주메뉴바로가기 본문바로가기
전체메뉴
HOME > Target@Biz > 비즈

개인정보 유출로 '역대 최대 과징금', 카카오는 억울하다?

"해커의 불법행위까지 책임 묻는 것은 부당" 행정소송 전망…'다른 정보와 쉽게 결합' 두고 다툼 여지

2024.05.28(Tue) 17:18:29

[비즈한국] 개인정보보호법 위반 혐의로 국내 기업 중 역대 최대 규모의 과징금을 부과받은 카카오가 행정소송을 포함한 법적 대응을 검토하고 있다. 1년 넘게 카카오톡 오픈채팅방(익명 대화방)의 보안 허점에 대해 조사를 벌인 개인정보보호위원회(개인정보위)는 이용자의 개인정보가 노출될 위험이 있었는데도 카카오가 설계·운영 과정에서 제대로 관리하지 않았다고 보고 제재 결론을 내렸다.

카카오가 안전조치의무 위반으로 물게 된 과징금은 약 151억 원이다. 카카오는 법령 위반이 아니라며 적극 반박에 나섰다. 채팅방에서 확인할 수 있는 임시 ID 등은 관련 법상 암호화 의무가 있는 개인정보가 아니라는 주장이다. 법적 공방에 들어가면 임시 ID와 ‘회원일련번호’에 대한 카카오의 책임 소지가 핵심 쟁점이 될 것으로 보인다. 카카오의 항변을 짚어봤다.​

 

개인정보보호법 위반으로 과징금 151억 원을 부과받은 카카오가 행정소송 등 법적 대응을 검토하고 있다. 경기도 성남시 카카오 판교 아지트. 사진=박은숙 기자

 

이 사안은 지난해 3월 카톡 오픈채팅방 이용자의 개인정보를 판다는 광고 글이 SNS를 통해 유포되면서 불거졌다. 카카오 측은 개인정보위의 결정에 대해 “적극 소명했으나 이 같은 결과가 나오게 돼 매우 아쉽다”고 입장을 밝혔다. 지난 22일 개인정보위 전체회의에서 나온 판단에 반박하는 카카오의 주장은 크게 세 가지로 요약된다. 임시 ID 자체만으로는 개인을 식별할 수 없고, 카카오의 과실은 제한적이며, 그동안 지속적으로 보안 체계를 강화해왔고 선제적으로 신고한 후 수사에 적극 협조했다는 노력도 강조했다.

 

#유출 매개된 ‘회원일련번호’ 개인정보냐 아니냐  

 

핵심 쟁점은 오픈채팅방 내 임시 ID와 회원일련번호다. 익명 대화방인 카톡 오픈채팅방에서는 개인의 실명이나 전화번호를 알 수 없다. 개인이 설정한 닉네임만 보인다. 대신 참여자들에게는 임시 ID가 부여된다. 개인정보위 조사 결과에 따르면 해커는 임시 ID에서 쉽게 회원일련번호를 추출했고, 카톡 ‘친구 추가’에 휴대전화번호를 무작위로 대량 등록해 일반채팅 이용자 정보도 확보했다.

이때 매개가 된 게 회원일련번호다. 해커는 두 갈래에서 얻은 정보들을 회원일련번호를 기준으로 대조해 서로 겹치는 이용자들을 찾아냈고, 불법 프로그램으로 이 과정을 반복해 여러 정보를 결합한 개인정보 파일을 생성했다. 이 정보들은 주식·코인 투자 등의 스팸 문자 등에 활용되며 2차 피해를 낳았다.

문제는 임시 ID의 뒷자리가 회원일련번호와 일부 같았다는 점이다. 김명주 서울여대 정보보호학과 교수는 “해커는 회원일련번호를 해킹 프로그램을 돌려 얻은 정보와 조합했다. 법에서 일반적으로 정의하는 ‘다른 정보와의 결합’의 해석 범위에 포함될지에 대한 논쟁이 뒤따를 것”이라고 말했다.​

 

개인정보위는 오픈채팅방의 임시ID와 회원일련번호에 대한 관리 소홀 문제 등을 문제 삼았다. 사진=비즈한국DB


개인정보위는 카카오의 이용자 식별 체계부터 결함이 있었다고 판단했다. 남석 개인정보위 조사조정국장은 지난 23일 전체회의 결과 브리핑에서 “임시 ID는 카톡 일반 채팅에서 쓰는 회원일련번호 앞에 일부 숫자만 붙인 것이다 보니 오픈채팅방의 임시 ID를 알게 되면 전체 채팅에서 쓰는 회원일련번호를 쉽게 알 수 있다”고 설명했다.

카카오 관계자는 “임시 ID, 회원일련번호는 바로 읽을 수 없도록 한 ‘난수’에 불과하다. 일반 이용자들이 접근하기도 어렵다. 그 자체에 개인에 관한 정보가 담기지 않아 개인정보가 아니라는 게 기본 입장”이라며 “2020년 8월 이후 암호화 조치까지 완료한 상태”라고 말했다.

기업은 서비스를 운영할 때 사용자 A와 사용자 B를 구분하기 위해 회원 식별값을 이용하는데 회원일련번호가 이에 해당한다. 페이스북이나 텔레그램, 엑스(옛 트위터) 등 해외 SNS에서도 비교적 손쉽게 확인 가능하다. 이처럼 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니기 때문에 이를 법령 위반으로 볼 수 없다는 게 카카오가 펼치는 논리다.​

 

#해커의 ‘불법행위’까지 카카오 과실일까 

 

카카오는 개인정보위의 이번 판단으로 그야말로 철퇴를 맞았다. 개정 전 법 기준이 적용돼 상한액이 전체 매출액 기준이 아닌 위법 행위 관련 매출의 3% 이내에서 결정됐지만 과징금 규모는 역대 최대인 151억 4196만 원에 달한다. 앞서 골프존에 부과된 75억여 원보다 두 배 이상 많은 금액이다.

 

카카오가 개인정보위 판단에 불복해 행정소송을 제기하면 유출 책임을 두고 법적 공방이 이어질 것으로 보인다. 사진=박은숙 기자

 

카카오로서는 ‘억울한’ 부분도 일면 있다. 면밀히 따져보면 해커가 결합해 사용한 ‘다른 정보’는 카카오에서 유출된 데이터가 아니다. 카카오 측은 “이는 해커가 불법적인 방법을 통해 자체 수집한 것”이라며 “당사의 위법성을 판단할 때 고려돼서는 안 된다고 생각한다”고 전했다.

개인정보는 개인정보보호법에 따라 규정된다. 주민등록번호처럼 개인을 단번에 알아볼 수 있는 고유 식별 정보뿐만 아니라 다른 정보와 쉽게 결합해 개인을 특정할 수 있다면 개인정보에 해당한다. 결국 이 ‘쉽게’라는 표현을 어떻게 해석할지가 관건이 된다.

김승주 고려대학교 정보보호학과 교수는 이를 두고 “정량적이기보다는 ‘정성’적인 표현이다. 해커가 외부에서 수집해온 대량의 정보를 토대로 이른바 ‘전수조사’해서 개인정보 결합물을 얻는 행위를 단순한 행위라고 보기는 어렵다. 어디까지를 쉬운 결합으로 볼 수 있을지를 놓고 다툼의 여지가 있다”고 말했다.

개인정보위에 따르면 지금까지 해커가 조회한 개인정보는 최소 6만 5719건이다. 정확한 개인정보 유출 규모는 경찰이 조사 중이다. 카카오는 아직 개인정보위의 의결서를 받지 못했다. 의결서가 도착하면 한 달 내에 과징금을 납부해야 한다. 다만 카카오가 이에 불복해 행정소송을 제기하면 법정 공방이 불가피하다. 업계에 따르면 카카오는 행정소송을 진행하는 방향으로 가닥을 잡았다.

황석진 동국대학교 정보보호대학원 석좌교수는 “개인정보에서 파생된 사건 사고가 끊임없이 발생하는 상황에서 여러 가능성을 염두에 두고 설계를 했다면 보안사고 위험이 경감될 수 있었을 것”이라며 “회원일련번호가 어떤 기준으로 관리됐는지 등을 따져봐야 한다”고 강조했다.​

강은경 기자 gong@bizhankook.com


[핫클릭]

· "인당 영업이익 1억인데 성과급은?" HDC현산 노조 '파업 찬반투표' 개시
· '핫플' 대형카페 위반건축물 수두룩, '이행강제금' 실효성 논란
· 제4이통사 스테이지엑스, 자본력 논란 속 과기부 심사 지연되는 이유는?
· 토스·카카오·핀다도 참전…'세금 환급 플랫폼' 믿어도 되나
· 반포주공1단지 재건축조합, 공사비 1조 원 차입 추진하는 까닭


<저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지>