사고 터진 뒤엔 동의 없이 개인 메일 임의로 삭제해 버려
국내 최대 규모의 포털사이트 ‘네이버’에서 개인정보 유출 사태가 발생했다. 뿐만 아니라 수습과정에서 개인편지함으로 이동된 편지들을 동의 없이 삭제하고 심지어 사용자가 읽은 메일까지 삭제해 논란이 되고 있다.
지난달 30일 네이버는 블로그 광고수익 서비스 사이트 ‘애드포스트’ 이용자들에게 원천징수영수증이 첨부된 이메일을 발송했다. 원천징수영수증이 첨부된 메일에는 블로거의 개인블로그 수익 영수증만 있는게 아니라 다른 블로거들의 개인정보까지 첨부됐다. 애드포스트는 미디어에 광고를 게재해 광고에서 발생한 수익을 배분하는 수익 공유 서비스 사이트다.
네이버는 2200명의 이용자 이름과, 주소, 주민번호, 애드포스트 수익까지 기록된 영수증을 2200명의 다른 이용자에게 한꺼번에 발송했다.
네이버의 대처법 또한 논란이 되고 있다. 네이버는 문제가 되는 영수증메일 전체를 일괄 삭제했다. 아직까지 상대방이 읽어보지 않은 메일을 회수하는 ‘발송 취소’의 방식이 아닌 이미 읽은 메일로 처리돼 편지함에 저장된 메일까지 모두 지워 버렸다. 이 과정에서 네이버는 사용자에게 통보하거나 동의를 구하는 절차 같은 것은 하지 않았다.
이 사태에 한 이용자는 “사실상 사적 공간인 개인편지함에 네이버가 무단 접근한 것 아니냐? 있을 수 없는 행위"라고 말했다. 다른 블로거는 “기술적으로는, 네이버 측에서 언제든지 마음만 먹으면 내 개인편지함까지 접근할 수 있다는 뜻 아니냐”고 반문했다.
네이버는 이런 지적에 대해 “정보통신망법 27조 3의 5항(정보통신서비스 제공자 등은 개인정보의 유출 등에 대한 대책을 마련하고, 그 피해를 최소화할 수 있는 조치를 강구해야 한다)에 규정된 사업자의 의무를 이행한 것이다. 2차 피해가 우려됐고, 기존 법원 판례 등으로 볼 때 피해자인 개인정보 주체들의 권리 구제가 우선시되는 상황으로 판단했다. 발송된 메일 추적·삭제 결정은 회사 법무팀의 법리 검토를 거쳐 했다”고 밝혔다. 개인정보 노출 피해자들의 2차 피해를 막기 위해 어쩔 수 없었다는 것이다.
그리고 네이버는 “사람 손이 아닌 프로그램을 짜서 삭제했고, 발송 이력에 남은 정보와 일치되는 전자우편만을 찾아 삭제했다”며 “네이버 이메일 시스템은 개인편지함에 이메일을 저장할 때 내용을 암호화해서 편지함에 접근해도 전자우편 내용을 볼 수 없다”고 해명했다.
네이버의 늑장대응도 문제다. 네이버가 개인정보 첨부메일을 인지한 시간은 오전 2시쯤이라고 밝혔다. 하지만 해당 메일을 회수한 시간은 11시간 뒤부터였고, 사과 메일은 그로부터 3시간이 지난 뒤부터 발송했다.
업계 관계자는 "IT업체에 있어 보안은 생명과도 같다. 그런 점에서 업계 1위 네이버에서 개인정보가 유출됐다는 사실은 충격이 아닐 수 없다"며 "한성숙 대표가 2차 피해 예방을 위해 사후에 내린 조치를 보면 국내 최대 포털 사이트라는 점을 감안하면 매우 실망스럽다"고 지적했다.
