일본 정부의 LINE야후 네이버 지분 매각 압박 논란

1. 개요[편집]

---

2024년, 일본 정부가 자국 내 라인 메신저 점유율이 너무 높다는 이유로 대한민국 기업 네이버를 상대로 LINE야후의 지분을 매각하라는 압박을 넣은 사건. 日, 네이버 라인지분 매각 압박...정부 "우리기업 차별 안돼"

2. 근본적인 배경[편집]

---

제 자신은 LINE 서비스를 이용하고 있지 않습니다. LINE 야후사에 있어서는 위탁처로부터 자본적인 지배를 상당히 받는 관계의 재검토를 포함해 위탁처에 대한 적절한 관리·감독을 기능시키기 위한 경영체제의 재검토 등 시큐러티 거버넌스 체제의 본질적인 재검토 및 강화를 실시할 필요가 있습니다.

--

다카이치 사나에 일본 경제안전보장담당상 - 주간문춘 취재 인터뷰 발언

네이버는 한국 정부와의 관계도 거론됩니다.특히 대일 강경파였던 문재인 정부에서 수석비서관(홍보담당)을 지낸 윤영찬 의원은 네이버 전 부사장입니다. 현재의 윤석열 정권은 카카오톡 등 IT 기업에 엄격한 자세를 보이고 있지만 그만큼 기업 측도 정부에는 협조적이 되고 있습니다. 자본의 지배가 있고 시스템도 잡혀 있는 이상 일본인의 개인정보가 한국 측에 이용될 우려는 끝이 없습니다.

--

일본 수상 관저 관계자 - 주간문춘 취재 인터뷰 발언

2024년 4월 초, 주간문춘의 시리즈 취재에 따르면, 내각 각료를 포함한 일본 정부 내에서는 한국 네이버가 LINE에 관여하고 있는게 이전부터 불만이었던 것으로 보인다. (유료기사) 특히 인터뷰에 응한 수상 관저 관계자는 네이버가 한국 정부와 밀접하게 연관되어 있다고 보고, 일본인의 개인정보가 한국 측에 이용될 우려가 있다고 언급하였다. 이에 개인정보 유출을 빌미로 삼아, 강경 우익 성향의 다카이치 사나에 경제안전담당상을 필두로 정부가 본격적인 조치를 취한 것으로 보인다.

3. 행정지도 내용[편집]

---

1차 행정지도 주요 내용 발췌 번역

(생략) 2.사안발생의 요인 (1)시스템 및 네트워크 구성 등과 관련된 네이버 사측에 대한 강력한 의존 원래 구 LINE사의 전신 기업(NHN Japan사)이 NAVER사의 자회사였다. 당시부터 귀사의 구 LINE사 환경에서는 NAVER Cloud사의 플랫폼이 이용되어 온 바 있으며, 본 사안 발생 당시 귀사의 구 LINE사 환경과 NAVER Cloud사 환경 사이에는 네트워크 접속이 있었고, 귀사에서 NAVER Cloud사에 대해 구 LINE사 환경에 대한 광범위한 네트워크 접속이 허용되어 있었다. 법적인 계약상으로는 귀사는 NAVER Cloud사에 물리적인 서버 및 소프트웨어 등의 인프라 구축 및 운영 업무를 위탁하고 있으며, 그 위탁 업무를 수행하게 하기 위해 구 LINE사 환경에 대한 광범위한 접근을 허용하고 있었다는 것이다. 또, 이러한 네트워크 접속이 있는 배경으로서 상기의 경위도 있어, 귀사와 NAVER 사측 사이에서는 종업원 계정의 인증 기반에 대해서도 공통화되어 있어, 구 LINE 사 종업원의 ID나 비밀번호 등의 정보가 NAVER Cloud 사측의 종업원 관리 시스템에서 관리/저장되고 있던 상태였다(인증 기능에 부수해 해당 종업원의 이름, 사원 번호 및 소속 등에 대해서도 인증 제휴한 시스템으로부터 조회 가능했다.） 이에 그치지 않고, 지금까지의 귀사의 보고에 의하면, NAVER Cloud사의 AD서버 내에, NAVER Cloud사 내에 설치되어 있는 구 LINE사 서버의 개발∙보수를 위해 발행된 구 LINE사 종업원의 계정정보가 저장되어 있던 점, 동일 도메인에 의해 인증기반이 공통화되어 있던 범위 내뿐만 아니라, 구 LINE사 종업원의 계정정보에 대해서는 구 LINE사의 인사시스템에 의해 연결된 서버간에 동일한 정보가 동기되는 시스템으로 되어 있었다. 이와 같이 귀사로부터 NAVER 사측에 대해서 구 LINE사 환경과 관련된 시스템이나 네트워크 구성, 구 LINE사 종업원의 계정 정보 취급에 대해서 상당히 강한 의존 관계가 존재하고 있던 것으로 인정된다. 본 사안은, 그러한 귀사와 밀접한 기술적/자본적인 관계가 있는 NAVER Cloud사 및 업무수탁처 회사의 정보보안과 관련된 안전관리 조치에 미비가 있었던 것을 기점으로 공격자에게 NAVER Cloud사의 AD 서버 등에 부정하게 침입당한 후, NAVER Cloud사의 네트워크를 통해 귀사에 대해 부정 액세스가 이루어져 귀사의 서비스와 관련된 이용자의 통신 정보가 누설된 것이다. (2) 불충분한 기술적 안전 관리 조치 본 사안과 관련된 부정 액세스 및 정보 누설에 이르게 된 귀사 측의 주요 원인으로서는, 귀사는 NAVER Cloud사에 대해 종업원 계정의 인증 정보를 공통 기반이나 정보의 동기를 인정하는 시스템 구성에 의해 공유하는 등, 이를 위해 귀사의 네트워크 및 사내 시스템 등에 대한 광범위한 액세스를 허용하고 있던 바, 이러한 경로나 인증 정보 등이 악용되었을 경우에는 귀사의 서버나 시스템이 침해될 위험이 높았음에도 불구하고, 귀사의 서버, 네트워크 및 사내 시스템을 보호하기 위해 충분한 기술적 안전관리 조치 내지 사이버 보안 대책을 실시하지 않고, 귀사 내 AD 서버를 포함한 수많은 서버나 시스템에 대해 부정 액세스를 허용한 점에 있다. 구체적으로는 NAVER Cloud사로부터 귀사의 네트워크에 대해 특정 포트와 관련된 통신을 제외하고는 광범위하게 접속을 허용되고 있었으며, 엄격한 접근 제한이 이루어지지 않았다는 점, 중요한 사내 시스템에 로그인할 때 다요소 인증 등이 요구되지 않았다는 점, 부정을 검지하기 위한 적절한 시스템도 도입되지 않았다는 점 등 다양한 기술적 미비가 존재했다. (3)업무수탁처의 부적절한 관리 감독 이외에 귀사의 서버나 시스템의 침해에 이르는 단초로서 NAVER Cloud사나 업무수탁처회사의 안전관리조치 내지 사이버보안 대책에도 미비한 점이 있어 외부로부터의 악성코드 감염을 허용하고 AD서버에 대한 침입이나 관리자 권한 탈취 등을 허용한 결과 귀사의 네트워크에 대한 부정 접근으로 이어진 것이지만, 이러한 사태를 막기 위한 안전관리조치 내지 사이버보안 대책을 NAVER Cloud사나 업무수탁처회사는 충분히 실시하고 있지 않으며, 또한 귀사와의 업무위탁 계약상에도 정기적인 평가나 기준 준수에 관한 규정이 존재하지 않는 등 적절한 위탁업체 관리감독이 실시되지 않았던 점이 인정된다.. (4)보안 거버넌스 미비 이상에서 기술한 귀사의 안전관리 조치 내지 사이버보안 대책이 불충분했던 것이나, 업무수탁처의 부적절한 관리가 이루어지고, 수탁처를 통한 사이버공격에 대한 적절한 안전관리 조치 내지 사이버보안 대책이 취해지지 않았던 것의 배경에는 우선, 조직적/기술적인 문제로서 지금까지의 구 LINE사의 사내 네트워크나 시스템 구축이 NAVER 사측에 의한 기술적 지원을 크게 받아 복잡하게 형성되어, 현재도 그 보수운용 등을 NAVER 사측에 의존하지 않을 수 없다는 관계가 존재하고 있다. 또한 귀사입장에서는 NAVER 사측은 수탁처이며, 위탁처인 귀사로부터 관리감독을 받는 입장임에도 불구하고 현재까지도 귀사의 모회사인 A홀딩스사 자본의 절반을 NAVER 그룹이 보유하고 있는 등 귀사와 NAVER 사측 사이에는 자본적인 지배를 상당 정도 받는 관계가 존재하고 있다. 이러한 관계가 존재하기 때문에, 귀사측에서 NAVER 사측에 대해 안전 관리를 위한 적확한 조치를 요구하는 것이나, 적절한 수탁처 관리를 실시하는 것이 곤란했다는 사정도 영향을 미치고 있다고 생각된다. (생략) 2.에서 언급한 귀사와 NAVER 사측의 밀접한 네트워크 구성 및 이에 따른 귀사의 정보 취급 등을 전제로 한다면, NAVER 사측에 어떠한 보안 사고가 발생한 경우, NAVER 사측의 네트워크를 통해 구 LINE 환경하에 저장된 정보에 용이하게 접근할 수 있으며, NAVER 사측의 네트워크를 통해 구 LINE사가 취급하는 이용자의 정보가 침해될 위험이 일상화되었다고 볼수 있는데, 귀사의 보고에 의하면, 그럼에도 불구하고 귀사에서 충분한 안전관리조치가 취해지지 않았으며, 귀사로부터 NAVER 사측에 대해서도 지금까지 정기적인 안전관리조치의 실시상황 확인 및 보안 리스크평가등이 실시 되지 않았다라는 점에 있으며,본 사안은 바로 이러한 리스크가 표면화된 사안이라고 말할수 있다. 또한, 본 사안의 해명에 관해서도, 당성(총무성)에서도 귀사에 대해 여러번에 걸쳐서 보고를 요구하기도 했지만, 귀사에서는 조사 미완료를 이유로 회답 기한 내에 충분한 회답이 이루어지지 않았고, 회답이 이루어지더라도 그 내용에 불명료한 점이 많이 포함되기도 했다. 이는 귀사가 정보보안과 관련된 안전관리를 NAVER 사측에 강하게 의존하고 있었기 때문에 접속로그 등 필요한 정보의 대부분이 NAVER 사측에 존재하고 있어 그 수집이나 분석에 지장을 초래했기 때문인 것으로 짐작된다. 이와 같이 사이버 보안 사안에서 자사가 수탁처의 감독이나 원인을 신속하게 파악할 수 없는 것 자체가 큰 문제라고 본다. 이에 대해서는 귀사의 안전관리 조치나 사이버보안 대책, 수탁처 관리의 기본방향에 대해 본 사안과 같은 사고의 재발을 확실히 방지하도록 다음과 같이 근본적인 재검토를 실시하여 실효적이고 충분한 대책을 강구하기 바란다. (행정지도 내용) (생략) ③ 수탁처 관리 재검토에 대하여 본 사안의 공격의 단초가 된 네이버 클라우드사의 안전관리 조치 강화에 대해, 수탁처인 NAVER 측에 적시에 이행 상황을 확인하고 필요한 경우 대책 강화를 요청하는 등 실효성 있는 재발 방지책이 수립될 수 있도록 적절한 관리 감독을 실시할 것. 특히 귀사의 보고에 따르면, NAVER Cloud사는 귀사가 지적하기 전까지 침해 사실을 인지하지 못했고, 해당 AD 서버가 침해되어 외부 C&C 서버에서 직접 접속되는 상황이 상당 기간 동안 지속되는 등 안전관리 조치에 문제가 있었다고 한다. 이를 바탕으로 위탁 및 감독 방식을 재검토하기 위한 귀사의 계획을 수립하여 제출할 것. (생략) 지도내용(1)에서도 언급한 네트워크 구성상의 중대한 리스크가 존재했음에도 불구하고 이것이 시정되지 않고 본 사안이 발생하게 된 배경에는, 귀사 입장에서 보면 NAVER측이 수탁자로서 위탁자인 귀사로부터 관리감독을 받는 입장에 있음에도 불구하고 NAVER측과 귀사 사이에 조직적/자본적으로 상당한 지배관계가 존재하여 귀사가 NAVER측에 안전관리를 위한 적절한 조치를 요구하거나 적절한 수탁자 관리를 실시하기 어려웠던 사정도 영향을 미친 것으로 판단됩니다. (생략)

일본 총무성이 문제삼고 있는 부분 요약

* 네이버사와 업무협업차원 이상으로 너무 광범위하게 데이터를 공유하는 체제.

* 보안 업무를 네이버에게 전적으로 의지해야하는 체제.

* 네이버의 시스템에 동승함으로서 네이버와 같은 보안업체를 사용해야만 했던 점.

* 같은 보안 업체와 계약하는데, 라인측이 보안업체에게 요청할 수 있는 조항이 없어서, 라인측은 관리감독이 불가능한 점.

* 네이버측이 라인이 통보하기 전까지 해킹사실을 인지하지 못했으며, 통보 후에도 정보공유 없이 1달간 외부에 새어나가는 상태를 유지한 점.[2]

보안업체에 악성코드가 심어진건 2023년 8월 10일, 보안업체가 감염된건 9월 7일, 네이버 관리서버가 감염된건 9월 14일, 네이버 관리서버에서 탈취한 라인야후의 권한으로 라인야후를 공격하기 시작한게 9월 27일, 10월 24일까지 외부에서 내부 데이터를 다운로드가능한 상태였다.

4. 전개[편집]

---

2023년 8월, 일본 야후의 사용자 정보 400만건이 무단으로 네이버에 공유된 것과, 2023년 11월, 네이버 위탁업체의 서버가 해킹 당하며 라인 이용자 정보 44만건이 유출된 것[3]을 이유로 2024년 3월, 일본 정부는 한국 네이버의 지분을 더 줄이라며 강경한 행정지도에 나섰다. # 4월 16일, 일본 정부는 다시 한 번 라인에 대해 한국 네이버의 지분을 줄이라며 기업일에 직접 개입하는 행정지도에 나섰다. 이에 따라 네이버와 동일하게 라인의 지주사 지분을 50% 소유한 소프트뱅크가 네이버로부터 추가로 주식을 매입하기 위해 협의를 진행 중인 것으로 알려졌다.

2023년 한국 네이버 클라우드의 액티브 디렉토리 서버가 해킹되어, 네이버 측 사내 네트워크와 연결되어 있던 일본 LINE의 사용자 정보 일부가 유출되는 사고가 발생하였다. # 이에 2024년 3월, 일본 총무성은 행정조치명령을 내려 라인야후와 네이버의 시스템을 완전히 분리할 것을 주문하는 동시에 "네이버 측이 위탁업체로서 (LINE의) 관리감독을 받아야 할 위치이지만, 네이버 측과 귀사(LINE) 간에 조직적·자본적으로 상당한 지배 관계가 있어서 (LINE이) 네이버 측에 안전관리에 필요한 적절한 조치를 요구하거나, 위탁업체 관리를 실시하기 어려웠다"면서, 네이버가 라인야후에 대한 영향력을 축소해야 한다는 입장을 밝혔다. # 일본 언론들도 보수계열 언론들을 중심으로 일본의 국가 안보와 일본 내 이용자들의 개인정보 보호를 위해 적절한 조치가 필요하다는 주장을 펼치고 있는 상황이다. 일본 내에서는 ChatGPT의 등장 이후 생성형 인공지능 분야의 중요성이 매우 강조되고 있는 상황이기 때문에, 데이터 이슈에 매우 민감해진 영향도 있다.

2024년 4월 1일, 라인야후는 네이버와 공통적으로 사용하고 있던 서버, 네트워크, 인증시스템을 순차적으로 네이버와 분리하겠다고 밝혔다. 또 네이버클라우드와의 Tier 1 SOC(보안운영센터) 계약을 해지 후 일본 국내회사로 이전하고, 해킹의 원인이 되었던 네이버클라우드 하청기업과 계약을 해지하는 등의 조치를 취한다는 방침이다. #

2024년 4월 16일, 일본 총무성은 라인야후가 4월 1일 제출한 조치 사항이 불충분하다면서 다시 한 번 행정지도를 내렸다. 2차 행정지도에서는 "자본관계에 관한 재검토 요청"(=네이버의 지분 축소)이 강조되었다. #

수탁자인 네이버 측에서 자본적 지배를 상당 수준 받는다는 관계의 재검토에 대해서도 「여러 시스템 이용 및 기술 지원을 받는 관계인 네이버 측에 대해 자본적 관계의 영향을 받지 않고 수탁자 관리를 충분히 할 수 있을 만큼의 객관적인 관계를 실현하기 위해」 귀사의 모기업인 A 홀딩스 측에 「자본관계에 관한 재검토 요청」을 하였다는 취지의 보고에 그치고 있다.

수탁자로부터 상당한 수준의 자본적 지배를 받는 관계의 재검토를 포함하여 수탁자에 대한 적절한 관리/감독이 기능할 수 있도록, 경영체제의 재검토에 대해 모회사 등을 포함한 그룹 전체에서 조속히 검토를 실시하고, 그 검토 결과를 구체적으로 보고할 것.

2024년 4월 23일, 교도통신은 소프트뱅크가 네이버측으로부터 지분을 추가 매입하기 위한 협상에 나섰다고 보도했다. #1#2

네이버와 소프트뱅크는 A홀딩스 지분을 정확히 50%씩 나눠갖고 있으며 만약 네이버가 A홀딩스 주식을 1주라도 소프트뱅크에 내준다면 네이버는 라인의 경영권을 완전히 잃게 된다. 이러한 상황에서 네이버는 공개발언을 극도로 아끼고 있지만, 네이버 입장에서는 개선조치로 일본 내 사업 일부를 소프트뱅크로 이관한 상황에서 라인의 경영권까지 자발적으로 포기하라는건 절대 수용할 수 없는 요구이기에 소프트뱅크가 막대한 조건을 제시하는 것이 아닌 이상[4] 네이버가 자발적으로 지분을 소프트뱅크에 매각할 가능성은 사실상 없다고 봐도 무방하다.

일본 정부의 자본 관계 재검토 요구와 유사한 사례로 미국에서 틱톡 퇴출 논란이 언급되기도 한다. 하지만 이것은 어디까지나 미국 기업에 대한 차별적 규제가 심한 중국[5]에 대한 미국의 상호주의에 입각한 대응책이자 중국의 인터넷 검열에서 알 수 있듯 중국 정부가 주도하여 미국인의 개인정보를 유출할 가능성 또한 충분히 있었기에[6] 틱톡 퇴출 법안이 강력하게 추진될 수 있었던 것이다. 틱톡의 사례 보다는 오히려 카를로스 곤 구속 사건과 비슷하다는 얘기도 있는데, 일본의 국민 메신저를 서비스하는 회사가 한국과 관계가 있다는 점이 일본의 국민감정을 건드리고 있기 때문에 최근 지지율이 바닥을 기고 있는 일본 정부가 이를 정치적으로 이용하고 있다는 것이다.[7] 하지만 한국과 일본은 한일관계에 대한 국민감정이 어떻든 국제적으로는 우방국 관계로, 우방국 기업에 자국 기업으로의 지분 매각을 강제하는 것은 외교적으로도 상당한 마찰 소지가 있을 수밖에 없다.[8] 한국 정부는 이러한 일본의 입장에 한국 기업에 대한 차별적 조치는 안된다면서 필요 시 일본과 소통하겠다고 밝혔다.#

2024년 4월 30일 기준으로 과학기술정보통신부가 해당 사안에 대하여 네이버와 협의하여 관련 동향을 주시하면서 지원에 나선 상황이다.[9]#

5. 지분 매각 요구의 정당성[편집]

---

야후 재팬과 네이버 측의 관리 소홀로 해킹 문제가 생긴 것은 맞지만, 보통 벌금부과와 함께 사이버 보안조치를 지도하는게 일반적인 만큼, 이를 빌미로 지분정리를 요구하는 것에 대해 사실상 한국을 적성국으로 보고 취한 조치가 아니냐는 의문이 제기되고 있다.#1, #2 자유민주주의 국가인 일본에서 정부가 행정지도를 명목으로 기업의 경영권, 특히 한국 기업인 네이버의 경영권에 개입하려한다는 점 때문에 일본 언론에서도 이례적인 조치라면서#, 한국에서 큰 논란이 되고 있다.

비슷한 조치로 미국에서 틱톡 강제 매각 법안이 통과되었으나, 미국과 중국은 서로 적성국으로 보고 있기 때문에 취해진 조치다. 따라서 보수언론과 진보언론 너나할 것 없이 일본이 한국을 적성국으로 보고 있는 게 아니냐며 격앙된 표현을 사용하고 있다. 다만 이는 지나친 확대 해석이라고 볼 수도 있는데, 일본은 과거 카를로스 곤 전 닛산 회장의 구속 사건 당시에도 엄연한 일본의 우방국인 프랑스의 기업 르노와도 마찰을 빚은 바 있다.

일본 입장에서 변론하자면, 라인의 개인정보 관리 소홀문제는 2021년부터 제기되었던 문제로, 자잘한 개인정보 유출문제는 꾸준히 있어왔다. 또한 2019년에 일본 야후와 서비스를 통합하면서 야후의 개인정보와 "라인페이"와 "PayPay"의 전자금융 시스템 정보까지 통합관리하게 되고, 관공서의 전자시스템까지 운영된 시점부터, 한국에 정보센터의 해킹 및, 재하청으로 중국으로 정보관리를 맡기면서 개인정보 유출이 연달아 발생하였고, 2021년 3월에 중국지사 직원으로 인한 개인정보의 중국으로 유출사건때, 라인은 일본 정부 부처에게는 "정보유출은 없고, 정보는 일본국내서버에서 폐쇄되어 있다"라고 총3번 설명했는데, #[10], 일본정부에 설명한 내용이 거짓이였던게 들통났고#, 이후에 보안이 개선되지 않고, 2021년 7월에는 라인을 이용하던 대만의 정치인/군관계자의 정보가 중국에게 해킹당하는 상황이 발생했고, 2023년의 대규모 유출때는 그것을 이용자 및 정부부처에게도 1달간 은폐했었기에 간과할수 없는 상태라고 판단되었다고 볼수 있다. NTT의 경우에는 경영진인 사장이 책임을 지고 물러났고, 재발 방지 대책까지 세워 시행했다. 그리고 누출의 원인이 된 직원은 일본 검찰에서 기소까지 했기 때문에 그냥 넘어났다고 볼 수는 없다. 게다가 NTT는 사실상의 일본 국영 기업이기 때문에 외국 사기업과는 비교 대상이 아니다.

다만 그렇다고 하더라도 보통은 미국이나 EU등의 사례를 참고하여 거액의 벌금과 함께 시정조치를 내리는게 일반적일 뿐 더러, 페이스북 일본사용자 정보 유출, 소니픽쳐스 해킹피해로 수천만건 개인정보 유출 등 수많은 사례에서도 없었던 조치를, 외국기업에게 지분 정리를 대놓고 요구하는건 극히 이례적이다. 2018년 페이스북이 일본사용자 정보를 유출했을 때 일본 정부는 개인정보 강화를 요청했지만, 지분 정리를 요구하지는 않았다.# NTT는 그나마 일본정부가 지분을 32%를 보유하고 있기 때문에 당연히 대주주로써 조치를 취한 것이다. NTT의 경우 928만건의 개인정보를 유출시켰지만, 재발방지책 하나 내고 직원 한 명 검찰에 기소시키는걸로 모든게 끝이 났다.# 반면 라인은 일본정부가 아무런 지분도 가지고 있지 않은데도 불구하고 경영권에 간섭하는것이기에 훨씬 더 충격적이고 이례적인 조치이다.