네이버가 2200여명의 개인정보를 유출한 ‘애드포스트’ 사건에 대한 방송통신위원회(방통위) 조사가 마무리된 것으로 확인됐다.

방통위 조사 결과, 네이버 측의 기술적·관리적 부분에서 보호조치 위반사항이 발견됐다. 이에 따른 행정처분은 내년 2월경 내려질 예정이다. 방통위는 필요에 따라 행정처분과 별개로 네이버를 고발 조치할 수 있다.

26일 방통위 개인정보침해조사과에 따르면, 네이버가 지난 4월30일 일으킨 ‘애드포스트’ 개인정보유출 사건에 대한 조사가 모두 마무리됐다. 네이버 측의 의견 수렴 절차까지 끝나 현재 위원회의 최종심의 과정만 남은 상태다. 심의는 이르면 1월 중순, 늦어도 2월 초에 진행될 예정이다.

위원회 심의는 한상혁 위원장, 김석진 부위원장, 허욱·표철수·김창용 상임위원 등 5명이 사안을 종합적으로 검토해 행정처분을 확정하는 과정이다. 방통위 사무처(개인정보침해조사과) 조사결과에 따라 작성된 처분안을 분석하고, 그 정도가 적절한지 등을 살핀다.

처분안이 가결된다면 그에 따른 행정처분이 이뤄진다. 처분안에 부족한 부분이 발견된다면 이견조율 등의 과정을 밟을 수 있다.

방통위는 당초 올해 안으로 이 건에 대한 처분을 매듭지을 예정이었으나, 네이버 측의 의견수렴 절차가 길어지면서 해를 넘기게 됐다.

위원회 심의결과 네이버 측의 위반사안이 개인정보 ‘유출’로 확정되면, 정보통신망법 등 관련 법규에 따라 고발조치도 이뤄진다.

개인정보가 온라인에 잘못 올라가는 경우는 크게 ‘유출’과 ‘노출’로 나뉜다.

개인정보 ‘유출’은 기업 등 정보 주체가 대량으로 통제를 상실하거나 권한 없는 자가 접근했을 경우를 말한다.

네이버 애드포스트 건의 경우, 잘못 전달된 개인정보 수가 2200여명에 달한다. 정보 통제가 원활히 이뤄지지 않아 발생했다. 방통위도 이런 점을 고려해 ‘유출’에 무게를 두고 조사를 진행한 것으로 알려졌다.

개인정보 노출은 홈페이지에 개인정보가 공개돼 누구나 확인할 수 있는 경우다. 홈페이지 운영상 실수로 벌어지는 사례가 대다수다.

국내에서 개인정보 ‘유출’이 발생했을 경우, 한국인터넷진흥원(KISA) 등 유관 기관에 신고하게끔 돼 있다. 사안에 따라 과학기술정보통신부, 방통위 등의 유관기관 조사를 거쳐 행정처분은 물론 법적 조치가 이뤄진다. 개인정보 노출에 대한 처벌 규정은 따로 마련돼 있지 않다.

방통위 관계자는 녹색경제신문과의 통화에서 “조사를 통해 발견된 위반사항과 네이버의 입장 등을 위원회에서 모두 고려, 최종 처분 결과를 심의하는 과정만 남았다”며 “조사결과에 따른 처분안은 대부분 작성된 상태다. 이에 대한 위원회의 가결이 진행되고 결과에 따라 추후 절차가 진행된다”고 설명했다.

행정처분 정도가 아직 정해지진 않았지만, 방통위 조사과정에서 위반사항이 발견된 만큼 네이버가 과징금ㆍ과태료 등의 행정처분을 피하긴 어려워 보인다. 방통위는 사안의 경중을 고려해 네이버에 개인정보보호에 관한 시정조치도 내릴 가능성이 높다.

◇2222명의 피해자...통상적인 개인정보유출 사건보다 더 길어진 조사

네이버는 지난 4월30일 오전 2시경 ‘애드포스트’의 일부 회원들에게 광고비 정산을 위한 원천징수 영수증을 발송했다. 이 과정에서 다른 회원들의 개인정보를 함께 전송하는 사고를 냈다.

피해자는 애드포스트 회원 2222명에 달한다. 애드포스트는 네이버가 블로그를 이용하는 사람들에게 광고를 붙일 수 있도록 해 수익을 돌려주는 서비스다.

첨부파일에는 다른 회원들의 이름과 주소, 주민등록번호를 비롯해 애드포스트 지급액 등 민감한 정보가 다수 포함돼 있었다.

네이버는 당시 1시간여가 지나 사고를 인지했다. 유관부서 회의 및 법리 검토 등을 거쳐 이날 오전 중 전송된 이메일을 일괄 삭제 조치했다.

네이버는 이 과정에서 수신자가 읽지 않은 메일을 회수하는 '발송 취소'에 그치지 않고, 이미 읽고 보관함에 저장된 메일까지 삭제하며 논란은 더욱 커졌다. 당시 일각에선 네이버가 ‘개인 메일함을 들여다볼 수 있다’는 가능성을 제기하기도 했다.

네이버 측은 당시 이에 대해 “회사가 개인 메일을 볼 수 있는 방법이 전혀 없다”고 일축했다. 문제가 발생한 메일을 삭제할 수 있는 스크립트를 짜서 전체 서버에 적용했을 뿐, 개인 메일의 열람은 불가능하다는 설명이다.

네이버는 이 사건 이후 방통위와 KISA 등 유관기관에 신고했다. 방통위는 그간 KISA와 함께 해당 건에 대한 추가 위법사안의 가능성을 열어두고 현장조사 등을 진행했다. 약 8개월간 사안을 검토하고, 네이버의 입장을 수렴하는 등의 과정을 밟았다.

개인정보 유출 사고는 통상적으로 조사 결과가 나오기까지 3달가량 시간이 소요된다. 질서위반행위규제법 등에 따른 절차가 복잡하게 이뤄져도 6개월을 넘기지 않는 게 보통이다.

그러나 네이버 애드포스트 건의 경우, 피해자 수가 많고 사회적 관심이 높았던 사안인 만큼 조사에 필요한 시간이 통상적인 경우보다 더 든 것으로 보인다.

방통위는 행정처분이 확정 되는대로 보도자료를 배포하는 등 자세한 내용을 공표할 예정이다. 네이버는 위반사항에 대한 행정처분 결과를 통보받은 후, 방통위에 조치사항을 보고해야 한다.

네이버는 애드포스트 메일 오발송 이후, 원천징수영수증 발급 방식을 웹 인증으로 바꿨다. 사건 발생 이후 2주 만에 애드포스트 회원이 직접 본인인증을 거친 후 영수증을 내려받을 수 있는 시스템을 도입했다.