오늘의 말풍선/有口無言

웹사이트 개인정보 유출, 이젠 생각과 방법을 바꿔야할 때

Shain 2008. 3. 12. 15:53
728x90
반응형
옥션에 개인정보 유출 사건이 손해배상소송으로 발전한다고 한다. 회원 1760만명의 정보를 유출하게 한 책임이니 엄청난 결과가 예상되었지만(국민의 절반 인원에 가까운 정보가 유출됐으니), 아직은 공방이 오고가는 정도다. 정보 유출 사건이 있을 때 마다 은폐 수순을 밟는다는 소문이 있다(아래 참고)고 하는데 이 소송 분위기가 온라인 시장에 어떤 변화를 가져올 지 지금은 알 수 없다.

1인당 200만원 정도로 카페 두곳에서 3월 소송을 예정으로 준비 중이라고 한다. 다음과 네이버 두 곳에 개설된 카페는  cafe.daum.net/auctionlawsuithttp://cafe.naver.com/savename 이다. 개인정보 유출 사례는 예전부터 도마에 오르던 문제지만 이렇게까지 큰 사건으로 비화된 건 처음이 아닌가 싶다. 귀추가 주목되는 소송이다. 익명성을 목적으로 하지 않더라도 개인은 사소한 자신의 정보를 남에게 보이지 않을 권리가 있다. 개인정보유출에 관한 마인드는 전반적으로 허술한게 아닐까.

사용자 삽입 이미지

우리 나라는 인터넷이 처음 발전할 때부터 주민번호를 비롯한 사적인 데이터를 지나치게 간편하게 입력받은 경향이 있다. 개인정보보호정책의 구현과 실현도 엄격하지 못했던 측면이 있다. 회원을 관리하기 쉽자고 입력한 '회원정보'가 관리되지 못하는 지경에 이른 것이다. 네이버를 비롯한 크고 작은 사이트에서 입력된 개인정보들은 쉽게 입력된 만큼 쉽게 관리되고 있다는 지적이 하루 이틀은 아니었다고 생각한다. 어느 웹사이트건 개인정보의 종류가 다양할수록 커다란 책임을 지는 것이 당연하다.


사용목적을 명시하지 않으면 절대 함부로 이용할 수 없는 개인정보

아주 오래전 같이 일하던 어느 직원이 지원서에 올라온 개인 신상정보를 세세히 읽고 있길래 항의한 적 있다(업무 이야기를 자세히 설명할 수는 없지만 행사 참가자 프로필 비슷한 것). 프로필 사진이 예쁘다나 뭐라나. 당시엔 개인정보 보호 개념도 흔치 않았고, 남들 보라고 제공한 거 아니겠냐는 그 녀석의 뻔뻔한 항의도 들었지만 나로서는 그 녀석 하는 짓, 생각하는 방식이 상당히 짜증났다.

개인정보를 제공했다는 사실과 개인정보를 품평하며 돌려보는 것의 차이를 모른다고 생각하니 다음부터 어디 참가신청서 하나 내는 것도 기분 나쁘겠구나 싶어 불쾌하기도 하다. 이런 경우 이외에 당사자의 동의를 받지 않고 연락 목적으로 수집된 이메일(설문조사 등의 경우)을 다른 용도로 이용하는 케이스도 있다. 개인정보 관리에서 문제가 되는 것도 이런 류의 가벼운 마인드 아닐까. 입력받은 개인정보는 다양하지만 많은 경우, 그 정보의 이용 여부가 소수에게 좌우된다.

사용자 삽입 이미지

사소한 개인 정보라 할 지라도 수집할 땐 허락을 받아야한다. 웹사이트의 보안을 위한 정보 이외는 수집 대상이 될 수 없다. 출처 : 옥션 회원가입, 개인정보 수집 정책


개인정보의 가치가 이렇게 하잘 것 없는 것이었나. 아니면 경품의 댓가로 이용될 수 있는 대가성 정보였나. 가끔 전혀 이해할 수 없는 마인드를 만나곤 한다. 그래도 주민등록번호를 비롯한 회원정보를 아무 생각없이 입력하라고 하던 사이트는 오픈아이디를 사용하면서 많이 사라졌다. 탈퇴한 지 오래된 사이트에서 내 정보를 가지고 있거나 내가 지워버린 글도 보유하고 있는 일이 흔했었지만 앞으로는 최대한 입력 정보를 줄여 위험을 방지하고 책임도 줄이는게 맞지 않을까.

그러나 그 오픈소스 메일이나 아이디, 블로그 인증 방식이 '회원정보를 입력한' 메일을 통한 것이고, 회원의 사이트 내 이용 히스토리(로그)를 나도 모르는 새 자세히 저장하는 경우를 만나면(보안을 위한 것 치고는 지나치게 자세한 히스토리) 완전히 개인정보 입력이 사라졌다고 하기엔 힘들 듯 하다. 자세한 신상정보는 아니더라도 가입시 동의하지 않는 사적 기록(프라이버시)을 조회해볼 수 있다는 이야기다. 또 오픈 아이디가 익명성을 위한 방법 정도로 인지되면 곤란하다.


사소한 개인정보 침해는 사과받을 수 없었다

회원가입시 최소한의 정보입력을 가입 철칙 쯤으로 삼아온지 오래됐지만, 사이트 개편 후 기본 신상정보(실명) 공개했으되 사과하지 않는 사이트를 본 적 있다. 담당기관에 신고했지만 센터의 반응은 '그 정도 사소한 실수는 사과받지 못한다' 였다. 사이트 개편 중 실수가 난 건 내가 사과받을 문제인데다 내가 이해해줄 사정이고 센터께서 이해시켜줄 일은 아닌 것 같은데 해당 사이트 대신 사과해주는 친절이 황당했다.

사용자 삽입 이미지

권고나 경고의 여부는 이 기관의 판단 문제지만 사과해야할 사람은 이 가관이 아니라 해당 업체다. 평소 사과하는 법이 없는 업체라 단속 기관에 신고했지만, 역시 뭐가 달라도 다르다.


이번에 알려진 옥션(http://www.auction.co.kr) 사건 때문에 화제가 되긴 했지만, 네이버의 주민등록번호 유출 때문에 중국인이 한국인 주민번호로 국내 사이트 가입을 한다는 이야기는 아주 오래된 루머같은 것이다(아버지가 가입하지 않은 지마켓에 아버지 주민번호를 사용하는 사람이 있어서 알아봤다. 여기저기서 들어보니 잘 알려지지지 않은 사실인 모양이다).

개인정보 유출 우려는 꽤 오래전부터 언급되어 왔지만, 쉽게 데이터를 받아 쉽게 관리하고 조용히 넘어가는 이런 간편한 마인드를 가끔 찾아볼 수 있는 것 같다. 철저한 관리 원칙 하에 사고를 미연에 방지하고 테스트해야할텐데 웹서비스에 상업성이 지나치게 빨리 결합되는 까닭인지 사소한 건 그냥 넘긴다. 항의하는 유저가 적은 건지 공식적으로 언급않는 건지 알 수 없다. 아무리 사소한 문제지만 사과라도 제대로 했으면 좋겠다.


개인 데이터는 지워도 사과 안하는거라고?

메신저로 유명한 모사이트는 메신저를 업그레이드할 때 한번도 업그레이드 여부를 물어본 적 없다. YES 또는 NO를 선택함 없이 실행하면 업그레이드된다. 이게 평소에는 별로 문제될 것 없는데 업그레이드 시 기존 프로그램과 기록을 임의로 지우고 새로운 버전의 프로그램을 깔 때는 개인이 저장한 데이터가 지워진다.

지인들과 오래전부터 이용하던 메신저라 사적 대화 기록들을 메신저 폴더에 저장해두곤 했는데 어느날 업그레이드 하면서 프로그램 설치 폴더를 바꾼답시고 그 개인기록을 무단으로 지워버린 것이다(복구가 되지  않는다). 업그레이드 여부를 물어본 적 없기 때문에 개인의사와 상관없이 삭제해버린 셈이지만 이 사이트의 반응은 역시 대수롭지 않았다. 꽤 심각하게 항의했으되(내 PC의 기록을 맘대로 지운다는 사실에 분노) 사과는 받지 못했다.

사용자 삽입 이미지

공지사항에 지워서 죄송합니다는 전혀 없지만 '지워질 수 있습니다'라는 말은 형식적으로 올렸다. 개인적인 사과 조차 없었으니 대단한 배짱이라고 해야할지 가볍게 넘어가시는 마인드에 박수를 쳐야할 지


대신 며칠 지나 위와 같은 공지가 떴다. 프로그램이 언제 어느때 강제 업그레이드를 해 내 데이터를 지워버릴 지 모르니 매일 매순간 업데이트를 하라는 발상인 셈이다(프로그램 경로 변경 업그레이드를 실시한 건 그 때가 처음이다). 어느 용자가 남의 컴퓨터의 사적 기록을 지워놓고 이렇게 뻔뻔한 반응을 보일까. 이 지독한 반응을 두고 신고를 고려해 보았지만 이전 반응을 기억해내곤 저절로 인상을 쓰고 말았다.

누군가는 대체 왜 저장을 했느냐는 반응을 보일 지도 모른다. 이런 문제에 대해선 단속할 사람이나 저지른 사람이나 중국인의 주민번호 도용을 그리 나무랄 수 없는 마인드를 종종 보인다. '아주 사소한 사적인 기록일 지라도 함부로 대할 권리가 없다'는 말은 공염불이 되는 셈이다. 회사가 무슨 짓을 하든, 개인 데이터 저장에 책임이 없다고 약관을 바꾸는 쪽이 빠르겠지.


일단 정보를 보관했으면 도둑맞은 사람 책임

자신을 스토킹하다시피 하기 때문에 절대로 작은 정보 하나도 알려주고 싶지 않은 상대가 있다고 치자. 전화번호는 커녕 기호 음식 조차 알려주고 싶지 않은데 조금 생각이 모자란 내 친구가 나에 관한 정보를 시시콜콜 그 상대에게 전해주고 있다면? 매우 사소한 정보고, 그 정보 공개로 인해 아무 일이 일어나지 않더라도 기분이 좋을 리 없을 것이다.

그런 경우까지 가정하지 않더라도 개인정보의 무게는 결코 가볍지 않다. 옥션 측은 3월 6일 '카드번호, 비밀번호 등을 포함, 회원 1천760만명의 개인정보가 유출됐다고 일부 언론을 통해 알려졌으나 카드번호와 비밀번호의 경우 별도의 테이블이 있어 그것 만큼은 절대 유출될 수 없다(소송집단 측은 반대 입장)' 라는 입장을 발표한 것으로 알려져 있다. '민감한(사기록 유출에 대체 왜 민감한 이란 수식이 붙는 지 알 수 없지만)' 개인들을 잠재우기엔 제법 무책임한 발표다.

사용자 삽입 이미지

기존의 방식으로 완벽하게 보호할 수 없다면 저장할 정보가 없는 쪽으로


어느 수준의 정보 유출이 이루어졌을 지 알 수 없으나 1760만명의 정보라는 무게가 부담스런 느낌으로 다가온다. 이메일에 첨부된 악성코드를 실행하는 방법을 이용한 것으로 보이고, 범인은 중국인으로 추정된다. 몇년전부터 중국에 한국인들의 개인정보가 거래된다는 이야기가 떠돌고 있었다. 그러나 범인이 중국인이라는 사실을 강조하면 할수록 개인정보에 대한 마인드가 꼼꼼해야 한다는 사실을 잊어선 안된다고 본다. 이번 소송에 몇명의 인원이 참가할 지 몰라도 옥션은 그에 해당하는 분노는 충분히 감당해야할 듯 하다.




* 특정 사이트를 비난하기 위한 포스트가 아니므로 네이버나 옥션을 제외한 사이트 명칭을 제외하도록 합니다. 또 보안 분야에 대한 '전문지식'이 짧은 까닭에 허술히 관리된 가벼운 개인 사례(엄밀히 은폐 사례)를 적은 것 뿐이지만 과연 '해킹이 반드시 일어날 수 밖에 없는 구조'인지 '해킹이 있을 수 있음을 알면서 정보를 입력하는 구조'인지 또는 '막을 수 있지만 막지 않는 것인지' 따져보는 일이 필요한 것 같군요. 프라이버시를 함부로 여기고, 관행에 따라 개인정보를 보관하고 사고 이후 책임 추궁하는 이 구조를 개선해야 합니다.


728x90
반응형