임시ID는 개인정보일까 아닐까…카톡 오픈채팅에 불붙은 논란

입력
2024.06.08 12:00
16면
쟁점마다 카카오·개인정보위 입장 엇갈려 
"정보 결합 기준 명확하게 세워야" 지적도


카카오톡 오픈채팅 서비스가 사용자 개인정보 유출로 역대 최대 과징금을 부과받아 위기를 맞았다. 기술의 발달로 확장된 개인정보 개념에 대한 정부와 카카오의 시각차가 커서 법정에서 시시비비가 가려질 전망이다.

7일 정보기술(IT) 업계에 따르면 카카오는 2020년 8월부터 오픈채팅방 임시ID를 암호화하는 조처를 했으나 기존에 개설된 일부 오픈채팅방의 임시ID는 암호화되지 않았다. 문제는 이 틈을 노린 해커가 카카오톡 오픈채팅의 임시ID를 뺏은 뒤 회원일련번호와 결합해 개인정보를 탈취하면서 발생했다.

해커는 오픈채팅 이용자의 임시ID를 확보한 후 카카오톡 '친구 추가'에서 휴대전화 번호를 무작위 대량으로 등록해 일반채팅 이용자 정보도 확보했다. 이후 불법프로그램으로 이 과정을 반복하면서 카카오톡 이용자의 실명이나 휴대전화 정보 등 개인정보를 생성·판매했다. 감독기관인 개인정보보호위원회는 이를 조사한 후 151억4,196만 원의 과징금과 과태료 780만 원을 부과했다. 카카오는 이에 불복해 행정소송을 예고했고 개인정보위와 입장이 첨예하게 엇갈리고 있다.



임시ID 개인정보로 봐야 할지가 쟁점


IT 업계에선 ①임시ID가 개인정보에 해당하는지 여부가 향후 시시비비 판단의 쟁점이 될 것으로 본다. 카카오는 일련번호에는 아무런 개인정보가 포함돼 있지 않고 이걸 별도로 빼내 무작위 전화번호 생성으로 개인정보를 결합해낸 것은 해커의 범죄 행위이지 개인정보 유출 행위가 아니라는 입장이다. 반면 개인정보위는 임시ID가 다른 정보와 쉽게 결합해 개인정보를 알아낼 수 있다면 이 역시 개인정보라고 본다.

카카오가 ②개인정보 유출 후 신고·통지 의무를 지켰느냐에 대해서도 양측의 시각이 엇갈린다. 카카오는 이용자 대상 공지사항을 게재했다고 설명했지만 개인정보위는 해킹 피해자 개인에게 통지하지 않은 것은 개인정보보호법상 신고·통지 의무를 위반한 것이라고 본다. ③해커가 개인정보를 어떻게 알아냈느냐 여부도 관건이다. 카카오는 해커가 불법 수집한 행위라는 입장인 반면 개인정보위는 해킹프로그램이 사용되도록 한 것은 카카오의 책임이라고 판단했다.

전문가들은 개인정보에 대한 개념이 확대되고 있는 추세여서 임시ID라도 개인정보보호법상 개인정보로 판단될 가능성이 크다고 전망한다. 김명주 서울여대 정보보호학과 교수는 "다툼의 여지가 있겠지만 서로 다른 정보가 쉽게 결합해 개인을 식별할 수 있다면 개인정보에 해당할 수 있다"며 "카카오도 만약 문제가 없다고 생각했다면 서비스 운영 방침을 바꾸지 않았을 것"이라고 말했다.

다만 정부의 판단 기준과 관리 방침이 명확하지 않아 업계의 혼란을 부추긴다는 지적도 나온다. 임시ID와 같은 연계 정보가 어느 정도로 결합돼야 개인정보로 볼 수 있는지 문제가 발생하면 책임을 어떻게 물을지에 대한 기준이 없기 때문이다. 특히 임시ID 정보는 메신저를 포함한 다양한 온라인 및 모바일 서비스를 제공하기 위해 필수 정보여서 다른 기업에도 영향을 미칠 수 있다. 보안업계 관계자는 "기업의 사전 보안 조치를 더 명확하고 상세히 규정하지 않고 책임만 묻게 되면 국내 대신 해외에 데이터 관리 서버를 두려는 기업이 늘어날 것"이라고 우려했다.

김지현 기자
세상을 보는 균형, 한국일보 Copyright © Hankookilbo