[IT돋보기] "유출 혹은 노출"…SNS 개인정보 침해 책임 누구?

[아이뉴스24 최은정,박진영 기자] "유출 혹은 노출."

글자 하나만 바꿨을 뿐이지만, 이에 따라 개인정보 침해에 대한 책임소재가 갈린다.

최근 페이스북, 클럽하우스 등 사회관계망서비스(SNS)의 개인정보 유출건에 대해 이미 공개된 정보를 모은 것에 불과하다는 주장이 제기되면서 책임 소재 여부 논란으로까지 이어지고 있다.

해킹 공격으로 인해 발생한 정보 유출 사고가 아니라는 중론을 바탕으로 보안 업계·학계가 해당 업체에 책임을 물 수 없다는 데에 입을 모으고 있는 것.

이들은 이번 사고를 외부인이 크롤링(정보수집) 도구로 SNS에서 회원들의 정보를 수집한 것으로 추측하고 있다. 크롤링 도구는 기본 코딩 능력만 보유하고 있으면 누구나 사용 가능한 단순 툴이다.

12일 보안 업계·학계는 최근 페이스북·링크드인·클럽하우스 개인정보 유출은 공격자가 크롤링 도구를 이용해 정보를 수집하고 이를 데이터베이스(DB)화해 공개한 것으로 보고 있다.

앞서 CNBC 등 외신과 IT업계에 따르면 페이스북에서 전 세계 5억명의 개인정보가 유출됐으며, 이 가운데 국내 이용자는 12만여명이 포함됐다. 유출된 개인정보는 전세계 5억3천300만명 회원의 페이스북 아이디(ID), 이름, 휴대폰 번호, 거주지, 생일, 이메일 주소 등이었다.

링크드인 역시 최근 사용자 5억명에 이르는 사용자의 이름, ID, 이메일 주소, 전화번호, 성별, 직장명, 다른 SNS프로필 링크 등이 유출된 바 있다. 이 같은 개인정보가 해커들에게 인기있는 사이트에 경매 매물로 거래되고 있는 것으로 나타났다.

또 클럽하우스 사용자 130만명의 개인정보가 담긴 DB가 다크웹 상에서 판매되고 있는 정황도 포착됐다.

그러나 해당 SNS의 DB들에 금융정보 등 민감정보가 포함돼 있지 않고, 정보가 모두 회원 개개인이 올려둔 정보라는 주장에 힘이 실리고 있다. 해커가 SNS 업체를 공격해 탈취한 정보는 아니어서 기업에 책임을 묻기 힘들다는 얘기다.

박세준 티오리 대표는 자신의 SNS 페이지를 통해 "물론 공개된 자료만 갖고 실제로 민감정보를 해커가 갖고 있는지 알수는 없지만 아직까지 클럽하우스 내 정보가 해킹됐다고 보기에는 어렵다"며 "누군가가 정보를 스크래이핑(크롤링)해서 하나의 DB로 만들었다고 보는게 현실적"이라고 설명했다.

신동휘 스틸리언 부사장은 "기업 입장에선 크롤링을 막을 수 있는 방법은 거의 없다"며 "트래픽 이상 징후를 파악하기 위해 솔루션을 도입할 수도 있으나 기업에게 있어 의무가 아닐뿐더러 부담으로 작용하는 게 사실"이라고 말했다.

◆ '해킹'에 의한 개인정보 유출 여부…정확히 조사돼야

해당 기업에 책임을 묻기 위해서는 정보 유출 경로부터 파악해야 한다.

기업 내부망 해킹 등 공격으로 인해 개인정보가 유출됐다면, 해당 기업에 책임을 물을 수 있다. 하지만 개인이 공개한 정보였다면 그럴 수 없는 상황.

이번에 SNS에서 유출된 정보가 비공개인지, 공개인지 확인하기 위해서는 관련 당국에서 해당 업체에 협조를 구해야 한다. 개인정보위 관계자는 "(최근 잇따른 SNS 개인정보 유출과 관련) 상황을 파악 중"이라고 말했다.

김승주 고려대학교 정보보호대학원 교수는 "현재 '개인정보 유출'로 논란이 되고 있는 것이 이미 공개된 정보였다면, 플랫폼 기업 측에는 잘못이 없다"며 "개인 스스로가 정보 공개 여부를 잘 판단하고, 정보 보호와 관련해 경각심을 가질 필요가 있다"고 말했다.

최은정 기자의 다른 기사 보기

• 페이스북, 5억명 넘는 이용자 개인정보 유출