개인정보위, ‘라인 사태’ 석달째 무응답…데이터 안보 콘트롤타워가 없다

라인야후 사태로 본 정부 대응 문제

지난 5월14일 경기도 성남에 위치한 라인야후 계열 한국법인 라인플러스 본사에서 직원이 걸어가고 있다. 연합뉴스

이른바 ‘라인 야후’ 사태는 지난해 말 발생한 ‘일본 국민 메신저’ 라인의 고객 정보 대량 유출 사고가 시작점이었다. 일본 정부는 이 사고의 원인 중 하나로 정보처리 위탁자가 라인야후의 대주주인 네이버라는 점을 꼽았다. 이런 판단을 토대로 라인야후의 모회사(A홀딩스) 보유 지분을 네이버에 매각하도록 요구했고 한국 사회는 이 요구를 ‘경영권 강탈’로 받아들이며 라인야후 사태는 뜨겁게 달아올랐다.

전문가들은 현재진행형인 라인야후 사태에서 돌아봐야할 지점 중 하나로 ‘데이터 안보 콘트롤타워’가 부재하거나 대통령실이 콘트롤타워 구실을 제대로 못하는 현실을 꼽는다. 민간 플랫폼 회사에 데이터가 집중되는 경우가 부쩍 많고 보안 거버넌스가 국경을 넘나드는 사례가 늘어날 것을 염두에 두면 정부 내에 상대국과의 공조 등을 위해서라도 콘트롤타워의 기능이 중요하다는 뜻이다.

현재 개인정보·데이터 관련 업무는 개인정보보호위원회, 과학기술정보통신부 등 여러 부처에 분산돼 있다. 권한과 의무가 나눠져 있다보니 국가 간 공조도 쉽지 않다. 지난 4월 일본 개인정보 보호당국(PPC)으로부터 라인야후의 보안 사고 관련 공조 요청에 한국의 개인정보호호위원회가 3개월째 무응답으로 일관하는 게 그 예다.

개인정보위의 한 당국자는 10일 “우리 국민의 정보 유출 사고라면 조사하지만 이번 경우는 사정이 다르다. 또 일본의 공조 요청을 받아들이기에는 조사 인력 부족 등 개인정보위의 자원도 제한적”이라고 말했다. 개보위의 이런 소극적 태도에는 자칫 한일 간 외교 문제로 비화할 수 있는 사안에 대해 개보위가 단독으로 뛰어들기에는 부담이 된다는 판단도 깔려 있다.

전문가들은 이런 상황 전개에 아쉬움이 있다고 말한다. 데이터를 기반으로 한 플랫폼 기업의 영향력이 커지고 있는데다 보안 거버넌스도 한층 복잡해지고 있다는 이유에서다. 이와 관련 한일 경제관계 전문가인 김양희 교수(대구대)는 최근 한겨레와 한 인터뷰에서 “한일 양국의 개인보호 당국이 라인야후의 보안 사고에 대해 공동조사를 하거나 재발 방지를 위한 협력 방안을 모색할 수 있었는데 그 기회를 놓쳤다”라고 말한 바 있다. 익명을 요구한 한 정보통신업체 임원은 “정부 내 콘트롤타워가 없다보니 각 부처들이 입장을 흐릿하게 밝히며 적극적인 대응은 회피하는 모양새”라며 “다들 네이버의 입만 바라보는 듯했다”고 꼬집었다.

느슨하지만 개인정보·데이터 관련 국제 공조의 틀이 없는 건 아니다. 한 예로 ‘글로벌 케이프’(Global CAPE·Cooperation Arrangement for Privacy Enforcement) 협정이 있다. 이 협정은 개인정보 보호와 데이터 안보를 위한 공동조사 등 국가 간 협력을 도모하기 위해 지난 2023년 한국·미국·캐나다·일본·오스트레일리아·멕시코 등 아시아·태평양 국가가 주축이 돼 체결됐다. 전문가들은 최근 우리 정부가 가입을 추진 중인 ‘유럽 사이버범죄 방지 협약’(부다페스트 협약)에도 주목한다. 이 조약은 가입국끼리는 사법공조 절차 없이도 직접 외국 기업에 정보제출 명령을 할 수 있는 내용을 담고 있다. 세계 최초의 사이버범죄 공동 대응을 위한 협약으로 평가받는다. 염흥열 순천향대 교수(정보보호학)는 “과기정통부와 외교부 등 정부부처가 부다페스트 협약 등을 바탕으로 국가 간 공조를 긴밀히 하는 데 나설 필요가 있다”고 말했다.

박지영 기자 jyp@hani.co.kr