하이브, 위버스 개인정보 유출에 신뢰 흔들 [D:이슈]

하이브 계열 팬 플랫폼 위버스에서 내부 직원이 팬의 개인정보를 무단 조회·유출한 사실이 드러나면서 거대 엔터사의 개인정보 관리 책임 논란이 커지고 있다. 위버스가 "개인의 일탈을 넘어 사안의 심각성을 인지하고 있다"는 사과문을 올렸음에도 팬 이벤트 당첨자 정보에 광범위하게 접근할 수 있었던 구조 자체가 개인정보보호법상 안전조치 의무를 위반한 것 아니냐는 지적이 계속해서 나오고 있다.

지난해 12월 31일 보이그룹 라이즈(RIIZE) 멤버 원빈의 팬 A씨는 X(옛 트위터)에 "지난 11월 위버스 팬사인회 응모 후 이상한 제보를 받았다"며 위버스 내부 직원과 지인들의 카카오톡 대화 캡처를 공개했다. 캡처에는 위버스 직원으로 추정되는 인물이 A씨의 이름과 출생연도를 확인한 뒤, 해당 정보를 지인들과 공유한 정황이 담겼다. A씨는 당첨 여부에 개입하려 한 것 아니냐는 의혹을 제기했다.

논란이 확산되자 위버스컴퍼니는 5일 오전 '위버스 고객 여러분께 알려드립니다'라는 제목의 전체 공지를 통해 사실관계를 인정했다. 회사는 "팬 이벤트를 담당하는 부서의 한 직원이 본인의 담당 업무가 아닌 팬사인회 당첨 여부를 유관 부서에 문의해 특정 응모자의 이름과 출생연도를 확인하고 동일 아티스트 팬 지인 6인이 있는 카카오톡 단체방에 공유했다"고 밝혔다. 또 다른 이벤트의 공개방송 당첨자 명단을 캡처해 이름·생년월일·전화번호 등 30명의 개인정보를 같은 단체방에 올린 사실도 인정했다. 회사는 해당 직원에 대해 즉각 업무 배제 및 인사위원회 회부, 형사 고소를 진행했고 "유출이 확인된 이용자에게는 법령 기준에 따라 유출 사실을 개별 통지했다"고 설명했다.

위버스는 공지에서 이번 사안을 "개인의 일탈을 넘어 회사의 관리 부실 책임이 큰 사안"이라고 표현하면서도, 재발 방지 대책으로는 ▲내부 TF 구성 ▲이벤트 시스템 접근 권한 제한 ▲상위 직책자 감독 강화 ▲보안 교육 및 상시 모니터링 강화 등을 제시하는 데 그쳤다. 공지 역시 아티스트별 커뮤니티 공지나 푸시 알림이 아닌, 앱 하단 '더보기>설정>서비스 정보 공지사항' 메뉴에만 조용히 올라왔다. 팬들 사이에서는 "직원 한 명 자르고 지나가려 한다", "유출된 건 내 정보일 수도 있는데 사과문을 우연히 찾아 들어가 봐야만 볼 수 있다"는 불만이 이어졌다.

전문가들은 이번 사건을 단순한 '개인 일탈'로 돌리기 어렵다고 지적한다. 황석진 동국대 국제정보보호대학원 교수는 "내부 직원이 업무 범위를 벗어난 이벤트 당첨자 조회를 할 수 있었고 그 결과를 캡처해 사적으로 유출했다는 건 개인정보 접근 권한을 최소화하지 못했고 로그 관리·감사 체계도 제대로 작동하지 않았다는 의미"라며 "기업 차원의 관리 부실이 확인된 만큼 구체적인 재발 방지책과 점검 계획이 나와야 한다"고 말했다. 그는 또 "이벤트 응모 서류와 당첨자 명단을 얼마나 오래, 어떤 방식으로 보관하는지 명확히 공개하고 불필요한 개인정보는 신속하게 파기하는 구조를 만들어야 한다"고 강조했다.

개인정보보호위원회(개보위)도 현재 위버스가 제출한 자료를 검토 중이다. 개보위 측은 "언론 보도로 유출 사실을 인지한 뒤 위버스 측이 유출 신고를 한 것으로 파악하고 있다"며 "아직 공식 조사 착수 단계는 아니지만 조사 가능성을 염두에 두고 유출 규모와 안전조치 이행 여부를 살펴보는 중"이라고 밝혔다.

위버스의 개인정보 처리방침을 보면 회사는 팬미팅·공개방송 등 행사 진행 시 당첨자의 이름, 생년월일, 전화번호 등을 수집해 이벤트 종료 후 최대 1년까지 보관한다고 명시하고 있다. 또 개인정보 취급자를 제한하고 접속 기록을 상시 모니터링하며 침입 차단 시스템을 통해 24시간 보안 관리를 한다고 밝힌다. 그러나 이번 사건에서는 이벤트 담당자가 아닌 직원이 당첨자 조회를 요청해 정보를 전달받고 명단을 손쉽게 캡처해 개인 카카오톡방에 올릴 수 있었던 만큼 실제로 접근 권한 최소화와 상시 모니터링이 제대로 운영되고 있었는지 의문이 남는다.

논란의 파장은 위버스 플랫폼 전반으로 번지고 있다. 위버스는 하이브 아티스트의 커뮤니티 서비스뿐 아니라 사전녹화·공개방송 방청 신청, 팬미팅·콘서트 응모 등 각종 이벤트를 한 곳에서 처리하는 팬 플랫폼이다. 이 과정에서 팬들 사이에서는 오래전부터 "되는 사람만 계속 된다", "선착순이라면서 응모 페이지에 접속 시간(초 단위)이 공개되지 않는다"는 의혹이 반복적으로 제기돼 왔다.

황 교수는 "응모·추첨 시스템의 동작 방식, 로그 관리, 응모자·당첨자 정보의 보관·파기 정책이 투명하게 공개되지 않으니 팬 입장에서는 불신이 쌓일 수밖에 없다"며 "특히 이번처럼 내부 직원이 당첨 여부에 개입하려 한 정황까지 드러난 이상, 이벤트 공정성과 개인정보 보호를 함께 점검해야 한다"고 말했다.

문제는 하이브가 콘서트 입장에 '얼굴패스'까지 도입하며 팬들의 민감한 생체 정보를 더 많이 수집하고 있다는 점이다. 하이브는 지난해 아일릿, 르세라핌, 엔하이픈 등 소속 아티스트 공연에 얼굴 인식 기반 입장 시스템을 적용했다. 놀유니버스·토스와 만든 이 서비스는 티켓과 신분증 없이 얼굴만 인식해 입장할 수 있다는 편리함을 앞세웠지만 계정 탈퇴를 해도 등록한 얼굴 이미지가 1년간 토스 서버에 보관돼 청소년 관객도 적지 않은 분야에서 개인정보 과다 수집·보관한다는 논란이 일었다. 지난해 10월 열린 국회 국정감사에는 "얼굴패스는 개인정보보호위원회의 사전 적정성 검토나 과기정통부 규제 샌드박스를 거치지 않은 사실상 '무허가 서비스' 상태"라는 지적이 나오기도 했다.

황 교수는 "얼굴인식처럼 민감도가 높은 생체 정보를 다루려면 데이터 최소 수집, 보관 기간, 암호화 수준, 오남용 방지를 위한 내부 통제까지 훨씬 엄격한 기준이 필요하다"며 "그런데 일반 인적사항조차 제대로 관리하지 못해 내부 유출이 발생했다면 이용자 입장에서는 회사가 얼굴까지 맡길 만큼 준비가 돼 있는지 근본적인 의문을 가질 수밖에 없다"고 말했다.

한편 개인정보위는 올해도 개인정보 취약 분야를 선정해 사전 실태 점검을 진행할 계획이다. 개보위 측은 "엔터테인먼트 업계 역시 모바일 앱과 플랫폼을 통해 대규모 개인정보를 처리하는 만큼 취약 분야가 될 수 있다"며 "이번 사건을 포함해 산업 전반의 관행과 안전조치 수준을 함께 들여다볼 필요가 있다"고 말했다.

OTT와 팬 플랫폼, 생체 정보 기반 입장 시스템까지 케이팝 산업의 디지털 인프라가 커질수록, 팬들이 기업 서버에 맡겨야 하는 정보의 양과 민감도도 함께 커지고 있다. 이번 위버스 유출 사건을 기점으로 하이브와 업계 전반이 이벤트 공정성과 개인정보 보호를 보여줄 수 있는 수준으로 관리·감사 체계를 끌어올릴 필요성이 대두된 상황이다.