라인, 2년 전 日인증기관 심사선 사실상 탈락
“신뢰성 의심. 내부통제 작동 안해” 이례 경고
총무성, 수년째 반복되는 관리부실 강한 불만
일본 최대 메신저 ‘라인’이 2년 전 일본에서 받은 글로벌 개인정보 보호 인증 심사에서 “신뢰성이 의심된다”라는 통보를 받고 심사를 중단당한 사실이 드러났다.
네이버가 보유한 ‘라인야후’ 지분 매각 압박의 계기가 된 지난해 11월 개인정보 유출과 관련해서는 네이버와 라인이 인증 기반을 공유하고 있었던 사실을 일본 정부가 뒤늦게 파악하고 라인야후 측을 크게 질책한 것으로 알려졌다.
이 때문에 일본에서는 네이버가 라인야후 지분 50%를 보유한 구조를 바꾸지 않고는 자국민 메신저인 라인의 보안 문제를 해결할 수 없다는 시각이 강하다. 일본 정부가 한일 관계 개선에도 아랑곳하지 않고 네이버와 라인야후에 강경 조치를 밀어붙이는 이유도 여기에 있다.
● 라인, 日 개인 정보보호 인증 심사 사실상 탈락
12일 일본 정보기술(IT) 업계와 니혼게이자이신문 등에 따르면 라인은 2022년 봄 일본 정보경제사회 추진협회(JIPDEC)가 진행한 국제 개인 정보보호 인증 심사에서 이례적으로 강한 경고 조치를 받고 심사 중단 통보를 받았다. JIPDEC는 일본에서 전자서명·인증제도 운용 등을 맡는 재단법인이다. 한국인터넷진흥원과 유사한 사실상의 공공기관이다.
라인은 당시 이곳에서 아시아태평양경제협력회의(APEC) 글로벌 개인정보보호 인증제도(CBPR) 심사를 받았다. APEC CBPR 인증을 획득하면 데이터 보호 규칙을 잘 지키고 있다는 기업으로 인정받는 셈이라 미국, 일본, 싱가포르, 대만 등의 금융, 온라인 쇼핑 사업에 진출할 때 유리하다. 네이버는 한국에서, 야후는 일본에서 2022년에 각각 CBPR 인증을 획득했다.
일본 협회 측은 심사 과정에서 라인에 “내부 통제가 제대로 작동하지 않고 귀사의 (개인정보 보호 관련) 자기 선언 내용의 신뢰성이 의심된다”고 지적한 것으로 알려졌다. 또 “보안 대책, 안전 관리 조치에 대한 선언이 적절하지 않다”며 이례적으로 강경하게 통보했다. 심사 시작 후 협회에 보고하지 않은 개인정보 유출 사고가 10건 가까이 드러나기도 했다. 결국 협회는 라인에 대한 인증심사를 중단했다. 사실상의 탈락이었다.
일본 정보통신업계 관계자는 “명목적으로는 민간 협회 심사였지만 라인의 개인정보 보호에 대한 일본 당국의 불신감이 표면적으로 처음 드러난 것”이라고 말했다.
● 日 총무성 “지금까지 말했던 것과 다르지 않나” 질책
일본 총무성은 라인의 개인정보 관리 부실이 개선되지 않고 수년째 반복되는 상황에 강한 불만을 드러내 왔다.
라인에 대한 총무성의 첫 행정지도는 2021년 4월이었다. 당시 라인은 인공지능(AI) 기술 개발을 위해 중국에 업무를 위탁했는데, 이 과정에서 중국 기술자들이 일본 개인정보 열람 권한을 갖고 있었던 사실이 언론 보도로 뒤늦게 드러났기 때문이다. 일본 정부는 물론 통합 경영을 하던 소프트뱅크 측도 라인이 중국에 업무를 위탁한 것 자체를 파악하지 못했다.
라인이 외부 전문가에 위탁해 꾸린 제3자위원회 조사에서 위원회는 “라인의 이미지, 동영상 파일이 한국 서버에 저장돼 있었는데도 라인은 데이터가 일본에 있다고 설명했다”고 지적했다. 당시 사고로 훼손된 신뢰를 만회하기 위해 라인은 국제 인증을 추진했지만, 결과적으로 성과를 거두지 못했다.
라인야후를 둘러싼 보안 사고는 이어졌다. 지난해 7월에는 야후재팬이 네이버에 제공한 아이디 위치 정보 410만 건이 물리적으로 복사되고 보안 제어 조치가 충분하지 않아 총무성이 행정지도를 내렸다.
이번 지분 매각 압박의 직접적 계기가 된 지난해 11월 정보 유출 사고 때도 라인야후 대응은 허술했다. 당시 사고는 네이버와 라인이 인증 기반 시스템을 공유한 상황에서 네이버가 당한 사이버 공격이 라인까지 이어져 발생했다. 2021년 사고 이후 라인야후는 자사 데이터를 일본에 옮겼다고 밝혔지만, 결과적으로 해외에서 접근 가능 상황은 바뀌지 않았다. 총무성은 라인야후 관계자를 불러 “지금까지 말했던 것과 다르지 않느냐”라며 강하게 질책했다고 한다.
● “보안 거버넌스 재검토하라” 강경한 日총무성
라인 개인정보 보호 관련 주요 일지
2021년 3월
라인, 중국에 데이터 위탁. 중국 기술자가 접근 가능하게 권한 부여
4월
일본 총무성 및 개인정보보호위원회 행정지도
10월
Z홀딩스 제3자 위원회 발표 “라인 데이터 한국 서버에 있는데 일본에 있다고 설명”
2022년 봄
일본 JIPDEC, 라인 개인정보 보호 인증 심사 중단
2023년 8월
네이버에 위탁한 야후 410만 건 위치정보 부실관리 확인. 총무성 행정지도
11월
네이버 사이버 공격. 라인야후 개인정보 44만건 유출 가능성 확인
2024년 3월
총무성 행정지도 “네이버-라인야후 자본관계 재검토 요구”
4월
총무성 2차 행정지도
5월
네이버, 소프트뱅크, 라인야후 지분매각 협상 진행 발표
7월
라인야후, 총무성 2차 행정지도 답변서 제출(예정)
일본 정부는 한일 관계 개선 여부 및 최근 한국 내 반발 여론에도 불구하고 자본 관계 재검토를 요청한 기존 행정지도 조치를 굽히지 않을 방침이다. 마쓰모토 다케아키(松本剛明) 총무상은 10일 기자회견에서 “자본적 지배를 상당 부분 받는 관계의 재검토 및 모회사 등을 포함한 그룹 전체 보안 거버넌스의 본질적인 재검토 가속화 등 조처를 하라고 요구한 것”이라고 말했다.
댓글 0