[칼럼] ‘라인’ 사태…네이버 측 잘못은 없었나? 日 개인정보 중국 유출

전경웅 객원칼럼니스트/자유일보 기획특집부장
2024년 05월 11일 오전 10:01 업데이트: 2024년 05월 11일 오전 10:01

중국 공산당, 미국과 동맹국 개인정보 입수에 혈안
일본 국민 메신저 ‘라인’, 사실상 사회적 인프라 취급
네이버, AI 연구한다며 중국업체에 한·일 서버 접속 권한

일본과 대만, 동남아에서 ‘국민 메신저’로 사용되는 ‘라인(LINE)’과 관련해 국내 여론이 시끄럽다. 국내 언론은 “일본이 네이버 측에 라인 지분을 강제로 매각하라고 압박한다”며 “윤석열 정부는 대체 뭐 하고 있느냐”는 식의 보도를 내놓고 있다.

그런데 국내 언론이 제대로 보도하지 않는 부분이 있다. ‘라인’의 주요 주주인 네이버 측이 지난 3년 동안 일본 정부의 ‘보안 강화’ 요청을 듣고도 소홀히 관리하다 중국 위탁업체를 통해 사용자 개인정보가 유출됐다는 부분이다. 뿐만 아니라 네이버 측은 일본 정부에 제대로 된 대책도 아직 제시하지 않고 있다.

◇ 일본 9600만 명, 대만 2100만 명 등 동아시아 2억 명이 사용하는 ‘라인’

‘라인’은 현재 세계적으로 1억 9900만 명이 수시로 사용하는 메신저다. 2011년 3월 일본 도호쿠 대지진 발생 이후 기존 통신망이 마비된 것을 본 네이버 측이 재난재해 발생 시에도 소통이 가능한 메신저로 만든 것이 ‘라인’이다. 말만 메신저일 뿐 실질적으로는 ‘대형 플랫폼’이다. ‘라인’을 통해 금융, 결제, 쇼핑 심지어 행정 서비스까지 일부 가능하다.

국내에서 ‘라인’은 ‘카카오톡’ 등에 밀려 힘을 발휘하지 못하지만 일본, 대만, 동남아에서는 다르다. 일본 국민 1억 2400만 명 가운데 9600만 명이 사용 중이고, 대만에서는 2300만 국민 가운데 2100만 명이 사용하고 있다. 태국은 인구 7000만 명 가운데 4700만 명이 사용 중이다. 인도네시아, 스페인, 투르크메니스탄 등에서도 1000만 명 이상이 ‘라인’을 사용하고 있다.

이처럼 ‘라인’은 단순한 메신저가 아니라 초거대 플랫폼 사업자로 현지 사회가 움직이는 데 필수적인 사회기반시설 역할을 하고 있다. 특히 일본에서는 스마트폰을 쓰는 사람은 모두 사용하는 소통 수단이자 ‘사회적 인프라’로 여겨지고 있다. 일본 정부 또한 이점을 알고 있기에 경제안전보장추진법에 따라 ‘라인’을 ‘특정사회기반사업자’로 지정했다.

이런 ‘라인’임에도 주요 주주인 네이버 측은 국내에서 하듯 개인정보를 관리해온 사실이 3년 전 언론의 폭로로 드러나 논란을 빚은 바 있다.

◇ 사실상 일본 기업 ‘라인’…일본인 사용자 정보에 중국인 접속 허용하며 논란 시작

‘라인’을 처음 만들어 출시한 회사는 네이버의 일본 지사, 즉 NHN 재팬이다. 이후 ‘라인’이 성공하면서 회사 이름도 아예 ‘라인’으로 바꿨다. 이후 손정의 회장으로 유명한 ‘소프트뱅크’ 계열사 ‘야후 재팬’과 함께 지주회사를 만들어 공동 운영을 시작했다.

나중에 ‘소프트뱅크’의 사업 분리에 따라 2019년 10월 ‘Z 홀딩스’로 이름을 바꿨고, 이어 11월 ‘라인’과 경영 통합을 했다. 이후 ‘소프트뱅크’와 ‘네이버’가 지분 50%씩을 가진 ‘A홀딩스’로 통합됐다. 그리고 2023년 2월 두 그룹은 아예 ‘라인’과 ‘야후 재팬’을 합쳐 이름을 ‘라인 야후’로 바꿨다. 이렇게 지금의 ‘LY 홀딩스’가 된 것이다.

이처럼 ‘라인’은 ‘네이버’와 ‘소프트뱅크’가 정확히 절반씩 지분을 갖고 있다. 하지만 주식은 일본 증시에 상장돼 있고, 직원도 대부분 일본인이다. 특히 임원은 거의 다 일본인이 맡고 있다. ‘라인’ 임직원들 또한 자기 회사를 일본 기업으로 인식하고 있다. 매출도 거의 일본을 중심으로 일어난다. 그런데 ‘라인’ 서버를 네이버가 주로 관리하고, 서버가 한국에도 있다는 점이 논란이 됐다. 하지만 한국과 일본은 ‘국경 간 프라이버시 협약(CBPR)’에 가입해 있어 문제가 되지 않았다. 정작 문제가 된 건 ‘네이버’의 서버 및 개인정보 관리였다.

네이버가 ‘라인’에 AI(인공지능) 기능을 탑재하기 위해 연구하면서 중국 업체에 한국과 일본에 있는 서버 접속 권한을 준 사실이 드러난 것이다. 2021년 3월 일본 <아사히신문>은 “라인이 서비스에서 사용하는 AI 등의 개발을 중국 상하이에 있는 회사에 위탁을 했는데 중국인 직원 4명이 시스템 개발 과정에서 일본 서버에 보관하는 사용자 정보에 접근할 수 있도록 했다”고 폭로했다. 신문은 “이런 상황이 2018년 8월부터 이어졌고, 중국인 직원 4명은 최소한 32번에 걸쳐 일본 서버에 접촉한 것으로 알려졌다”고 전했다.

[뉴스1] ‘개인정보 중국 유출’ 논란 휘말린 日라인 서버에 韓 개인정보도 보관
[연합뉴스] 日언론 “라인 개인정보 보호 부실”…中에 누출 우려 의혹 제기

‘라인’ 측은 “부적절한 접속은 현재까지 파악되지 않았다”면서도 “올해 2월 24일부터 이들이 (개인정보 보관) 서버에 접속할 수 없도록 조치했다”고 밝혔다.

그런데 문제는 여기서 끝나지 않았다. 이튿날 <아사히신문>이 “라인 사용자들끼리 주고받은 대화 속 사진과 동영상이 한국 내 서버에 보관되고 있다”면서 “그러나 사용자들은 이런 상황을 충분히 설명받지 못했다”고 보도했다. ‘라인’이 사용자들이 주고받은 콘텐츠를 한국 서버에 보관한 것은 2012년부터라고 신문은 설명했다. 뿐만 아니라 결제 서비스 ‘라인 페이’ 거래정보도 한국 서버에 보관하고 있었던 것으로 드러났다.

신문은 “서버 구축과 비용 측면에서 (일본보다) 한국이 유리했다”는 마스다 준 ‘라인’ 최고전략마케팅책임자의 말과 함께 “한국에 근무하는 ‘라인’ 자회사 직원이 해당 서버 접속 권한을 갖고 있으며, 권한을 가진 직원 수와 업무 내용, 접속 이력 유무 등에 대한 조사를 진행 중”이라고 전했다.

이 일로 ‘라인’ 측은 개인정보 보호지침 내용을 개선하고 한국 서버에 보관 중인 데이터를 2021년 9월까지 일본으로 이전하는 계획을 세웠다. 하지만 이 일로 일부 지자체에서 시행하던 ‘라인 행정서비스’를 중단했다. ‘라인’ 측은 이후 사용자 정보보호를 열심히 하는 것 같았지만 지난해 더 큰 사건이 터졌다. 50여만 건의 개인정보가 유출된 것이다.

◇ 中 공산당, 2017년 6월 ‘국가정보법’으로 외국기업 정보까지 마음대로 수집

2021년 3월 <아사히신문>이 보도하고 일본 정계가 문제를 삼은 이유는 “한국에 중요한 정보를 담은 서버가 있다”는 게 아니라 “그 서버에 중국인이 접속했다”는 점이었다. 중국의 개인정보 탈취는 미국뿐만 아니라 일본에서도 ‘국가안보’ 문제로 다뤄진다. 특히 2017년 6월 중국 공산당이 ‘국가정보법’을 시행하면서 일본은 자국민 개인정보가 중국인 손에 넘어가는 것에 극도로 예민하게 반응해 왔다.

이해 10월 일본 IT전문매체 <IT미디어뉴스>는 ‘라인’의 모회사인 ‘Z홀딩스’가 외부 전문가들로 구성한 특별위원회에서 내놓은 보고서 내용을 전했다.

특별위원회는 “(라인 측이) 중국법인이 자료를 유출한 사실을 인지하지 못했고, 중국법인에 업무를 위탁하는 과정에서 발생할 수 있는 위험을 고려하지 않았으며, 추후 결정을 검토할 수 있는 시스템이 마련되어 있지 않았으며, 중국에서 국가정보법이 시행된 이후에도 시스템 재검토를 위한 논의가 없었다”고 밝혔다. 그리고 특별위원회는 수평적·수직적 감시를 통한 개인정보보호 거버넌스 체계를 구축하라고 권고했다.

하지만 ‘라인’은 권고를 제대로 따르지 않은 듯한 상황이 계속 일어났다. 일본 시사매체 <센타구(選擇)> 2022년 2월호에 따르면, 2021년 3월 ‘라인’의 개인정보 문제가 불거진 지 4개월 뒤 ‘라인’을 사용하던 100여 명의 공무원과 군 고위 관계자 개인정보가 해킹으로 유출됐다. 또한 13만 3000여 명의 ‘라인’ 결제 서비스 사용 정보가 인터넷에서 유통되는 사건이 발생했다. 사건 직전에는 일부 사용자에게 이중 청구가 일어났다.

<센타쿠>는 “무엇보다 중대한 사안은 일본 수사기관이 ‘라인’에서 사용하는 도구를 중국에서 개발했다는 점”이라고 지적했다. 일본 수사기관은 종종 ‘라인’에서 범죄자들의 비밀스러운 대화 등 각종 증거를 수집하는데 그 대상 가운데는 중국 스파이도 포함돼 있다. 중국 공산당은 ‘국가정보법’을 통해 자국 기업에서 모든 정보를 받을 수 있다. 즉 일본 수사기관이 ‘라인’에서 사용하는 도구의 ‘백도어’도 중국 공산당이 받을 수 있다는 뜻이다.

◇ 현재 ‘라인 사태’의 시작, 지난해 ‘네이버 클라우드’ 협력업체 직원 PC서 시작

그러다 지난해 10월 중순 큰 사고가 발생했다. 지난해 11월 <니혼게이자이신문>은 “라인야후재팬 서버가 사이버 공격을 받아 라인 사용자 정보 등 30만 건 이상의 개인정보가 유출됐을 가능성이 있다”고 보도했다. 신문은 “라인야후 재팬은 네이버와 직원용 시스템을 공유하고 있으며, 이번 공격 때 라인야후 재판 서버에도 무단 접속한 것으로 추정된다”면서 “라인야후 재팬 측은 지난 10월 중순 무단 접속을 확인하고 대응 조치를 취했다”고 전했다.

신문은 “이번 사건의 경우 한국 소재 네이버 클라우드의 협력사 직원 개인 컴퓨터가 악성코드에 감염됐고, 이것이 무단 접속의 원인이 된 것으로 보인다”며 “네이버가 감염되면서 라인야후 재팬 서버도 공격을 받은 것으로 추정된다”고 설명했다. 그러면서 “지난 8월에는 야후재팬 측이 검색 엔진 개발 및 시연을 위해 네이버에 410만 명의 위치 정보를 제공한 사실도 이번에 밝혀졌다”고 덧붙였다.

올해 4월 28일 국내 보안전문매체 <보안뉴스>는 지난 3월 28일 ‘라인야후’ 측이 공개한 ‘일본 개인정보보호위원회로부터의 권고 및 보고 요구에 대한 보고서’ 요약본을 소개했다. 보고서에 따르면 ‘라인’은 지난해 11월 27일과 올해 2월 14일에도 부정 접속에 의한 정보 유출이 발생했다. 이 사고 또한 네이버 클라우드 및 ‘라인야후’의 위탁기업 PC가 악성코드에 감염돼 시작된 것이었다. ‘라인야후’ 서버에 대한 부정 접속은 지난해 9월 14일부터 시작됐다고 한다.

보고서는 “외부 공격에 의한 부정 접속을 확인·방어할 수 없었으며, 네이버 클라우드에 업무를 위탁해 구축한 시스템이 외부 공격에 의한 침입 경로로 활용돼 개인정보가 유출됐다”고 지적했다. “또한 ‘라인야후’는 다중요소인증(MFA·두 가지 이상의 방법을 사용한 개인 인증)을 도입하지 않았으며, 유출 사고가 발생한 뒤에도 사고와 관련한 조사 및 원인 규명이 신속히 이뤄지지 않았고, 개인정보 취급 상황의 파악 및 안전관리 조치와 유출 시 신속한 대응 조치가 미흡했기 때문에 이번 사건이 발생했다”고 보고서는 분석했다. 한마디로 ‘라인’이 중국 업체에 일을 맡기면서 보안에 대해서는 제대로 된 대비를 하지 않았다는 것이다.

◇ ‘라인’ 서버에 부정접속 처음 일어났을 때 ‘네이버’가 단호한 조치 취했더라면

이에 일본 총무성은 지난 3월 ‘라인’ 측에 “라인야후와 네이버 시스템을 완전히 분리하라”는 행정조치 명령을 내렸다. 하지만 얼마 뒤 일본 총무성은 2차 행정조치를 예고했다. 그 이유에 대해 지난 9일 <아사히신문>은 “일본 정부가 ‘라인’ 운영사에 대해 이례적으로 두 차례의 행정지도를 한 것은 첫 행정지도 이후 받은 ‘라인’ 측 보고서 내용이 너무 미흡해 분노했기 때문”이라고 전했다.

신문은 “라인야후 측이 총무성에 제출한 보고서에서 ‘네이버와 라인의 시스템을 완전히 분리하는 데는 2년 이상 걸린다는 답변과 함께 안전관리 대책도 구체적이지 않은 내용만 담았다”면서 “이 보고서는 총무성 관계자들의 화를 불렀다”고 전했다. 신문에 따르면 총무성의 한 간부는 “(라인 측이) 사태를 너무 안이하게 보는 것 아닌가”라고 말했다. 이 때문에 총무성이 지난 4월 ‘라인’ 측에 2차 행정조치를 예고했다는 것이다. 총무성은 ‘라인’ 측에 오는 7월까지 2차 보고서를 제출하라고 명령한 상태다.

이와 관련해 <니혼게이자이신문>은 “일본 총무성은 ‘라인’의 네이버에 대한 강한 의존성을 문제로 보고 있다”며 “소프트뱅크가 자본 관여를 늘리면 이런 의존성을 해소할 것으로 보고 있다”고 보도했다. 지난 8일 ‘라인’이 네이버 출신인 신중호 이사를 해임하고 일본인으로 대체한 것도 이런 문제 때문이라는 분석이 국내에서 나오는 이유다.

이상이 ‘라인’ 사태의 전말이다. 국내 일부 언론은 “NTT 니시(西) 같은 자국 기업의 개인정보 900만 건 유출에 대해서는 가벼운 행정지도만 하면서 ‘라인’에 대해서는 지배구조까지 바꾸라고 압박하는 것은 ‘플랫폼 사업’을 빼앗기 위한 일본의 야욕”이라는 풀이를 내놓고 있다. 하지만 NTT 니시의 개인정보 유출 사건은 한 파견 사원이 10년간 개인정보를 빼내 외부에 팔아먹은 사건으로, 범인은 구속됐고 NTT니시 사장은 이 일에 책임을 지고 사임까지 했다.

반면 ‘라인’ 사례는 주요 주주인 ‘네이버’가 일본인 사용자의 개인정보를 보관한 서버에 중국 협력업체 직원이 접속할 수 있게 했고, ‘라인’에 사용하는 다양한 기술과 도구까지 중국에 위탁해 개발했다. 이 문제가 불거졌을 때 ‘네이버’가 조치를 취했어야 하는데 방치하다 협력업체 직원 PC의 악성코드 때문에 ‘라인야후’ 서버까지 뚫린 것이다. 게다가 ‘네이버’가 단호한 조치를 취하지 않고 미적대자 일본이 극약처방을 내놓은 것이다. 이를 단순한 ‘반일감정’의 시각만으로 봐서는 안 된다는 지적이 나오는 이유다.

*이 기사는 저자의 견해를 나타내며 에포크타임스의 편집 방향성과 일치하지 않을 수도 있습니다.