오픈채팅 해킹이 불붙인 논쟁, 개인정보위-카카오 ‘일련번호’ 두고 대립각
카카오, 개인정보 유출 관련 과징금 151억 부과
작년 3월 오픈채팅방 통해 일련번호 유출 적발
개인정보위 “일련번호도 개인정보에 해당”
개인정보보호위원회가 개인정보 유출과 관련해 151억원의 과징금을 부과 받은 후 “일련번호는 개인정보가 아니다”라고 주장하는 카카오에 대해 개인정보의 개념을 좁게 해석하고 있다고 반박했다. 일련번호는 다른 정보와 결합해 특정 개인을 알아볼 수 있는 개인정보며, 카카오도 일련번호를 이용자 식별 체계로 사용하고 있다는 것이다.
개인정보위 부원장, 카카오에 일침
최장혁 개인정보위 부위원장은 5일 서울 종로구 정부서울청사에서 열린 기자간담회에서 “기술의 발달로 개인정보 개념이 확대되고 있는데, 카카오는 개인정보를 너무 좁은 개념으로 인식하고 있다”면서 “과거 유사사례에 적용한 동일한 원칙과 법에 의해 카카오의 개인정보 유출 관련 처분을 내렸다”고 말했다.
앞서 개인정보위는 지난달 23일 전체회의를 열고 카카오에 151억4,196만원의 과징금을 부과하기로 의결했다. 이는 개인정보위가 개인정보보호법 위반으로 국내 기업에 부과한 과징금 중 가장 큰 규모다. 개인정보위는 작년 3월 카카오톡 오픈채팅방참여자의 개인정보가 유출됐다는 언론 보도가 나오자 카카오의 개인정보보호법 위반 여부를 조사했다.
개인정보위에 따르면 카카오는 오픈채팅방 참여자의 임시 아이디(ID)를 암호화하지 않아 해커가 회원일련번호를 쉽게 확인할 수 있었다. ‘회원일련번호’는 카카오톡 내부 관리를 목적으로 쓰이는 정보다. 해커는 오픈채팅방에서 확보한 회원일련번호와 일반채팅방에서 알아낸 이용자 정보를 결합해 개인정보 파일을 생성, 이를 소셜미디어(SNS)에서 판매했다.
사건의 쟁점은 ‘일련번호’ 개인정보 포함 여부
사건의 쟁점은 해커가 회원정보를 빼돌리는 데 이용한 일련번호를 개인정보로 볼 수 있냐는 것이다. 개인정보위는 일련번호를 다른 정보와 결합해 이용자들을 찾아 낼 수 있었고, 실제 유출 사고로 이어진 상황에서 개인정보로 봐야 한다는 입장이다. 현행 개인정보보호법은 ‘해당 정보만으론 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보’도 개인정보로 규정한다.
이와 관련해 최 부위원장은 “개인정보가 식별기능뿐만 아니라 다양한 기능을 하고 있기 때문에 개념이 계속 바뀌고 있다”고 말했다. 김해숙 개인정보위 조사2과장도 “카카오가 ‘식별체계’라고 부르며 회원일련번호로 모든 유저를 구분하고 관리하고 있었던 만큼 개인정보로 볼 수 있다”고 부연했다.
이날 개인정보위는 ‘규제기관이 피규제기관과 다투는 것은 부적절하다’며 수위 조절을 했지만, 내부적인 불쾌감을 드러냈다. 카카오는 해킹 인지 이후 경찰과 과학기술정보통신부 등에 신고를 했지만, 개인정보위에는 신고하지 않았다는 것이다. 또한 유출 피해자 696명은 신원까지 파악됐음에도 이들에게 유출 사실을 통지하지 않았다. 최 부위원장은 “규제당국의 처분은 법원에서 다른 판단을 할 때까지 유지된다”며 “본인들이 개인정보 유출이 아니라고 판단해 다툴 의향이 있더라도 일단은 신고하는 등 필요한 의무를 다하고 다퉈야 하는 것 아닌가”라고 지적했다.
“일련번호는 개인정보 아니다” 카카오, 행정소송 예고
반면 카카오 측은 회원일련번호는 말 그대로 숫자의 나열이며, 그 자체로는 누구인지 알 수 없어 개인정보로 볼 수 없다는 입장이다. 해커가 불법적으로 정보들을 결합해 낸 것이지 카카오로부터 직접 정보가 빠져나갔다고 볼 수 없다고도 했다. 카카오가 피해 이용자에게 통보하지 않은 이유 역시 개인정보 유출 사건이 아니라고 판단했기 때문이다. 개인정보위에 따르면 지금까지 해커가 조회한 개인정보는 최소 6만5,719건이다. 정확한 개인정보 유출 규모는 경찰이 조사 중이다.
한편 카카오는 아직 개인정보위의 의결서를 받지 못한 상태다. 의결서가 도착하면 한 달 내에 과징금을 납부해야 한다. 다만 카카오가 이에 불복해 행정소송을 제기하면 법정 공방이 불가피하다. 업계에 따르면 카카오는 행정소송을 진행하는 방향으로 가닥을 잡았다.