뉴스
2018년 10월 09일 15시 26분 KST | 업데이트됨 2018년 10월 09일 15시 29분 KST

구글이 이용자 개인정보 유출 위험 '버그'를 발견하고도 은폐했다

버그 그 자체보다, 버그를 발견하고도 숨긴 게 더 큰 문제다.

Chesnot via Getty Images

구글이 구글플러스(Google+) 이용자 개인정보 유출 위험을 초래한 버그를 발견하고도 6개월 넘게 이를 은폐했던 것으로 드러났다. 구글은 이 사실이 외부에 알려질 경우 미칠 후폭풍을 우려해 버그 발견 사실을 공개하지 않았다. 구글은 구글플러스를 중단하겠다고 밝혔다.

월스트리트저널(WSJ)워싱턴포스트(WP) 등이 구글 내부 문건 및 관계자들을 인용해 8일(현지시각) 보도한 내용에 따르면, 구글은 지난 3월 내부 조사 과정에서 버그를 발견했다. 구글플러스 이용자들의 개인정보가 외부 개발자들에게 노출될 위험이 있는 버그였다.

예를 들어 구글플러스 이용자 A가 이름, 직업, 성별 같은 자신의 개인정보를 구글플러스 친구인 이용자 B 등에게만 공개되도록(친구 공개) 해놓았을 경우를 가정해보자. 이용자 B가 구글플러스 아이디로 다른 사이트에 로그인(소셜로그인)할 때 소프트웨어 버그 때문에 개발자가 이용자 B 뿐만 아니라 이용자 A의 개인정보까지 수집할 수 있었다는 것.

유출 위험에 놓인 개인정보는 성명, 이메일주소, 생년월일, 성별, 프로필 사진, 거주지역, 직업, 관계 상태(relationship status) 등이라고 WSJ는 전했다. 다만 전화번호나 이메일 메시지, 타임라인 사진, 다이렉트 메시지 등은 해당 버그의 영향을 받지 않았다고 한 관계자는 밝혔다.

이같은 버그는 API의 설계상 오류 때문이며, 이용자가 비공개로 설정해 둔 개인정보에 접근할 권한이 개발자들에게 주어지기도 했다. 구글은 3월 말 2주 동안 내부 테스트를 거쳐 피해 규모 파악에 나섰다. 그 결과 49만6951개 계정이 위험에 노출됐던 것으로 나타났다고 한 관계자는 말했다.

SOPA Images via Getty Images

 

이어 구글은 버그를 수정한 뒤 내부 논의에 들어갔다. WSJ가 입수한 내부 문건에 따르면, 구글 법률 및 정책 담당 직원들은 버그 발견 사실을 공개할 경우 ”규제당국의 즉각적인 관심”을 초래할 것이며, 당시 논란이 되고 있던 페이스북 ‘케임브리지 애널리티카’ 개인정보 스캔들처럼 일이 커질 수 있다고 고위 임원들에게 보고했다.

문건에 따르면, 구글은 이 내용이 알려질 경우 ”페이스북과 함께, 또는 페이스북을 대신해 우리가 스포트라이트를 받게될 것”이라고 우려했다. ”순다 (피차이) CEO가 의회 청문회에 서는 건 확정된 것이나 마찬가지다.” 

결국 구글은 내부 검토 끝에 버그 발견 사실을 공개하지 않기로 결정했고, 순다 피차이 CEO도 이같은 결정에 대해 보고 받았다고 WSJ가 인용한 한 관계자는 말했다. 구글 내부 변호사들은 이같은 내용을 공개할 법적 의무가 없다고 조언했다. 

WSJ은 ”관련 내용을 잘 아는 한 관계자는 법률 및 정책 부문 직원들이 작성한 문서가 (비공개) 결정의 요인은 아니라고 말했지만, 이 문서는 이 문제를 어떻게 다룰 것인지에 대한 내부의 이견들을 보여준다”고 지적했다.

구글 내부 문서에 따르면, 법률 및 정책 담당 직원들은 외부 개발자가 이용자의 개인정보를 나쁜 목적으로 사용한 증거는 없다면서도 그와 같은 일이 있었는지 확신할 방법이 없다는 사실 역시 인정했다. 

Bloomberg via Getty Images

 

구글은 이날 공식 블로그에 올린 글에서 버그 발견 사실을 뒤늦게 공개했다. 구글은 어떤 이용자들이 이 버그의 영향을 받았는지 확인할 수는 없다면서도 ”최대 50만개 이상의 구글플러스 계정이 영향을 받았을 수 있다”고 밝혔다. 

구글은 이어 소비자용 구글플러스 서비스를 중단하겠다고 밝혔다. 페이스북에 도전장을 내겠다며 2011년 야심차게 출시됐던 구글플러스는 구글 최대의 실패작 중 하나로 꼽힌다. 이날 블로그 글에서, 구글 스스로도 이를 인정한 것처럼 보인다.

이번 리뷰는 우리가 꽤 오랫동안 알고 있었던 것을 구체화했다. 즉, 구글플러스를 만드는 데 지난 몇 년 동안 우리 기술자들이 많은 노력과 정성을 쏟았음에도 소비자 또는 개발자들 사이에서 널리 채택되지는 못했으며 이용자와 앱의 활동도 미미했다는 것이다. 구글플러스 소비자 버전은 현재 사용빈도와 참여도 모두 낮다. 구글플러스의 이용자 세션 중 90%는 5초가 안 된다. (구글 블로그 10월8일)

그러나 버그 발견 사실을 공개하지 않은 이유 등에 대한 언급은 없었다. 구글은 미국 정부와 의회의 집중 조사를 피할 수 없을 것으로 보인다. WSJ은 구글이 집단소송에 직면할 수도 있다고 전했다.