티스토리 뷰
7월 26일 월요일, SKT의 Nate는 갑자기 개인정보취급방침 개정안내라는 메일을 보내왔다. 개인정보 수집 항목 변경이라고 되어 있지만, 사실 수집 정보 추가가 맞는 말이다.
기존에 수집하던 서비스 이용기록, 접속로그, 쿠키, 접속 IP 정보, 결제기록, 불량이용 기록 외에 MAC주소와 컴퓨터 이름이 새롭게 추가되었다. 시행일자는 7월 28일로 불과 안내 후 이틀만에 바로 시행하겠다는 것으로 전격적이라고 할 수 있다.
4항에는 개인정보취급방침에 동의하지 않을 경우 회원탈퇴를 요청할 수있다고 친절한 안내도 빼놓지 않았다. 정보 수집하는 것에 반대하면 탈퇴도 막지않겠다는 말이다.
Nate뿐만 아니라 Cyworld도 마찬가지로 동일한 내용의 개인정보취급방침 개정안내 메일이 도착했다. 그런데 재미있는 사실은 이미 난 싸이월드를 탈퇴한 고객이라는 점이다. 하단에는 7월 22일자로 가입회원으로 되어 있어 메일을 보냈다고 되어 있다. 어떤 기준으로 가입회원으로 인정되는 것인지 모르겠다.
내 명의의 싸이월드 계정이 존재하지 않는다
결국 탈퇴했더라도 이메일 정보는 버리지 않고 보관하고 있으면서 이렇게 메일을 보낼 수도 있다는 것이다. 이메일 정보뿐만 아니라 다른 정보를 가지고 있을지도 모른다는 점은 Nate가 개인정보 관리에 문제가 있는 것이 아닌가 하는 의심마저 가질 정도다.
MAC주소 수집 소식을 이메일로 통보받은 다수의 사람들은 이 문제에 대해 우려를 표시했다. 특히 Twitter에는 Nate의 이같은 전격적인 조치에 많은 불만을 담은 트윗들이 올라왔으며, 일부 사용자들은 Nate 및 Cyworld 탈퇴 등으로 이어지기도 했다.
발 빠르게 오전부터는 이 문제가 기사화되고, 문제점을 지적하는 주장들이 속속 나타나기 시작했다. 그리고 결국 오후에는 Nate측에서 개인정보취급방침 개정을 철회한다는 안내문이 올라왔다.
일단 철회 방침으로 이 문제는 일단락되었다고 볼 수 있다. 하지만, 이번 일로 Nate는 중요한 고객으로부터의 신뢰를 잃었다.
우선 MAC 주소에 대해 알아보면, MAC주소는 인터넷을 연결하기 위한 부품인 LAN카드나 모듈 등에 기록된 고유의 정보로 제조사 정보와 시리얼번호 등의 정보를 함께 가지고 있다. 기기별 MAC 주소는 동일한 것이 없기 때문에 장치 식별을 위한 정보로도 활용된다.
사용자 개인의 PC나 스마트폰 등 LAN 접속을 통한 인터넷 접속이 가능한 장치에는 모두 고유의 MAC주소 정보를 가지기 때문에 개인을 식별하는 용도로도 활용할 수 있다.
Nate는 바로 이런 MAC주소의 특성을 이용하여 메신저 피싱에 대한 강력한 차단조치를 취하기 위한 것이라는 이유로 수집 계획을 밝혔다. IP정보는 접속하는 ISP나 방법에 따라 바뀌기 때문에 좀 더 근본적으로 피싱 용의자를 차단하기 위한 것이다.
물론 MAC주소 역시 바꿀 수 있다. 특정한 프로그램을 통하면 MAC주소도 임의로 수정이 가능하지만, 일반인들은 거의 사용하지 않으며, 임의변경으로 IP 라우팅 등에 장애가 발생할 수도 있어서 네트워크 연결이 거부되는 사유가 있어 MAC주소 변경은 잘 사용하지 않는다.
MAC주소를 확보하고 있으면, 피싱 사용자의 MAC주소 확보가 가능하고 즉각적으로 해당 PC(혹은 어떠한 네트워크 장치)는 서비스 차단이 가능하다. IP를 바꾸어 로그인 한다고 해도 MAC주소 차단이 되면 접근이 불가능해진다. 강력한 차단이 가능하다.
그러한 이유로 MAC주소를 수집하겠다는 것인데, 문제는 단순히 이런 용도로만 사용되는 것이 아니라는 점에 있다. MAC주소는 고유하기 때문에 정보를 가지고 있으면, 해당 PC나 장치의 활동도 감시할 수 있다. 언제 켰는지, 어떠한 서비스를 이용하는지 등을 프로토콜이나 간단한 분석 프로그램으로도 확보할 수 있다. 사실상 서비스 사업자가 수집하는 내용으로는 과도하다고 볼 수 있다.
악용의 소지가 크다는 점이다. 여기에 한발 더 나아가 이런 정보가 개인정보와 함께 유출이 된다면 그야말로 대혼란이 발생할 가능성이 높다.
MAC주소와 함께 컴퓨터 이름 수집 역시 사용자(용의자)임을 확인하는 방법 차원에서 추가한 것이다. 컴퓨터 이름도 얼마든 바꿀 수 있지만, 운영체제를 바꾸지 않는 이상 거의 바꾸지 않는다는 특성을 이용하여 MAC주소와 컴퓨터 이름을 함께 기록하면 사용자 신원확인이 좀 더 정확해지기 때문에 수집하려는 것이다.
이번 개인정보취급방침 변경 안내와 관련된 소동에서, Nate는 민감한 개인정보라고 볼 수 있는 PC 또는 장치의 MAC주소 및 컴퓨터 이름에 대한 수집을 아무런 유예기간이나 자세한 안내없이 이틀만에 강행하려 했다는 점과 그 목적이 피싱 용의자를 차단하기 위한 것이라고 밝혀 소수의 피싱 용의자를 차단하기 위해 전체 서비스 가입자의 개인정보 수집을 시도했다는 점에서 비난을 받는 것이다.
현재 MAC주소를 기록하는 서비스들이 없는 것은 아니다. 보안에 민감한 인터넷뱅킹 등에도 해킹과 금융사고 피해예방 등을 위해 사용되고 있으며, 당국은 어쩔 수 없다는 입장만 보이고 있다.
개인정보 수집은 최소화하는 것이 옳다. 목적이 분명하다 하더라도 수집 주체의 악용 혹은 오용을 사용자가 감시할 수 없으며, 최근처럼 주요 대형 서비스들의 사용자 정보 유출이 자주 보고되고 있기에, 사용자의 개인정보를 서비스 업체가 관리하는 것에 불안을 느끼고 있다. 당연히 개인정보를 최소화하여 넘겨주길 바라고, 실제 해외 서비스의 경우에도 최소한의 정보만을 넘기는 방식을 취하고 있다.
서비스 사업자의 경우 개인의 정보를 최대한 수집하여 관리상의 편리함과 마케팅 활용 등에 유용하게 사용할 수 있겠지만, 사용자 정보의 필요이상 수집은 사용자로 하여금 불필요한 불안을 유발하고 서비스 불신으로 이어질 수 있다는 것을 알아야 한다.
반응형
댓글