이번 사태의 발단은 지난달 30일 네이버가 자사의 ‘애드포스트’서비스 이용자 2,000여명에게 원천징수영수증을 발급하는 과정에서 발생했다. 당사자가 아닌 타인의 영수증까지 잘못 첨부해 e메일을 발송한 것이다. 원천징수영수증에는 이름과 주소, 주민등록번호를 비롯한 개인정보가 담겨 있다. 이 같은 오발송은 시스템 오류 탓이었다는 게 네이버측 설명이다. 네이버는 “현재 이 시스템 자체를 중단했고, 원천징수영수증을 발급하기 위한 다른 시스템을 마련할 계획”이라고 설명했다.
문제는 다음 수순이었다. 네이버가 잘못 발송된 메일을 일괄 삭제 조치한 것이다. 삭제된 오발송 e메일 중에는 수신자가 이미 읽은 경우도 포함됐다. 이를 놓고 회원 개인의 e메일 우편함을 네이버가 무단 열람한 게 아니냐는 의혹을 사게 된 것이다. 네이버는 펄쩍 뛰며 강하게 의혹을 부인하고 있다. 그러면서 “메일은 암호화되어 있어 내용은 절대 볼 수 없다”고 반박했다. 또한 , “이미 읽은 메일이라도 개인정보가 노출됐기 때문에 피해 정도가 크다고 보고 삭제했다”고 덧붙였다.
그렇다면 네이버가 회원 개인간 송수신 e메일도 임의로 삭제할 수 있을까? 불가능하다는 게 이 회사측 답변이다. 그렇다면 어떻게 이번 오발송 메일을 삭제했느냐는 질문에 대해 “발신자(네이버)와 수신자(애드포스트 이용자)를 아니 이 둘이 일치하는 메일에 한해서 삭제하는 코드를 만들어 실행한 것”이라고 해명했다.
이 같은 긴급조치의 근거에 대해 네이버측은 정보통신망법을 내세우고 있다. 해당 법은 정보통신서비스 제공자가 개인정보의 분실, 도난, 유출 사실을 알았을 때 지체 없이 방송통신위원회나 한국인터넷진흥원(KISA)에 신고하고 개인정보 유출 대책을 마련해 피해를 최소화할 수 있는 조치를 강구하도록 의무화하고 있다. 이에 대해 권헌영 고려대 정보보호대학원 교수는 “네이버가 후속 조치를 잘했다고 본다”며 “개인정보열람이라는 오해가 발생한 것 같다”고 말했다. 다만 학계에선 적법한 사후비상조치였다고 해도 그 과정에서 최소한 수신자 및 개인정보 유출피해자들에게 메일 강제 삭제에 대한 사과와 동의를 구했어야 한다는 비판도 적지 않다.
법상 ‘신고’ 의무만 있었다고 해도 네이버가 사후조치의 적절성 여부에 대해 당국에 협의를 했어야 하는 것 아니냐는 지적도 나온다. 이에 대해 KISA는 “네이버로부터 사건이 발생했다는 신고가 들어왔고, 추가적인 상의는 하지 않았다”고 전했다. 이어 “이런 일이 추후 또 발생하면 어떻게 대응해야 할지 방안을 논의 중”이라고 전했다.
