"오픈챗 일련번호도 개인정보, 카카오 '국민메신저' 책임 다해야"

카카오톡 로고

카카오톡 오픈채팅 채팅방 참가자들을 구분하기 위해 부여한 회원일련번호가 그 자체로는 개인을 식별하지 못한다더라도 해킹 등 다른 수단을 통해 개인을 식별할 수 있으면 회원일련번호도 개인정보로 봐야 한다는 지적이다.

지난달 하순 개인정보보호위원회가 오픈채팅 참여자 개인정보 유출을 이유로 카카오 에 국내 기업으로는 역대 최대 규모 과징금(151억여원)을 부과한 데 대해 카카오 측이 행정소송을 거론하는 등 반발하자 개인정보위가 재반박한 것이다.

최장혁 개인정보위 부위원장은 5일 정부서울청사에서 열린 정례 브리핑에서 "개인정보의 개념은 기술의 발달 등에 따라 날로 확대되고 있다"며 "과거처럼 개인정보 판단을 좁혀서만 보게 되면 개인정보 보호가 소홀해 질 수 있는 우려가 있다"고 이같이 밝혔다.

카카오톡 오픈채팅방 참가자들에게는 회원일련번호가 매겨져 있었다. 카카오가 서비스를 제공하기 위해 각 이용자에게 부여한 번호다. 오픈채팅방 참여자들끼리는 서로의 실명을 알 수 없지만 이 일련번호는 오픈채팅방이든 일반 채팅방이든 똑같았다.

해커가 오픈채팅방에서 일련번호를 수집했고 무작위로 만든 전화번호를 카카오톡 친구로 추가했다. 이를 통해 특정 일련번호와 매칭되는 실제 사용자의 전화번호를 얻어내기에 이르렀다. 또 대부분의 카카오톡 이용자는 자신의 카카오톡 프로필에 실명을 기재한다. 이를 통해 해커는 오픈채팅방에 참여한 사람의 실명과 전화번호 등 개인정보를 '생성'해냈고 이를 외부에 팔았다. 문제는 이같은 해커의 행위를 단순 해킹 범죄로 볼 것인지, 카카오 측이 일련번호를 암호화하지 않아 발생한 개인정보 유출사고로 볼 것인지에 대해 개인정보위-카카오의 판단이 극명하게 다르다는 데서 발생했다.

개인정보보호위원회는 6월 5일 오후 서울 종로구 정부서울청사에서 출입기자단 정례브리핑을 개최했다. 사진은 이날 브리핑에 나선 최장혁 개인정보위 부위원장 / 사진제공=개인정보보호위원회

카카오는 일련번호에는 아무런 개인정보가 포함돼 있지 않고 이걸 별도로 빼내서 무작위 전화번호 생성을 통해 개인정보를 결합해낸 것은 해커의 범죄행위일 뿐 개인정보 유출행위가 아니라고 봤다. 개인정보 유출이 아닌 만큼 개인정보위에 개인정보보호 관련 법령에 따른 개인정보 유출신고나 개인 이용자에 대한 유출사실 통지 의무도 없다고 주장했다. 행정소송 등 불복 절차를 밟겠다고 한 것도 이같은 이유에서였다.

개인정보위는 카카오 오픈채팅방 사건은 엄연히 개인정보 유출이라는 입장이다. 개인정보보호법도 개인정보를 '성명·주민등록번호'보다 훨씬 넓은 개념으로 규정하고 있다. 해당 정보만으로 개인식별이 불가능하더라도 다른 정보와 '쉽게' 결합해 개인여부를 알아낼 수 있다면 이 역시 개인정보로 봐야 한다는 것이다. '쉽게 결합할 수 있는지 여부'는 결합시킬 다른 정보를 입수할 수 있는 가능성이나 소요 시간·비용, 기술 등을 합리적으로 고려한다고 돼 있다. 추후 소송에서 법원이 이 문구를 당국에 유리하게 해석한다면 카카오의 주장은 단번에 힘을 잃는다.


최 위원장은 "개인정보 개념은 (기술 발달에 따라) 계속 변하고 있고 해킹 기술도 굉장히 발달해 있다"며 "카카오는 국민 메신저 기업이자 우리나라의 책임있는 기업으로서 기술발달에 대한 대응을 해야 할 것"이라고 했다.

아울러 그는 알리·테무 등 중국 전자상거래 기업의 개인정보법 위반 여부에 대한 조사 결과 및 SK텔레콤 에이닷의 개인정보 침해 여부에 대한 조사 결과도 이르면 이달 중 나올 수 있도록 하겠다고 설명했다.