위버스는 공지에서 이번 사안을 "개인의 일탈을 넘어 회사의 관리 부실 책임이 큰 사안"이라고 표현하면서도, 재발 방지 대책으로는 ▲내부 TF 구성 ▲이벤트 시스템 접근 권한 제한 ▲상위 직책자 감독 강화 ▲보안 교육 및 상시 모니터링 강화 등을 제시하는 데 그쳤다. 공지 역시 아티스트별 커뮤니티 공지나 푸시 알림이 아닌, 앱 하단 '더보기>설정>서비스 정보 공지사항' 메뉴에만 조용히 올라왔다. 팬들 사이에서는 "직원 한 명 자르고 지나가려 한다", "유출된 건 내 정보일 수도 있는데 사과문을 우연히 찾아 들어가 봐야만 볼 수 있다"는 불만이 이어졌다.
전문가들은 이번 사건을 단순한 '개인 일탈'로 돌리기 어렵다고 지적한다. 황석진 동국대 국제정보보호대학원 교수는 "내부 직원이 업무 범위를 벗어난 이벤트 당첨자 조회를 할 수 있었고 그 결과를 캡처해 사적으로 유출했다는 건 개인정보 접근 권한을 최소화하지 못했고 로그 관리·감사 체계도 제대로 작동하지 않았다는 의미"라며 "기업 차원의 관리 부실이 확인된 만큼 구체적인 재발 방지책과 점검 계획이 나와야 한다"고 말했다. 그는 또 "이벤트 응모 서류와 당첨자 명단을 얼마나 오래, 어떤 방식으로 보관하는지 명확히 공개하고 불필요한 개인정보는 신속하게 파기하는 구조를 만들어야 한다"고 강조했다.
개인정보보호위원회(개보위)도 현재 위버스가 제출한 자료를 검토 중이다. 개보위 측은 "언론 보도로 유출 사실을 인지한 뒤 위버스 측이 유출 신고를 한 것으로 파악하고 있다"며 "아직 공식 조사 착수 단계는 아니지만 조사 가능성을 염두에 두고 유출 규모와 안전조치 이행 여부를 살펴보는 중"이라고 밝혔다.
논란의 파장은 위버스 플랫폼 전반으로 번지고 있다. 위버스는 하이브 아티스트의 커뮤니티 서비스뿐 아니라 사전녹화·공개방송 방청 신청, 팬미팅·콘서트 응모 등 각종 이벤트를 한 곳에서 처리하는 팬 플랫폼이다. 이 과정에서 팬들 사이에서는 오래전부터 "되는 사람만 계속 된다", "선착순이라면서 응모 페이지에 접속 시간(초 단위)이 공개되지 않는다"는 의혹이 반복적으로 제기돼 왔다.
황 교수는 "응모·추첨 시스템의 동작 방식, 로그 관리, 응모자·당첨자 정보의 보관·파기 정책이 투명하게 공개되지 않으니 팬 입장에서는 불신이 쌓일 수밖에 없다"며 "특히 이번처럼 내부 직원이 당첨 여부에 개입하려 한 정황까지 드러난 이상, 이벤트 공정성과 개인정보 보호를 함께 점검해야 한다"고 말했다.
문제는 하이브가 콘서트 입장에 '얼굴패스'까지 도입하며 팬들의 민감한 생체 정보를 더 많이 수집하고 있다는 점이다. 하이브는 지난해 아일릿, 르세라핌, 엔하이픈 등 소속 아티스트 공연에 얼굴 인식 기반 입장 시스템을 적용했다. 놀유니버스·토스와 만든 이 서비스는 티켓과 신분증 없이 얼굴만 인식해 입장할 수 있다는 편리함을 앞세웠지만 계정 탈퇴를 해도 등록한 얼굴 이미지가 1년간 토스 서버에 보관돼 청소년 관객도 적지 않은 분야에서 개인정보 과다 수집·보관한다는 논란이 일었다. 지난해 10월 열린 국회 국정감사에는 "얼굴패스는 개인정보보호위원회의 사전 적정성 검토나 과기정통부 규제 샌드박스를 거치지 않은 사실상 '무허가 서비스' 상태"라는 지적이 나오기도 했다.
황 교수는 "얼굴인식처럼 민감도가 높은 생체 정보를 다루려면 데이터 최소 수집, 보관 기간, 암호화 수준, 오남용 방지를 위한 내부 통제까지 훨씬 엄격한 기준이 필요하다"며 "그런데 일반 인적사항조차 제대로 관리하지 못해 내부 유출이 발생했다면 이용자 입장에서는 회사가 얼굴까지 맡길 만큼 준비가 돼 있는지 근본적인 의문을 가질 수밖에 없다"고 말했다.
https://m.entertain.naver.com/home/article/119/0003045501
