[정책] 개인정보위 'LINE 문제' 3개월 무반응 한국, 데이터 보안 사령탑 없다

[お持て成し]

개인정보위 'LINE 문제' 3개월 무반응 한국, 데이터 보안 사령탑 없다 / 7/12(금) / 한겨레 신문
　
이른바 '라인 야후' 문제는 지난해 말 발생한 일본의 대표적인 메신저 앱 '라인'의 고객 정보 대량 유출 사고가 발단이었다. 일본 정부는 이 사고의 원인 중 하나로 정보처리 용역업체가 라인야후의 대주주인 네이버라는 점을 꼽았다. 이 같은 판단에 따라 라인야후 모회사(A홀딩스)의 지분을 네이버가 매각하라고 요구했고, 한국 사회는 이 요구를 경영권 강탈으로 받아들이면서 라인야후 문제는 뜨겁게 달아올랐다.

전문가들은 현재 진행 중인 라인 야후 문제에서 돌아봐야 할 점 중 하나로 데이터 보안 컨트롤타워가 부재해 대통령실이 컨트롤타워 역할을 하지 못하는 현실을 꼽는다. 민간 플랫폼 기업에 데이터가 집중되는 경우가 갈수록 늘고 보안 거버넌스가 국경을 넘는 사례가 늘고 있다는 점을 감안하면 정부 내에 상대국과의 연계 등을 위해서도 컨트롤타워 기능이 있는 것이 중요하다는 의미다.

현재 개인정보와 데이터 관련 업무는 개인정보보호위원회와 과학기술정보통신부 등 여러 부처에 분산돼 있다. 권한과 의무가 나눠지다 보니 국가 간 연계도 쉽지 않다. 지난 4월 일본 개인정보보호당국(PPC)에서 온 라인야후의 보안사고 관련 협조 요청에 대해 한국 개인정보보호위원회가 3개월째 무응답으로 일관하고 있는 것이 한 예다.

개인정보위원회의 한 당국자는 10일 우리 국민의 정보 유출 사고라면 조사하겠지만 이번 경우는 사정이 다르다. 또 일본의 협조 요청을 수용하기 위한 조사 인력 부족 등 개인정보위원회의 자원도 한정돼 있다고 말했다. 개인정보위의 이 같은 소극적 태도에는 경우에 따라 한일 간 외교 문제로 비화할 수 있는 문제에 개인정보위가 단독으로 뛰어들기는 부담이 크다는 판단도 깔려 있다.

전문가들은 이런 상황의 전개에 불만이 있다고 말한다. 데이터 기반 플랫폼 기업의 영향력이 커지면서 보안 거버넌스도 더욱 복잡해지고 있기 때문이다. 이와 관련해 한일 경제관계 전문가인 김양희 교수(대구대)는 최근 한겨레 인터뷰에서 한일 양국의 개인보호당국이 라인 야후의 보안사고에 대해 공동조사를 하거나 재발방지를 위한 협력방안을 모색할 수 있었는데 그 기회를 놓쳤다고 밝힌 바 있다. 익명을 희망한 한 정보통신기업 임원은 정부 내 컨트롤타워가 없다 보니 각 부처가 입장을 흐리고 적극적인 대응을 회피한 상태라며 너도나도 네이버의 입만 쳐다보는 것 같았다고 지적했다.

완만하다고는 하지만 개인정보와 데이터 관련 국제협력의 틀이 없는 것은 아니다. 일례로 '글로벌 케이프'(Global CAPE: Cooperation Arrangement for Privacy Enforcement) 협정이 있다. 이 협정은 개인정보 보호와 데이터 보안을 위한 공동조사 등 국가 간 협력을 위해 2023년 한국·미국·캐나다·일본·호주·멕시코 등 아시아·태평양 국가들이 중심이 돼 체결됐다.

전문가들은 최근 한국 정부가 가입을 추진 중인 유럽의 사이버 범죄에 관한 조약(부다페스트 협약)에도 주목하고 있다. 이 조약은 회원국 간에는 사법공조 절차가 없어도 직접 외국 기업에 정보 제출을 명령할 수 있는 내용을 담고 있다. 세계 최초의 사이버 범죄 공동 대응을 위한 조약으로 평가된다. 순천향대 염흥열(정보보호학) 교수는 과학기술정보통신부 외교부 등 정부 부처가 부다페스트 협약 등을 바탕으로 국가 간 연계를 긴밀히 할 필요가 있다고 말했다.

박지영 기자 (문의 japan@hani.co.kr )

https://news.yahoo.co.jp/articles/94476c923aba5b6fa5aed8ecba34b4a70657277a

韓国の個人情報委「ＬＩＮＥ問題」３カ月無反応…データセキュリティーの司令塔の不在（ハ

個人情報委「ＬＩＮＥ問題」３カ月無反応…韓国、データセキュリティーの司令塔がない
7/12(金) 8:39配信

ハンギョレ新聞
　いわゆる「LINEヤフー」問題は、昨年末に発生した日本の代表的なメッセンジャーアプリ「LINE」の顧客情報大量流出事故が発端だった。日本政府は、この事故の原因の1つとして、情報処理委託先がLINEヤフーの大株主であるネイバーだという点を挙げた。このような判断に基づき、LINEヤフーの親会社（Aホールディングス）の保有株をネイバーが売却するよう要求し、韓国社会はこの要求を「経営権強奪」と受け止め、LINEヤフー問題は熱く燃え上がった。

　専門家らは、現在進行中のLINEヤフー問題で省みなければならない点の1つとして、「データセキュリティーのコントロールタワー」が不在で、大統領室がコントロールタワーの役目を果たせない現実を挙げる。民間のプラットホーム企業にデータが集中するケースがますます増え、セキュリティー・ガバナンスが国境を越える事例が増えていることを考えれば、政府内に、相手国との連携などのためにも、コントロールタワーの機能があることが重要だという意味だ。

　現在、個人情報とデータ関連の業務は、個人情報保護委員会や科学技術情報通信部などの様々な省庁に分散している。権限と義務が分かれているため、国家間の連携も容易ではない。4月に日本の個人情報保護当局（PPC）から来たLINEヤフーのセキュリティー事故関連の協力要請に対して、韓国の個人情報保護委員会が3カ月にわたり無応答で一貫していることがその一例だ。

　個人情報委員会のある当局者は10日、「韓国国民の情報流出事故であれば調査するが、今回の場合は事情が違う。また、日本の協力要請を受け入れるための調査人材の不足など、個人情報委員会の資源も限られている」と述べた。個人情報委員会のこのような消極的態度には、場合によっては韓日間の外交問題に飛び火する可能性がある問題に、個人情報委員会が単独で飛び込むことは、負担が大きいという判断も背景にある。

　専門家らは、このような状況の展開に不満があると述べる。データを基盤とするプラットホーム企業の影響力が強まるなか、セキュリティー・ガバナンスもさらに複雑になっているからだ。これに関連して、韓日経済関係の専門家であるキム・ヤンヒ教授（大邱大学）は最近、ハンギョレのインタビューで「韓日両国の個人保護当局が、LINEヤフーのセキュリティー事故について、共同調査をしたり再発防止のための協力案を模索できたのに、その機会を逃してしまった」と述べたことがある。匿名を希望したある情報通信企業の役員は、「政府内にコントロールタワーがないため、各省庁が立場をあいまいにして、積極的な対応を回避している状態」であり、「だれもがネイバーの口だけをみているようだった」と指摘した。

　緩やかとはいえ、個人情報とデータ関連の国際協力の枠組みがないわけではない。一例として、「グローバル・ケープ」（Global CAPE: Cooperation Arrangement for Privacy Enforcement）協定がある。この協定は、個人情報保護やデータ・セキュリティーのための共同調査などにおける国家間協力を図るため、2023年に韓国・米国・カナダ・日本・オーストラリア・メキシコなどのアジア・太平洋諸国が中心となって締結された。専門家らは、最近韓国政府が加入を推進中の欧州の「サイバー犯罪に関する条約」（ブダペスト条約）にも注目している。この条約は、加盟国間では司法協力の手続きがなくても、直接外国企業に情報提出を命令できる内容を含んでいる。世界初のサイバー犯罪共同対応のための条約と評される。順天郷大学のヨム・フンヨル教授（情報保護学）は「科学技術情報通信部や外交部などの政府省庁が、ブダペスト条約などをもとに、国家間の連携を緊密にするよう乗りだす必要がある」と述べた。

パク・ジヨン記者 (お問い合わせ japan@hani.co.kr )