클라우드에 저장된 데이터를 기업이 확인할 수 있을까?

 

 

최근 네이버 클라우드의 서비스인 마이박스(MYBOX)에서 사용자 및 컨텐츠 통계자료를 공개했었습니다. 그런데 여기서 네이버 클라우드가 사진이나 이미지 등과 같이 마이박스에 저장된 사용자 데이터를 마음대로 본 것이 아니냐라는 논란이 되었는데요.

 

이런 통계 자료를 내기 위해서는 사용자가 찍은 사진을 직접 확인해야만 가능합니다. 특히 마이박스 캠페인 페이지에서 공개한 자료 속에 개인이 촬영한 듯한 사진이 올라오면서 커뮤니티에는 클라우드에 사진을 올리면 안된다는 글까지 올라오고 있는데요. 그래서 이번 글에서는 기업이 클라우드 데이터를 정말 확인할 수 있는지에 대해 말씀드리도록 하겠습니다.

 

마이박스 올해 보기 캠페인 페이지 화면, 출처: 네이버 클라우드

 

우선 결론부터 이야기하면 기업에서 데이터를 들여다본다는 의혹은 사실이 아니라고 하는데요. 솔직히 마이박스와 같이 사용자가 데이터를 클라우드에 올리는 방식이라면 직원이 열람을 할 수 있겠지만, 네이버와 같은 대기업에서 그런 일이 발생했다가는 단순히 소송으로 끝나지 않겠죠.

 

특히 네이버 클라우드 측에서도 마이박스에 보관된 사용자의 데이터를 내부 직원이 직접 볼 수 있는 시스템은 없다고 주장하는데요. 다만 성인물과 같이 민감한 데이터가 올라오는 것은 모니터링 해야 하기에, 최소한의 인원이 시스템이 알려주는 몇몇 상황에 대해서는 확인할 수 있을겁니다.

그렇다면 이번 마이박스의 올해 보기 캠페인에 올라온 사진이 실제 사용자의 데이터인지 여부를 확인해보니, 사실은 마이박스 팀이 직접 촬영한 예시 사진이었다고 합니다. 하지만 이런 통계 자료를 내기 위해서는 사용자의 데이터를 확인할 수 밖에 없는데요.

 

이 부분에 대해서는 사진을 직접 확인한 것이 아니라 사진의 메타데이터를 사용했다고 언급했습니다. 메타 데이터는 쉽게 말해서 파일의 등록정보라고 보시면 되는데, 사용자가 촬영한 사진이 언제, 어디에서 찍혔는지 등이 적혀 있습니다. 이러한 정보를 가지고 촬영일과 위치정보를 기반으로 자동화된 시스템을 이용해 통계자료를 작성했다고 하네요.

 

클라우드에 저장된 데이터, 기업이 들여다 본다? “사실무근”

 

그런데 사진에서 개인을 식별할 수 있는 정보를 제거하였다고 해도, 촬영일이나 위치정보 등의 메타 데이터 또한 개인정보로 식별할 수 있는지에 대한 문제가 남아있습니다. 사실 개인정보보호법에서는 개인을 식별할 수 없는 익명정보는 활용에 제한을 두지 않고 있은데요.

 

그런데 위치정보도 다른 정보와 결합하면 충분히 개인정보로 볼 수 있기에 네이버 클라우드에서 얼마나 익명처리를 잘 했는지가 쟁점일 것 같습니다. 일단 네이버 클라우드는 정보보호 및 개인정보보호 관리체계인 ISMS-P 인증을 받았기에 좀 더 안전하다고 보셔도 될 것으로 보입니다.

하지만 반대로 이야기하면, 네이버 클라우드와 달리 보안 인증을 받지 않은 곳에서는 기업이 사용자의 데이터를 들여다 볼 수 있다는 의미로 해석할 여지가 있는데요. 물론 사용자의 정보를 기업에서 마음대로 본다는 것 자체가 개인정보보호법 위반이고 과태료를 부과할 수 밖에 없는 부분이죠.

 

사실 이번 글을 작성하면서 네이버가 아닌 다른 서비스에서는 사용자 데이터의 안전성이 얼마나 보장되고 있을지는 의문이 들긴 합니다. 추후에 이와 관련된 기사가 올라온다면 다시 말씀드리도록 하고, 이번 글은 이만 마치도록 하겠습니다. 감사합니다.