Offcanvas

보안 / 분쟁|갈등 / 클라우드

강은성의 보안 아키텍트ㅣ라인야후 사태를 보며 - 소프트웨어 산업과 정부의 역할

2024.05.13 강은성  |  CIO KR
사용자의 ‘눈’과 ‘손가락’을 점유하는 것은 모든 B2C 기업의 최대 과제다. 이를 통해 고객 충성도(Lock in)를 확보하고, 트래픽과 광고, 구매와 결제로 수익을 창출한다.

2000년대 후반 네이버의 경영진 중 한 분에게서 네이버가 가장 부러워하는 서비스가 ‘네이트온’이란 말을 들은 적이 있다. 네이버가 포털에서 압도적인 우위를 차지했지만, (모바일이 미미하던 시절) 사용자의 데스크톱은 네이트온이 장악하고 있을 때였다. 무슨 뜻인지 어렵지 않게 이해할 수 있었다.

모바일이 대세가 되면서 카카오톡이 국내 사용자의 ‘눈’과 ‘손가락’을 압도적으로 점유할 때, ‘글로벌의 꿈’을 일본 검색시장에서 이루고자 했던 네이버는 숱한 실패 끝에 ‘후쿠시마 원전 사고’ 환경에서 ‘라인’을 개발하여 글로벌의 꿈도, 사용자 점유의 꿈도 이뤄냈다.

일본, 대만, 태국 등의 메신저 시장에서 압도적 1위를 차지하는 라인은 사용자 수 10억 명, 월간 이용자 수(MAU) 2억 명을 넘는 세계 6~7위권의 ‘글로벌 메신저’ 반열에 올랐다. 우리나라에서 카카오톡을 통해서 하는 일을 다른 나라에서 라인을 통해서 하는 것이다.

문제의 발단은 지난해 10월 말에 발생한 라인의 개인정보 유출 사고였다. 일본의 한 언론에 따르면, 공통 인증시스템으로 관리되는 인사정보시스템을 네이버클라우드와 라인야후가 공유하고 있어서, 악성코드에 감염된 네이버클라우드의 수탁사 직원 PC를 통해 공격자가 라인야후 내부시스템에 접근하여 라인 메신저에 연결된 44만 건의 개인정보를 유출했다고 한다(최종 52만 건으로 발표).
 
   • “네이버 라인 압박한 日, 928만 건 개인정보 유출 NTT는 약한 제재” (조선일보, 2024.4.27)

적지 않은 개인정보 유출이 발생했을 때 정부는 보통 과징금이나 시정조치와 같은 ‘행정 제재’를 부과한다. 금액의 많고 적음에 차이가 있긴 하지만, 세계적으로도 강력한 개인정보보호법으로 간주하는 유럽연합의 GDPR(General Data Protection Regulation)에 따른 제재도 그렇다. 국내에서도 마찬가지다.

일본 정부가 개인정보 유출 사고에 대한 제재에서 네이버의 지분을 소프트뱅크에 매각하라고 압박하는 것은 자본주의 사회에서 일상적 방식은 아닌 것 같다. 적절한 이유도 대지 않고 특정 상품과 서비스를 퇴출시키는 중국이나, 중국 정부로 개인정보 유출이 의심된다며 ‘틱톡 금지법’까지 만들어 틱톡을 퇴출시키려는 미국은 상당히 특이한 사례다. 특정 사건보다는 중국의 사회체제, 미국의 중국 견제가 오히려 이러한 현실의 배경으로 읽히는 이유다.

이번 네이버에 대한 일본의 압박 역시 라인의 개인정보 유출 사고를 빌미로 한 일본 정부의 한국 (기업) 견제로 보는 것이 합리적이다. 2019년 7월 일본 정부가, 일제 강점기 강제노역 피해자들의 손해배상에 관한 우리나라 대법원 판결에 대한 보복으로 갑자기 불화수소 등 반도체·디스플레이의 핵심 소재에 대해 수출 규제를 했던 것과 비슷하다는 느낌이 들면서, IT 업계에 오래 몸담았던 사람으로서 당혹스럽다. 당시와는 다른 정부의 소극적인 대응 또한 아쉬운 것이 사실이다.

지난 4월 초에 ‘정부24’에서 개인정보가 유출되었다는 기사가 나왔다.

  • '정부24'에서 다른 사람 서류 발급…개인정보 1,233건 유출(종합) (뉴시스, 2024.5.5)

성적·졸업증명서 등 교육민원 서비스와 납세증명서를 발급받을 때 다른 사람의 서류가 발급된 것인데, 각각 646건, 587건(합 1,233건)이 잘못 발급되었다고 한다. 다른 사람이 내 이름, 주민등록번호, 주소, 납세 내역 등을 알게 된 것이다. 더욱이 법률에 따라 정보주체의 동의 없이 수집된 개인정보라서 정보주체가 서비스를 탈퇴하거나 ‘처리정지’를 요구할 수도 없다(개인정보보호법 제37조(개인정보의 처리정지 등) 제2항 제1호).

세계 최고를 자부하던 대한민국 전자정부가 왜 이렇게 됐을까 하는 생각을 하면서 관련 기사를 찾아 읽다가 다음 문장이 눈에 들어왔다.
 
 
  • 행안부는 "현재까지 관련 서류는 정상 발급되고 있다"며 "모두 (외주) 개발자의 프로그램 개발상 실수로 밝혀졌다"고 했다.
  • 이번 오류발급과 관련해 사업자의 법률 및 계약 위반 사항 검토 등 필요한 조치는 법적으로 처리할 계획이다.

(외주) 소프트웨어 개발에 관한 것이니 (외주) 개발자가 잘했으면 오류가 없었을 것이라는 설명은 누구나 할 수 있는 말이지만, 그것이 당국자의 입에서 나오는 것은 적절해 보이지 않는다. 특히 서비스가 잘 작동할 때는 (외주) 개발자 얘기가 거의 나오지 않는데, 뭔가 잘 안될 때 (외주) 개발자 책임이 거론되는 소프트웨어 관련 업계의 현실은 소프트웨어 발전을 위해서도 바람직하지 않다.

사실 시스템 통합(용역 개발)에서는 외주 개발사 경영진 - PM(또는 PMO(Project Management Office)) - 개발팀 - QA팀 등 ‘실수’와 ‘책임’의 주체가 여럿 있고, 잦은 요구사항 변경, 서비스 기획의 허술함, 개발 인력 부족(낮은 비용), 개발 프로세스의 미비, 미흡한 QA 등 개발자가 할 수 있는 범위를 넘어서는 문제를 잘 처리하는 것이 매우 중요하다는 점 또한 간과하지 말아야 한다.

지난해 3월에는 전체 법원 전산망 마비 사태, 6월에는 4세대 교육행정정보시스템(NEIS) 장애 사태에 이어 11월에는 온 국민의 민원을 처리하던 행정전산망에 초유의 마비 사태까지 발생했다.

정부는 다음과 같이 이 사태의 원인 분석과 대책을 내놨다.

   • 지방행정전산서비스 장애원인 및 향후대책 관련 브리핑 (2023.11.25)
   • 정부 “디지털행정서비스 장애재발 방지와 재도약 기반 마련” (행정안전부 보도자료, 2024.1.31)

하지만, 장애원인 브리핑 속기록에서 기자들이 계속 질문할 수밖에 없을 정도로 장애의 타임라인과 원인을 정리한 보고서가 없다. 브리핑도 11월에 발생한 일련의 사고가 아닌, ‘새올’과 ‘정부24’ 사고에 한정되어 있다. 재발 방지에 관한 보도자료는 구체성이 충분해 보이지 않는다. 이런 정도 사태라면, 수십 쪽 정도의 보고서는 있어야 하지 않을까 싶다.
 

“언제 누가 어떤 정보를 접하고 어떤 결정을 내렸는지 살피는 과정이 포함된다. 시간을 거슬러 올라 근원을 찾는 데 집중한다.”

2022년 10월, 입주해 있던 데이터센터 화재로 며칠 동안 카카오톡, 카카오페이 등 주요 서비스가 먹통이 되는 초유의 사태를 겪어 사회적 비판을 받은 카카오는 2022년 ESG 보고서를 발간하면서 ‘안정적인 서비스를 위한 카카오의 다짐’이라는 꼭지에서 사건의 타임라인과 원인, 대책을 비교적 정확하게 적었다.
 

“안정성 확보 차원에서 공공 소프트웨어 사업에 대기업 참여를 허용하고”
“중견SW기업들 ‘정부 정책, 중소기업 육성 취지에 반해’”

정부 대책의 한 꼭지에 나온 700억 원 이상의 공공 소프트웨어 사업에 대기업 참여를 허용하겠다는 정책과 그에 대한 중견 소프트웨어 기업들의 비판을 읽으면서, 이것이 어떤 원인에 대한 대책인지, 소프트웨어 산업과 기업을 육성하기 위한 기존 정부 정책을 뒤집는 것이 그 원인의 유일한(또는 최고의) 대책일까 하는 생각이 들었다. 원인과 대책에 관한 사회적 공감을 얻기 위해서도 ‘포스트 모템’을 수행한 결과 보고서가 필요하지 않을까 싶다.

소프트웨어 산업에서 정부는 소프트웨어 산업 생태계의 관리자, 소프트웨어의 구매자, 소프트웨어 운영을 이용해 국민의 개인정보를 다루는 개인정보처리자 등의 역할을 수행한다. 인공지능, 데이터, 소프트웨어가 핵심인 4차 산업혁명의 시대에 정부의 역할을 곰곰이 생각하게 되는 아침이다.

* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 정보보호학과 조교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다.
ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.