개인정보위, 카카오 주장 반박···"회원일련번호는 개인정보"

양지혜 기자 2024. 6. 6. 09:59
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

개인정보위, "'회원일련번호'는 개인정보"
카카오 '단순 숫자 조합에 불과' 주장에 반박
개인정보위·피해자에게 유출 신고 안했다 지적
카카오는 행정소송 검토···갈등 장기화 전망
최장혁 개인정보보호위원회 부위원장이 6월 5일 오후 서울 종로구 정부서울청사에서 개최된 출입기자단 정례브리핑에서 인사말씀을 하고 있다. 사진 제공=개인정보보호위원회
[서울경제]

개인정보보호위원회가 카카오(035720)에 대해 ‘오픈채팅에서 사용자 정보가 유출됐다’며 국내 기업 중 역대 최대 규모의 과징금을 부과한 가운데 정부와 카카오 간 대립이 이어지고 있다. 카카오가 행정소송 등 모든 법적 조치를 적극 검토하겠다는 입장을 고수하고 있어 갈등이 장기화될 것이라는 전망이 나온다.

개인정보위는 지난 5일 서울 정부청사에서 정례브리핑을 열고 ‘카카오가 사용 중인 회원일련번호는 개인정보가 맞다’는 입장을 분명히 했다. 최장혁 개인정보위 부위원장은 “개인정보라는 개념이 계속 바뀌고 있다”며 “(카카오가 주장하는 대로) 회원일련번호가 개인정보가 아니라는 것은 개인정보 개념이 바뀐 현 상황에서 받아들이기 어렵다”고 말했다.

최 부위원장은 차량마다 지정된 고유번호인 ‘차대번호’를 개인정보로 본 법원 사례를 예시로 들었다. 그는 “차대번호는 원래 개인정보로 볼 수 없는 것이었지만 기술의 진보에 따라 2019년 법원이 차대번호 유출을 개인정보 유출로 본 사례가 있다”며 “구체적인 내용은 법원이 판단할 것이지만, 좁은 보호 개념에 집착하면 개인정보 보호가 소홀해질 수 있는 우려가 있다”고 설명했다.

이는 앞서 카카오가 입장문을 내고 ‘회원일련번호는 숫자로 구성된 문자열로서 어떠한 개인정보도 포함하고 있지 않기 때문에 이것으로 개인 식별이 불가능하다’고 주장한 것에 대해 개인정보위가 반박에 나선 것이다. 김해숙 개인정보위 조사2과장 역시 “카카오는 회원일련번호로 개인을 관리하고 있었고 이는 하나의 식별 체계로 명확하게 개인정보로 볼 수 있는 것”이라고 강조했다.

동시에 개인정보위는 카카오가 개인정보위와 피해자들에게 개인정보 유출 사실을 신고 및 통지하지 않았다고도 지적했다. 최 부위원장은 “카카오는 과학기술정보통신부·한국인터넷진흥원(KISA)에 해킹 사실을 신고한 것이고 개인정보위에 개인정보 유출 사실은 신고하지 않았다”며 “공식적으로 확인된 피해자 696명 개개인에 대해서도 개별 통지가 없었다”고 말했다. 카카오 오픈채팅에서 해킹이 발생해 개인정보가 유출된 것과 관련해 과기정통부와 개인정보위 두 기관이 관계돼있는 만큼 두 기관 모두에 신고하고 피해자에게도 개인정보 유출 사실을 알려야하는데 이와 관련한 조치가 부족했다는 설명이다.

앞서 개인정보위는 지난 달 23일 제9회 전체회의를 열고 개인정보 보호법을 위반한 카카오에 대해 총 151억 4196만 원의 과징금과 780만 원의 과태료를 부과했다. 이는 국내 업체 중 역대 최대 규모 과징금이다.

개인정보위 조사 결과에 따르면 해커는 오픈채팅방의 취약점을 이용해 참여자 정보를 획득하고 카카오톡의 친구 추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보한 것으로 확인됐다. 특히 개인정보위는 해커가 이 같은 범죄를 저지를 수 있던 원인으로 카카오가 취약하게 운영했던 ‘회원일련번호’와 ‘임시ID’ 제도를 지적했다. 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 별도의 암호화 없이 그대로 사용했다는 것이다.

남석 개인정보위 조사조정국장은 “정확한 피해 규모는 경찰이 조사 중이지만 특정 사이트에 오픈채팅방 이용자 696명의 개인정보가 올라와있는 것을 확인했다”며 “최소 6만 5719건의 개인정보가 유출된 것으로 보고 있다”고 밝혔다.

반면 카카오는 이번 개인정보위의 결정에 대해 ‘개인정보 유출의 책임을 묻기 어렵다’며 반박했다. 온라인·모바일 서비스 제공을 위해 필수적인 회원일련번호와 임시ID는 관련법상 암호화 대상이 아니기 때문에 개인정보 보호법 위반으로 보기 어렵고, 해커의 독자적 불법 행위까지 카카오 과실로 판단한 부분도 과도하다는 설명이다.

또한 오픈채팅 서비스 개시 당시부터 임시ID를 난독화해 운영·관리했고, 사건 인지 후 경찰에 선제적으로 고발하는 등 수사에 적극적으로 협조한 만큼 이번 조치는 부당하다는 주장이다. 카카오는 같은 날 입장문을 내고 “해당 사건에 대해 개인정보위에 적극적으로 소명했으나 이 같은 결과가 나오게 돼 매우 아쉽다”며 “행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정”이라고 강조한 바 있다.

양지혜 기자 hoje@sedaily.com

Copyright © 서울경제. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?