4월 초 페이스북·클럽하우스 등의 이용자 정보가 대거 유출됐다는 기사가 쏟아졌다. 페이스북은 5억3000만명, 클럽하우스는 130만명의 정보 유출 사태 주인공이다.
페이스북과 클럽하우스에서 유출된 개인정보는 해킹 웹사이트와 포럼 등을 통해 공유된다. 하지만 정부가 이들 기업에 과태료를 부과하기는 어려울 전망이다. 법적으로 개인정보 ‘유출’과 온도차가 있다.
13일 박영수 개인정보보호위원회 조사1과장은 "개인정보보호법에서 유출이라 보는 사건은 관리 범위 내에 있는 정보가 통제권을 잃고 권한없는 자에게 넘어가거나 권한없는 자가 해당 정보에 접근할 수 있는 상황을 말한다"고 말했다. 보호받아야 하는 정보가 외부에 노출된 경우인 셈이다.
페이스북과 클럽하우스의 개인정보 유출 여부 판단 쟁점은 해당 업체가 통제권을 상실했느냐 아니냐에 달렸다. 한국은 아직 관련 내용을 조사하지 않았다. 개인정보위에 관련 신고가 접수되지 않았기 때문이다.
기업 측은 유출이 아닌 서비스를 통해 이미 외부에 공개된 정보라고 주장한다. 11일(현지시각) 클럽하우스는 공식 트위터를 통해 개인정보가 유출됐다는 지적에 대해 오해라고 입장을 밝혔다.
클럽하우스 측은 유출됐다고 알려진 정보로 이름·아이디·사진 URL·트위터 계정·인스타그램 계정 등이 있는데, 이는 누구나 앱이나 데이터 응용프로그램인터페이스(API)로 볼 수 있는 공개 정보라고 판단했다. 클럽하우스 측의 주장대로 이미 공개된 정보라면 법에 따른 책임은 묻을 수 없다. 애초에 회사 측의 관리 범위 안에서 보호해야 하는 정보가 아니기 때문이다.
페이스북도 유출이 아닌 스크래핑에 의한 노출이라는 입장이다. 스크래핑이란 시스템·웹 사이트에 있는 정보 중 필요한 데이터를 추출·저장하는 기술을 말한다. 제3자가 스크래핑으로 공개정보를 수집한 경우라면 현행법상 개인정보보호법을 어긴 것이 아니다.
다만 보호가 필요한 민감정보가 유출되지 않은 것이 확실한지는 살펴볼 필요가 있는 상황이다.
박영수 과장은 "현재 페이스북·클럽하우스 모두 정보 유출 신고가 접수되지 않아 조사는 이뤄지지 않고 있다"며 "어떤 상황인지 지속적으로 지켜볼 예정이다"고 말했다.
박영선 인턴기자 0sun@chosunbiz.com