| <편집자주> SK텔레콤의 유심 정보 유출 사건으로 보안 이슈에 대한 경각심이 커지고 있다. FETV에서는 통신사 뿐만이 아니라 수많은 개인정보를 보유하고 있는 게임사와 네이버·카카오와 같은 IT 기업들의 정보보호 및 보안체계에 대해 살펴보고자 한다. |
[FETV=신동현 기자] 네이버는 2021년부터 2023년까지 정보기술과 정보보호에 3조원에 넘는 금액을 투자하며 글로벌 보안 체제를 구축했다. DevSecOps과 같은 보안 시스템을 자체적으로 개발하며 CVE 등록 체계프라이버시 강화 보상 제도(PER) 등 다양한 정보보호 시스템을 도입해 사용자와 사업자의 개인정보 보호를 강화했다.
네이버는 2021년 정보기술 부문에 9252억원, 정보보호 부문에 350억원을 투자했다. 정보보호 전담 인력은 총 106명이었다.
정보보호 인증의 경우 글로벌 표준을 확보했다. 네이버가 공시한 정보보호활동 보고에 따르면 한국인터넷진흥원(KISA)으로부터 ISMS, ISMS-P 인증을 유지하고 DNV.GL로부터 ISO 27001, 27017, 27018, 27701 인증을 취득했다.
DNV.GL (Det Norske Veritas Germanischer Lloyd)은 세계적인 인증 및 리스크 관리 회사로 주로 해양, 에너지, 전력, IT 및 산업 분야에서 인증, 평가, 검증, 검사를 제공하는 글로벌 기업이다.
미국 딜로이트로부터 SOC 2, SOC 3 인증도 확보했다. SOC (Service Organization Control) 인증은 클라우드 서비스 제공업체 및 데이터 처리 업체의 보안, 가용성, 기밀성, 개인정보 보호 및 처리 무결성 측면을 평가하는 인증이다. SOC 2 인증은 네이버가 클라우드 서비스 제공자로서 이용자 데이터의 안전성을 보장한다는 것을 의미하고 SOC 3 인증은 SOC 2 인증을 대중적으로 공개할 수 있는 형식으로 제공함에 따라 네이버의 클라우드가 글로벌 수준의 보안 기준을 준수하고 있음을 인증하는 기준이다.
네이버는 자체 개발한 정보보호 시스템을 다수 운영하고 정기적으로 취약점 진단 및 모의해킹을 통해 보안 강화를 이어갔다. 네이버에서 발간한 개인정보보호 리포트에 따르면 네이버는 'DevSecOps' 시스템을 자체적으로 개발해 운영했다. DevSecOps는 보안을 개발 프로세스에 통합해 개발자들이 보안 기능을 자연스럽게 활용할 수 있도록 하는 시스템이다.
또 CNA(CVE Numbering Authority) 시스템도 운영했다. 이는 표준 취약점 코드인 CVE(공통 취약점 코드)를 발급할 수 있는 체계로 자사 서비스에서 발견된 취약점을 CVE로 등록해 글로벌 보안 커뮤니티와 공유할 수 있다.
그 외에도 연구자들이 자발적으로 보안 취약점을 발견해 신고하면 보상을 지급하는 프라이버시 강화 보상 제도(PER: Privacy Enhancement Reward)를 운영하며 내부의 정보보호 참여를 유도하며 보안 인식 제고를 촉진하는 역할을 했다.
이 시기 네이버는 글로벌 개인정보 관리를 강화했다. 일본 스마트스토어(MySmartStore) 서비스를 통해 글로벌 이커머스 시장에 본격 진출하며 일본 개인정보보호법 준수를 위한 사내 가이드라인을 제정하고 임직원 대상 교육을 진행했다. 일본 개인정보처리방침(Privacy Policy)도 별도 제작했다
또한 미국 CCPA(캘리포니아 소비자 프라이버시 보호법), 버지니아 CDPA, 콜로라도 CPA, EU GDPR, 중국 개인정보보호법 등 각 국가의 개인정보 보호 기준을 적용해 관련 법을 준수할 수 있도록 정책을 정비했고 네이버 프라이버시센터에는 ‘글로벌 지원’ 메뉴를 신설해 미국, EU, 일본의 개인정보 보호 지침을 안내하고 개인정보 보호 자료를 외부에 공개했다.
임직원 개인정보보호 인식 제고를 위해 상·하반기 정기 교육을 진행했다. 교육은 기초부터 실전까지 다양한 주제로 구성됐으며 글로벌 개인정보보호법 준수 역량 강화를 위해 관련 강의도 추가됐다. 특히 AI 개발 부서를 대상으로 ‘인공지능 학습 데이터로서 가명정보 활용방안’ 세미나를 열어 실무 지식을 강화했다.
휴먼에러 예방 캠페인도 진행했다. 임직원들이 개인정보 유출 사고를 예방할 수 있도록 ‘휴먼에러에 의한 개인정보 유출 사고 예방 캠페인’을 운영하고 실제 발생 가능한 사고 사례와 예방 수칙을 안내했다. 매달 개인정보 취급자 대상 안내 메일을 발송해 개인정보 처리 시 유의사항을 지속적으로 교육했다.
이용자 대상 개인정보보호 활동도 강화했다. 설 연휴 및 연말을 기념해 개인정보보호 이벤트를 진행했으며 7월 ‘정보보호의 달’을 맞아 소상공인 대상 온라인 개인정보보호 교육을 제공했다. ‘PER(Privacy Enhancement Reward)’ 제도를 통해 이용자 제안을 반영하고 개인정보보호 관련 개선사항을 제안한 이용자에게 보상을 지급했다.
네이버는 개인정보보호위원회를 출범해 프라이버시 정책 및 서비스 개선을 위한 자문 활동을 강화했다. 개인정보보호법 적용 범위와 경쟁법과 프라이버시 주제를 다룬 세미나도 개최해 외부 전문가들과 논의했고 이를 프라이버시 백서로 발간해 공개했다.
2022년에는 정보기술부문과 정보보호에 각가 1조946억, 415억을 투자하며 전년보다 금액을 늘렸고 정보보호 전담 인력도 119명으로 13명 더 늘어났다. .
이때 국내 최초로 APEC CBPR(국경간 프라이버시 규칙) 인증을 획득했다. 네이버의 개인정보 보호 관리체계가 국제 표준에 부합한다는 평가를 받았다고 볼 수 있다.
또 아동·청소년 개인정보 보호 활동을 전개했다. 2022년에 발간된 개인정보보호 리포트에 따르면 아동을 위한 개인정보 처리 안내 동영상 공개, '3·3·3 원칙' 캠페인을 진행했는데 3·3·3 원칙은 △아동은 개인정보를 안전하게 보호할 수 있는 방법을 숙지할 것, △청소년은 개인정보를 공유하거나 노출할 때 주의할 것, △보호자는 아동·청소년의 개인정보 보호를 위해 주의할 점을 알려주는 형태로 구성됐다.
사업자 회원 보호를 위해 네이버는 온라인 쇼핑 플랫폼 민관협력 자율규제에 참여했으며 사업자 회원 대상 개인정보보호 교육을 정기적으로 실시했다. 라이브 교육, 안내 메일을 통해 개인정보 보호 지침을 제공하고 자율규제 규약을 통해 개인정보 접근과 관리 강화를 지원했다.
2023년 네이버는 정보기술 부문에 총 1조1363억원, 정보보호 부문에 416억원으로 2022년과 비슷한 투자 규모를 유지했고 정보보호 전담 인력은 130명으로 더 늘렸다.
정보보호 인증은 ISMS, ISMS-P, SOC, ISO 27001/27017/27018/27701, CBPR 등 총 5종의 글로벌 정보보호 인증을 유지했다.
이용자 대상 캠페인으로는 7월 ‘정보보호의 달’ 행사를 진행했다. 이용자와 네이버 플랫폼을 활용하는 사업자를 대상으로 개인정보보호 특강을 진행했고 네이버 프라이버시TV와 비즈니스 스쿨을 통해 다양한 콘텐츠를 제공했다.
주요 콘텐츠로는 개인정보보호 기초 교육, 아동·청소년 개인정보 보호 가이드, 스마트스토어 운영자를 위한 개인정보 관리 방법, EU GDPR(General Data Protection Regulation) 이해하기, NAVER PER 제도 소개 등을 포함했고 영상 강의, 퀴즈, 사례 중심의 강연 등 다양한 형식으로 제공했다.
9월 시행된 개정 개인정보보호법에 대응해 사내 규정과 정책을 대대적으로 정비했다. 당시 개인정보보호법에 개인정보 처리 근거 다양화, 개인정보 전송요구권, 자동화된 의사결정 거부권 등이 새로 추가됐다.
네이버는 이러한 법적 변경 사항을 내부 지침에 반영해 전사적으로 공유했다. 특히, 임직원 대상 교육을 통해 새로운 법규의 핵심 내용을 강조하고 개인정보 처리 절차를 강화했다.
AI 서비스 부문에 대한 보안 강화도 이뤄졌다. 당시 네이버에서 개발한 생성형 AI 검색 서비스인 'CLOVA X'의 출시 전에 개인정보 보호 리스크 점검을 진행하며 인공지능 서비스의 안전성을 점검했다.
