[미디어스=윤수현 기자] 네이버의 개인정보 유출 파문이 이메일 무단 삭제 논란으로 이어지고 있다. 네이버는 “개인정보 유출 피해 확산을 막기 위해 어쩔 수 없었다”는 입장이지만, “이용자 동의 없이 메일을 지운 것 자체가 문제”라는 지적이 나오고 있다.

지난달 30일 네이버는 미디어 광고 매칭 서비스인 ‘애드포스트’의 회원들에게 광고비 정산을 위한 원천징수영수증을 발송했다. 그 과정에서 네이버는 다른 회원들의 개인정보를 함께 전송했다. 네이버가 유출한 개인정보는 이름·주소·주민등록번호·지급액 등 민감한 개인정보가 포함돼 있으며 피해자는 2222명으로 추산된다.

네이버는 개인정보 유출 확산 방지를 위해 수신자가 읽지 않은 메일을 삭제했다. 네이버 이메일 서비스에서는 상대방이 읽지 않은 메일을 회수하는 기능이 있다. 문제는 네이버가 이미 읽은 메일까지 임의로 삭제했다는 것이다. 일반적으로 ‘읽은 메일’에 대해선 삭제 조치가 불가능하다.

네이버 측은 개인정보 유출을 방지하기 위해 삭제가 불가피하다고 설명했다. 네이버는 2일 해명자료를 통해 “법리적 검토 및 제반 상황을 고려하여 삭제를 통해 이메일을 회수하기로 했다”면서 “개인정보 유출에 따른 2차 피해로 인한 폐해가 (메일 무단 삭제로 인한 폐해보다) 더 크다고 판단했기 때문”이라고 밝혔다.

네이버는 “자체시스템을 통해 네이버가 보낸 메일만 자동으로 삭제하는 프로그램을 실행했다. 일부에서 네이버가 개인 메일함을 무단 열람한 것 아니냐는 의혹을 제기하지만, 이는 사실과 다르다”면서 “회수 과정에서 해당 회원에게 양해를 구하는 절차도 함께 진행했으면 좋았겠으나 사안이 긴박해 부득이하게 삭제 조치 후 통보를 했다”고 설명했다.

‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제27조에 따르면 서비스 제공자는 개인정보의 분실·도난·유출 사실을 알았을 때 피해를 최소화할 수 있는 조치를 마련해야 한다. 네이버 측은 이메일 삭제 조치가 정보통신망법에 따른 것이었다고 말했다.

하지만 전문가들은 “이용자 동의 없이 메일을 지운 것 자체가 문제”라고 지적했다. 박경신 고려대 법학전문대학원 교수는 블로터와의 인터뷰에서 “네이버 입장에서는 1차 유출 피해가 확산되지 않도록 최선의 방안을 택한 것으로 보이지만 먼저 ‘자기정보’ 유출에 대해 사과하고 다른 사람들의 개인정보를 삭제한다는 동의를 얻었어야 한다”면서 “(삭제 전) 동의를 얻는 시도라도 했어야 한다. 이메일이 삭제된 사람들에게는 삭제 사실에 대해 밝혀야 할 의무가 있다”고 지적했다.

오병일 진보네트워크센터 대표는 미디어스와의 통화에서 “네이버가 메일을 받은 사람에게 삭제 요청을 하는 것이 적절했다”고 말했다. 오병일 대표는 “네이버가 수신 메일함을 통제할 수 있다는 것을 보여준 사건”이라면서 “그 어떤 상황이라 해도 개별 메일함에 대한 통제권은 이용자에게 있어야 한다”고 강조했다.

오병일 대표는 “네이버로서는 삭제 요청이 덜 확실한 방법이라고 생각했을 수 있다”면서 “하지만 이번 사건은 이용자의 신뢰를 떨어트릴 수 있다. 향후 또 다른 근거를 통해 이용자의 수신 메일함을 건드리는 선례가 될 수 있다”고 설명했다.

한편 네이버는 향후 계획에 대해 “재발 방지를 위해 웹 다운로드 방식 등 여러 기술적 개선책을 검토하고 있으며, 피해보상 등에 대해서도 검토 중이다. 관련한 관계부처의 조사에도 성실히 임하도록 하겠다”고 밝혔다.

(관련기사 ▶ 개인정보 유출된 네이버 블로거, 메일 일괄 삭제 논란)