왓츠앱(WhatsApp)이 전화번호 대신 사용자명(username)을 통해 서로를 찾고 메시지를 보낼 수 있는 기능을 시범 운영 중이며, 올해 말 정식 출시를 앞두고 있습니다. 메타(Meta)는 이 기능이 개인 정보 보호를 강화한다고 설명하지만, 출시 초기부터 사칭(impersonation) 문제에 대한 심각한 우려가 제기되고 있습니다. 특히 5억 명 이상의 사용자를 보유한 인도에서는 규제 당국과 보안 전문가들이 이 변화가 새로운 사기 기회를 만들 수 있다고 경고하고 나섰습니다.
테크크런치(TechCrunch)의 초기 테스트 결과, 인도 총리 나렌드라 모디(Narendra Modi), 유명 배우 샤룩 칸(Shah Rukh Khan)과 아미타브 밧찬(Amitabh Bachchan), 릴라이언스 지오(Reliance Jio)의 무케시 암바니(Mukesh Ambani) 회장, 인도 중앙은행(Reserve Bank of India) 등을 연상시키는 사용자명들이 아직 예약 가능 상태였습니다. 이는 공인이나 기관을 사칭하는 계정이 쉽게 만들어질 수 있음을 시사합니다. 메타는 공인이나 정부 기관의 사용자명 및 일부 변형을 미리 예약해 사칭을 방지한다고 밝혔지만, 어떤 기준과 방식으로 이를 선별하는지는 명확히 설명하지 못했습니다. 실제로 바이낸스(Binance) 창업자 창펑 자오(Changpeng Zhao)는 자신이 다른 플랫폼에서 사용하는 사용자명 'cz_binance'를 왓츠앱에서 예약할 수 없었다고 언급하며 혼란을 가중시켰습니다.
이러한 우려는 인도 규제 당국의 개입으로 이어졌습니다. 인도 전자정보기술부(MeitY)는 왓츠앱에 보낸 서한에서 이 기능이 온라인 사기, 피싱(phishing), 디지털 체포 사기(digital arrest scams), 사칭 공격(impersonation attacks) 발생률을 크게 높일 수 있다고 경고했습니다. 전화번호 노출 없이 악성 행위자가 사용자에게 접근할 수 있게 되기 때문입니다. 인도 정부는 왓츠앱에 IT 법률에 따라 규제 조치가 취해지지 않아야 하는 이유를 설명하고, 협의가 완료될 때까지 기능 출시를 연기할 것을 요청했습니다. 반면, 인도 디지털 권리 단체인 인터넷 자유 재단(IFF)은 이러한 정부의 개입이 법적 근거가 부족하며, 행정부가 제품 디자인에 과도한 권한을 행사할 위험이 있다고 비판하며 논쟁이 가열되고 있습니다.
왓츠앱의 사용자명 도입은 개인 정보 보호와 보안 사이의 복잡한 균형 문제를 드러냅니다. 소셜프루프 시큐리티(SocialProof Security)의 레이첼 토박(Rachel Tobac) CEO는 사용자명이 전화번호 공유를 줄여 SIM 스와프 공격(SIM-swap attacks)이나 피싱 위험을 낮출 수 있어 전반적인 개인 정보 보호에는 긍정적이라고 평가했습니다. 그러나 동시에 유사 사용자명으로 인한 사칭 위험은 여전히 존재한다고 지적하며, 사용자들에게는 쉽게 추측할 수 없는 사용자명을 선택하고 신원 확인에 주의를 기울일 것을 당부했습니다. 모질라 재단(Mozilla Foundation) 역시 사용자명 도입이 새로운 사기 및 사칭 증가라는 잠재적 위험을 가져올 수 있다고 경고하며, 플랫폼의 근본적인 디자인 선택이 이러한 피해를 허용할 수 있다고 지적했습니다. 이번 논란은 규제 시장에서 서비스를 운영하는 기업들이 직면하는 딜레마를 보여주는 동시에, 메타가 자사 플랫폼 전반에 걸쳐 사용자 신원을 통합하려는 전략적 움직임의 일면을 드러내고 있습니다.