네이버, 개인정보 유출인가? 시스템적 해결책인가?
네이버나 카카오나.. 둘 다 위험한가? 한국 내의 서비스의 문제?
https://www.mk.co.kr/news/it/view/2019/05/282358/
네이버 자체적으로 발송하는 광고수익 서비스인 '애드포스트'의 개인정보가 담긴 메일을 오발송하는 사고가 발생했다. 이 문제가 그냥 진행이 되었다면, 네이버는 '소송'이거나 '벌금'과 관련된 회사의 손해가 발생할 것이 불을 보듯 뻔하기 때문에 이 문제를 매우 적극적으로 해결한 것으로 보인다.
문제는 발송된 이메일을 '발송 취소'하는 형태가 아니라, 이미 읽어봤거나, 개인 편지함에 저장된 메일 드을 모두 찾아서 지워버린 것에 대해서 시스템과 소프트웨어를 아는 전문가들은 매우 당혹해하고 있으며, 문제에 대해서 지적을 하고 있다.
가장 큰 문제는 '일괄 삭제'를 취한 기능과 구조에 대해서 네이버는 고객들에게 설명을 제대로 한 적이 없으며, 해당 기능이 존재할 것이라고는 생각하지 않은 고객들이 더 많다는 것이다.
특정 메일 ID나 속성을 기준으로 메일을 삭제하면서 개인의 메일 내용을 보지 않도록 만들 수 있다는 것을 모르는 것이 아니다.
네이버의 이야기대로 메일 내용은 암호화되어 저장되고 열람이 불가능하다는 이야기에 대해서는 이번과 같은 전체적인 삭제가 가능한 기능에 대해서 이야기가 된 적이 없는 것처럼, 암호화된 것을 복호화되는 기능이 존재하지 않는다는 것에 대해서 누가 믿을 수 있겠냐는 것이다.
그리고, 더 심각하게 생각하는 것은 네이버 자체 내의 '애드포스트'에서 개인정보를 다루는 프로세스의 허술함이 더 경악스럽게 무지하다는 점을 지적하고 싶다. 이 문제가 더 심각하며, 과연 개인정보를 집중적으로 다루고 있는 포털의 역할을 제대로 하고 있는 것인지에 대해서 묻고 싶다.
네이버는 이 문제를 다음과 같이 해소했어야 했다.
첫째. '애드포스트'의 개인정보가 담긴 메일을 오발송하는 단계의 시스템을 제대로 만들지 못했다는 것이 이 문제의 시발점에 해당된다. 이름, 주소, 주민등록번호, 수입 등의 데이터가 만들어지고, 이메일에 탑재되는 과정에 있어서 개인정보를 취급하고 처리되는 보호장치들을 제대로 만들었어야 했다.
모든 문제는 이 부분에서 네이버가 가장 크게 잘못한 것이다.
둘째. 해당 이메일이 발송되는 형태에 복호화 과정에서 은행이나 보안이 필요한 곳에서 사용되는 암호화 체계를 사용해서 개인정보 문서를 만들었어야 했는데. 이 부분도 간과하고, 개인정보가 담김 이메일을 보안장치 없이 발송하게 된 것에 대해서는 진지하게 그 책임을 물어야 한다.
이 부분이 제대로 보안이 되어 있었다면, 전체 삭제 기능과 같은 슈퍼 기능을 사용하지 않았고, 권고나 삭제에 대해서 권고했을 것이다.
셋째. 네이버가 이야기하는 2차 피해가 큰 상황에 대한 우려는 맞는 것이다. 문제는, 그들의 권리를 위한 것이 진정으로 중요했다면, 사용자들의 개인적인 권리에 대해서도 충분하게 고려해야 한다는 것이다. 마찬가지로, 중요한 개인정보가 담긴 기능들을 일반적인 이메일 서비스를 통해서 보내지 말았어야 했다. 이 역시, 잘못된 시스템 설계와 구성이라고 정리할 수 있다.
넷째. 차라리. 해당 메일을 발송한 사용자들의 기능을 중지하고, 그들과 해당되는 내용에 대해서 이야기를 하고, 사용자가 삭제를 하거나, 대응 방법에 대해서 동의를 받고 기능을 가동하는 형태로 진행이 되는 것이 맞는 것이다.
네이버는 자신들의 서비스의 동작을 가장 중요하게 생각했고, 네이버의 책임문제만 생각한 것이다.
네이버가 가령, 시스템을 일부 중지하고, 해당 사용자들에게 모두 동의하는 절차를 진행했다면, 네이버는 시스템의 신뢰를 얻는 가장 중요한 단계를 거치면서 한층 높아진 시스템 보안이나 개인 정보에 대한 취급에 대해서 구체적인 행동을 취하는 서비스 제공자라고 인식될 수 있었지만... 네이버의 선택은 단호했다.
문제를 해결하기 위해서 슈퍼 기능을 가동한 것이며,
알려지지 않은 슈퍼 기능을 통해서 언제든지 관련된 개인 사용자들의 정보나 단계에 대해서 기능을 구현하여 삭제처리가 가능하다는 것을 실증한 것입니다.
냉정하게...
과연, 네이버는 사용자가 주고받는 메일에 대해서 손댈 수 없을까요?
글쎄요... 이 문제를 바라보는 소프트웨어 전문가들은 모두 이렇게 이야기할 것입니다.
네이버는 없다 하지만, 해당 기능은 언제든지 만들 수 있다는 것을 보여주었다.
