이 기사는 2021년 06월 02일 07:10 thebell 에 표출된 기사입니다.

최근 IT 업계에서 가장 뜨거운 이슈는 개인정보 보호다. 사물인터넷(IoT)과 인공지능(AI)의 발달은 개인정보 유출에 따른 위협을 한층 키웠다. 또 ESG(환경·사회·지배구조)의 사회(S) 영역과도 직결된 이슈인 만큼 개인정보 보호는 기업 존속을 위해 가장 중요한 요소로 평가되고 있다.

카카오 역시 올해 처음 발간한 지속가능경영보고서를 통해 '개인정보 보호'를 ESG와 관련해 가장 중요한 이슈로 꼽았다. 카카오는 개인정보 보호를 위해 별도의 조직을 운영하고 법규 준수 및 정책 수립, 기술 취약성 점검 등 한층 보강된 조치를 수행하고 있다.

카카오는 최근 발간한 지속가능경영보고서 '2020 카카오의 약속과 책임'을 통해 개인정보 보호를 비용과 명성, 규제뿐 아니라 이해관계자 측면에서 가장 중대성이 큰 사안이라고 평가했다.

카카오는 이번 중대성 평가를 국제 지속가능성 보고 표준인 'GRI Standards'를 토대로 진행했다. 우선 기업을 둘러싼 외부 환경을 검토해 총 36개의 지속가능성 이슈 풀을 구성한 뒤 사업에 미치는 영향과 이해 관계자의 관심도를 분석하는 방식으로 중요성 순위를 매겼다.



국민 메신저 카카오톡을 운영하는 카카오는 개인정보 보호 이슈가 무엇보다 민감하다. 카카오톡의 국내 모바일 메신저 시장 점유율은 95%에 이른다. 거의 모든 국민이 카카오톡을 통해 일상을 나누고 있다. 게다가 최근 몇년간 사업 범위는 금융과 간편결제, 커머스, 모빌리티, 콘텐츠 등 개인정보와 밀접한 서비스로 확장했다.

이같은 중요성 탓에 카카오는 2015년 국내 최고 프라이버시 정책 전문가로 구성된 프라이버시정책 자문 위원회의 운영을 시작했다. 정책, 보안, 법조계, 학계 등 다양한 분야 최고 전문가로 구성된 위원회가 정기 자문회를 통해 국내외 프라이버시 이슈와 관련 법규 동향을 살피는 식이다.

일반적인 기업과 달리 정보보호 총괄과 개인정보 보호 총괄을 별도로 두고 있다는 점도 눈에 띈다. 카카오는 정보보호위원회 산하에 이희국 정보보호 최고책임자(CISO)와 개인정보 보호 업무를 총괄하는 김택수 최고 개인정보 보호 책임자(CPO)를 두고, 그 아래 각각 보안기술 및 정책부서, 개인정보 정책 부서 등을 설치했다.

또 이용자 정보보호 체계를 위해 개인정보 보호와 관련한 국내외 법규를 준수하고, 개인정보 및 프라이버시 보호를 위한 정책 수립, 그에 따른 예방 점검 활동과 개인정보 영향 평가, 기술 취약점 점검 및 24시간 보안 관제 등 기술적 관리적 보호 조치도 수행하고 있다.

2006년엔 업계 최초로 인프라 운영에 대한 국제 표준정보 보호 인증인 'ISO/IEC 27001'를 취득했다. 이후 서비스 개발 영역으로 범위를 확대해 인증을 받고 국내 정보보호 및 개인정보 보호 관리 체계 인증인 'ISMS-P'를 획득해 매년 심사를 통해 인증을 유지하고 있다.


그럼에도 카카오의 보안 시스템이 늘 완벽하게 작동된 것은 아니다. 지난해 말 카카오의 블록체인 계열사 그라운드X에서 발생한 개인정보 유출 사고가 대표적이다. 그라운드X의 한국 법인인 그라운드원에서 업무 목적으로 활용 중인 클라우드 기반 문서관리 시스템이 해킹 당하며 이름, 이메일, 전화번호 등이 유출됐다. 이후 그라운드X는 문제가 된 계정의 접속차단, 내부 보안 강화 및 IP 통제, 지속적인 모니터링 등으로 조치를 취했다.

올초엔 지도 서비스앱 '카카오맵'에서 개인정보 유출 논란이 불거졌다. 당시 일부 카카오맵 이용자가 신상 정보를 즐겨찾기로 설정한 뒤 이를 전체공개로 둔 것이 다른 이용자에 노출되면서 문제가 됐다. 이후 카카오가 즐겨찾기 폴더의 기본값을 비공개로 변경하면서 논란은 사그러들었다. 카카오는 당시 "즐겨 찾는 장소는 개인이 식별할 수 있는 개인정보가 아닌 만큼 기본값을 비공개로 할 이유가 없었다"며 개인정보보호법을 위한하지 않았음을 밝혔다.