민감정보 수집·유출 논란 휩싸인 네이버..쟁점은 3가지(종합)

[이데일리 김현아 기자]

국내 최대 포털 네이버가 이용자의 신체사이즈나 가족사진 등 민감 정보를 무단으로 수집하고 해외에 유출하면서도 고객에게 제대로 동의받지도, 고지하지도 않았다는 논란에 휘말렸다.

네이버는 모두 사실이 아니라는 입장이지만, 김영배 의원(더불어민주당·행안위)은 네이버에 대해 ‘개인정보 관련 법률(정보통신망법·개인정보보호법)’ 위반 의혹을 제기했다.

이 사건은 정부가 국가 대전환 프로젝트로 ‘디지털 뉴딜’을 추진하는 와중에 불거져, 어떻게 정리되느냐에 따라 국내 데이터 활용 사업이 크게 위축될 수도 있다.

사건의 쟁점은 ①민감정보 수집 동의 절차의 적법성(제대로 동의받았나, 깨알 같은 글씨) ②해외 이전 데이터의 성격과 보안 준수 여부 및 고지 문제(정보 유출인가, 데이터 백업인가)③이후 바람직한 법·제도 개정방향(데이터3법 후속조치) 등이다.

네이버 가입 화면

①개인이 올린 민감정보, 저장 동의 어디까지 받아야?

이번에 논란이 된 민감정보는 네이버 쇼핑을 이용할 때 자신에게 꼭 맞는 제품을 추천받기 위해 신체 사이즈를 등록할 때 이용자가 올리는 정보이고, 가족 사진은 쥬니버에서 동화 캐릭터가 가족 얼굴로 보여지는 기능을 제공하는 과정에서 이용자가 스스로 사진 정보를 올린 것이다. 비슷한 서비스는 네이버뿐 아니라 다른 인터넷·통신기업들도 하고 있다.

그런데 이에 대해 김영배 의원실은 명확한 동의 없이 수집해 문제라고 비판했다.

김영배 의원실 관계자는 “이용자는 약관에 명시된 필수 및 선택적 개인정보 데이터의 수집에 동의하게 돼 있지만 깨알 같은 글씨도 문제이고, 약관에 동의해야 서비스 이용이 가능해 폭넓은 개인정보와 이용행태가 네이버에 저장된다는 사실을 인지하지 못한다”고 지적했다. 그는 “고객에게 명시적 동의를 받지 않고 커넥티드카 서비스에서 카드번호, 계좌 등 가입자 정보, 목적지, 주행일자 등 GPS 정보, 차량상태와 보험내역, 좌석 세팅값까지 수집한 현대차는 방통위 과징금을 받은 바 있다”고 말했다.

네이버 사이즈 정보 보관 동의 화면

그러나 네이버는 위의 사례에 나오는 신체 사이즈나 가족 사진 등의 정보들은 개인정보보호법이 정한 ‘민감정보’에 해당하지 않지만, 네이버는 프라이버시 관점에서 중요하다고 보고 이용자 선택에 따라 동의를 받아 수집하고 이용하고 있다고 반박했다.

내 사이즈 정보 등 대부분의 민감 정보에 대해 보관을 위한 별도 동의 절차를 받고 있다고 했다. 즉, 동의는 받고 있는데 깨알 같은 표식으로 충분한지와 데이터 기반 서비스에서 선택적 개인정보(개인이 스스로 올린 개인정보)의 활용 범위는 어디까지인가 등이 법 위반 판단 기준이 될 전망이다.

②해외 데이터 이전 문제는 백업으로 나름 정리돼

김영배 의원실은 또 네이버가 2016년부터 국내 네이버 이용자 3200만명의 개인정보를 동의 없이 홍콩으로 이전했다고 밝혔다. 이어 ‘홍콩보안법’으로 인한 홍콩 역내의 국내 이용자의 개인정보 등을 중국 정부가 검열 및 확보하는 것에 대한 우려를 의원실 측이 제기하자, 홍콩 데이터센터 정보는 파기했고 싱가포르로 이전하고 있다고 해명했다고 부연했다.

그러나 이 같은 주장은 이데일리 취재 결과 사실과 차이가 난다. 네이버가 해외로 보낸 것은 고객 신체사이즈의 원본이 아니라 백업용 정보이고, 이는 데이터 유실에 대비하기 위해 해외 데이터센터에 백업용 데이터를 보관하는 인터넷 업계의 관례다. 또한 해당 데이터는 가상사설망(VPN)으로 암호화돼 전송됐고, 해외 데이터 센터에도 암호화된 상태로 보관됐다. 홍콩보안법 시행으로 우려가 커져 현재 싱가포르 데이터센터로 백업 데이터를 이전하는 상황이다. 또한, 백업 데이터 해외(홍콩) 이전에 대해서도 2016년 9월 6일 개인정보 처리방침 개정을 통해 이용자 공지를 진행했다.

③바람직한 선택적 개인정보 활용 범위는?..예측 가능성 필요

사건의 쟁점은 사실 하나라고 해도 과언이 아니다. 정부가 ‘데이터 뉴딜’이라는 말로 데이터를 이용해 새로운 서비스가 만들어지는 시대를 앞당기겠다고 한 상황에서, 쇼핑에 필요한 신체 사이즈를 이용자가 직접 입력하거나 맞춤형 동화 읽기를 위해 스스로 업로드한 가족 사진에 대해 개인정보보호 관점에서 어떤 제도를 확립해나갈까의 문제다.

김영배 의원은 “현행 정보통신망법 제23조 2항에 따르면 개인정보의 경우 최소 수집의 원칙을 따라 서비스 이용과 관련한 필수정보만 수집하는 것이 원칙”이라며 “네이버의 개인정보 수집 및 국외 이전에 관한 사항을 즉각 방통위 등은 조사에 나서야 한다”고 밝혔다.

그런데 의문이 남는다. 김 의원말대로라면 네이버뿐 아니라 모든 기업들은 데이터기반 서비스를 만들 때마다 (고객이 직접 올렸지만) 해당 정보가 저장될 수 있음을 고객에게 고지하고 ‘명시적인’ 동의를 받아야 한다.

IT 업계 관계자는 “인터넷 기업들이 광범위하게 지나친 개인정보를 수집하는 것도 문제이지만 고객이 더 나은 서비스를 위해 스스로 제공한 정보를 건별로 매번 명시적 동의를 받으라는 것은 디지털 뉴딜을 아예 하지 말자는 것”이라고 말했다.

김영배 의원실 관계자는“데이터 뉴딜이 성공하려면 무조건적인 규제 완화보다는 사업자의 예측 가능성을 높여줘야 한다”며 “그런 의미에서 선택적 개인정보의 활용범위와 절차에 대한 판단이 중요하다”고 밝혔다.