"오픈채팅 일련번호도 개인정보"

개인정보위, 식별 못해도 '유추' 가능…'카카오 소송' 재반

개인정보보호위원회는 6월 5일 오후 서울 종로구 정부서울청사에서 출입기자단 정례브리핑을 개최했다. 사진은 이날 브리핑에 나선 최장혁 개인정보위 부위원장 / 사진제공=개인정보보호위원회

카카오톡 오픈채팅 채팅방 참가자들을 구분하기 위해 부여한 회원일련번호가 그 자체로는 개인을 식별하지 못해도 해킹 등 다른 수단을 통해 식별할 수 있으면 회원일련번호도 개인정보로 봐야 한다는 지적이 나왔다. 지난달 하순 개인정보보호위원회가 오픈채팅 참여자 개인정보 유출을 이유로 카카오에 과징금(151억여원)을 부과한 데 대해 카카오 측이 행정소송을 거론하는 등 반발하자 개인정보위가 재반박했다.

최장혁 개인정보위 부위원장은 지난 5일 정부서울청사에서 열린 브리핑에서 "개인정보 개념은 기술 발달 등에 따라 날로 확대된다"며 "과거처럼 개인정보 판단을 좁혀서만 보면 개인정보 보호가 소홀해질 우려가 있다"고 밝혔다.

카카오톡 오픈채팅방 참가자들에게는 회원일련번호가 매겨져 있었다. 카카오가 서비스 제공을 위해 각 이용자에게 부여한 번호다. 참가자들끼리는 실명을 알 수 없지만 이 일련번호는 오픈채팅방이든 일반 채팅방이든 똑같았다.

해커가 오픈채팅방에서 일련번호를 수집했고 무작위로 만든 전화번호를 카카오톡 친구로 추가했다. 이를 통해 특정 일련번호와 매칭되는 실제 사용자의 전화번호를 얻어냈다. 또 대부분의 카카오톡 이용자는 자신의 프로필에 실명을 기재한다. 이를 통해 해커는 오픈채팅방 참여자의 실명과 전화번호 등 개인정보를 '생성'하고 이를 외부에 팔았다. 문제는 이 같은 해커의 행위를 단순 해킹 범죄로 볼 지, 카카오 측이 일련번호를 암호화하지 않아 발생한 개인정보 유출사고로 볼 지에 대해 개인정보위-카카오의 판단이 극명하게 다르다는 데서 발생했다.

카카오는 일련번호에는 아무런 개인정보가 포함돼 있지 않고 이걸 별도로 빼내 무작위 전화번호 생성으로 개인정보를 결합해낸 것은 해커의 범죄행위일 뿐 개인정보 유출행위가 아니라고 봤다. 개인정보 유출이 아닌 만큼 개인정보위에 개인정보보호 관련 법령에 따른 개인정보 유출신고나 개인 이용자에 대한 유출 사실 통지 의무도 없다고 주장했다. 행정소송 등 불복 절차를 밟겠다고 한 것도 이 같은 이유에서였다.

개인정보위는 카카오 오픈채팅방 사건은 엄연히 개인정보 유출이라는 입장이다. 개인정보보호법도 개인정보를 '성명·주민등록번호'보다 훨씬 넓은 개념으로 규정한다. 해당 정보만으로 개인식별이 불가능하더라도 다른 정보와 '쉽게' 결합해 개인여부를 알아낼 수 있다면 이 역시 개인정보로 봐야 한다는 것이다. '쉽게 결합할 수 있는 지 여부'는 결합시킬 다른 정보를 입수할 수 있는 가능성이나 소요 시간·비용, 기술 등을 합리적으로 고려한다고 돼 있다. 추후 소송에서 법원이 이 문구를 당국에 유리하게 해석한다면 카카오의 주장은 단번에 힘을 잃는다.

최 위원장은 "개인정보 개념은 (기술 발달에 따라) 계속 변하고 해킹 기술도 굉장히 발달했다"며 "카카오는 국민 메신저 기업이자 우리나라의 책임 있는 기업으로서 기술발달에 대한 대응을 해야 할 것"이라고 했다.