는 소프트뱅크와 네이버 간 지분 재조정 문제는 이 네 번째 항목에 나온다. 라인야후가 업무를 위탁한 네이버 클라우드에 대해 관리 감독이 부실했던 배경에는 네이버 클라우드의 모회사가 라인야후의 대주주인 점도 작용하는 것 같으니 개선 방안을 강구하라는 것이다.

그래픽=백형선

그래픽=이철원

한국에서 여론이 격앙한 이유 중 하나가 ‘차별’이다. 총무성이 일본이나 미국 기업에 비해 한국 기업에만 엄격한 것 아니냐는 것이다. 예를 들어 NTT서일본(西日本)에서도 작년에 정보 유출 사건이 있었는데, 행정지도 내용은 솜방망이였다는 것이다.

NTT서일본 케이스는 비교적 단순하다. NTT서일본의 자회사인 텔레마케팅 회사가 또 다른 자회사인 콜센터에서 개인 정보를 받아 마케팅에 활용했는데, 이 과정에서 콜센터에 근무하는 파견 직원이 정보를 빼돌려 사설 업체에 팔았다. 원인은 두 자회사 모두 자기들이 다루는 정보가 개인 정보 가이드라인의 관리 대상이라는 점을 까맣게 몰랐던 데 있었다. 그 허점을 파견 직원이 악용한 것이다.

총무성의 행정지도에 대해 NTT서일본의 대책은 비교적 화끈했다. 사장이 사표를 내고 관련 임직원들 인사 조치를 약속했다. 관련 사내 조직을 통폐합하고 100명을 증원하며 향후 3년간 100억엔을 추가 투자하여 시스템을 개선하기로 했다.

일각에서는 페이스북도 5억명이 넘는 개인 정보를 유출한 적이 있는데, 일본은 미국 기업에 대해서는 저자세라고 비판하기도 한다. 페이스북은 국제 본부가 아일랜드에 위치한, 일본으로서는 외국 기업이다. 5억여 명 정보 유출 피해자의 대부분은 일본인이 아니다. 대신 페이스북의 법인 소재지인 아일랜드는 이 유출 사건 관련 EU를 대표하여 페이스북에 벌금 2억7600만달러를 물렸다. 또한 일본 정부는 페이스북에 대해서도 개인정보보호위원회를 통해 2016년에서 2018년 사이에 세 차례나 행정지도를 내려 사안별로 원인 규명과 대책 보고를 요구한 바 있다.

이미 엎질러진 물이긴 하지만 이번 사건과 관련해 가장 아쉬운 부분은 우리 정부의 대응이다. 만약 초기부터 일본에 공동 조사를 요구했다면 어땠을까? 네이버 측에 대해서는 ‘우리가 신속히 조사해서 경위와 원인을 알려주겠다’고 제안했다면? 명분은 충분했다. 네이버 클라우드에서 정보 유출이 있었다면 피해자가 일본인뿐이라는 보장이 있나? 이미 한국의 민간은 물론 공공 기관도 클라우드 시장의 고객이다. 우리가 선제적 조사를 통해 치고나갔다면 상황 주도는 물론 한일 간 협의 체계 강화도 가능했을지 모른다.

이제 라인야후와 소프트뱅크가 총무성 행정지도를 따르겠다는 입장을 밝힌 이상 공은 네이버에 넘어갔다. ‘토종 메신저’ 프레임은 장기적으로 득보다 실이 크다. 네이버는 지난 10여 년간 ‘라인’이 일본 회사라고 강조해왔다. 한국인들은 LINE보다 카톡을 많이 쓰는 것, 일본인들도 안다. 지금 와서 갑자기 ‘LINE은 한국 것’이라 내세운다면 자칫 일본과 더 많이 협력할 창을 좁히는 우를 범할 수 있다. 네이버의 현명한 판단을 기대해 본다.

네이버 분당 사옥 전경 /연합뉴스