"개인정보 유출 맞아?", 151억 역대 최대 과징금, 카카오-개보위 쟁점은?

카카오톡 로고

지난해 3월 카카오톡 오픈채팅방 참여자들의 개인정보가 유출됐다는 의혹을 조사한 개인정보보호위원회가 카카오톡에 151억4196만원의 과징금을 부과했다. 국내 기업을 상대로 부과한 조치로는 역대 최대 규모다. 제재를 한층 강화한 개정 개인정보법이 적용된 골프존(기존 국내 최다 과징금 건)도 75억원의 과징금을 받는 데 그쳤는데 카카오는 상대적으로 제재가 약한 구법을 적용했음에도 그 2배가 넘는 과징금이 매겨졌다.

23일 개인정보위에 따르면 카카오 오픈채팅 시스템의 보안 취약점으로 인해 최소 6만5000여명의 개인정보가 유출됐을 것으로 추정됐다. 개인정보위는 또 지난해 3월 오픈채팅 개인정보 유출 의혹이 제기된 이후 카카오가 개인정보 유출신고를 하지 않은 점을 또 문제 삼아 역대 최대 규모의 과징금을 부과하기에 이르렀다.

진통도 컸다. 개인정보위와 카카오가 '개인정보 유출' 여부에 대해 완전히 상이한 판단을 내렸기 때문이다. 이번 카카오 문제를 심의하기 위한 전체회의 시간만 4시간이 소요됐다. 통상 2시간이 안되는 시간에 여러 안건을 처리하는 것과 달리 카카오와 개인정보위 사이의 공방도 치열했다고 전해졌다.

━
회원일련번호와 실명·전화번호 결합, 어떻게?
━
카카오톡 오픈채팅방은 참가자들이 익명을 전제로 주식 투자나 정치적 견해 표명 등 동일한 관심사를 나누거나 같은 연령대 이용자들끼리 친분을 나누는 공간으로 활용돼 왔다. 이들 오픈채팅방 참가자들에게는 회원일련번호가 매겨져 있다. A라는 사람과 B라는 사람이 동일인이 아니라는 걸 구분하기 위한, 카카오가 서비스를 제공하기 위해 각 이용자에게 부여한 번호다. 주민등록번호와 유사한 개념이라고 보면 된다.

회원일련번호만으로는 그 사람의 이름이나 전화번호를 알아낼 수 없다. 카카오는 이 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용했다. 문제는 이같은 시스템을 악용한 사람(해커)이 있었다는 것이다. 회원일련번호는 오픈채팅방이든, 이용자가 실명으로 대화를 나누는 일반채팅방이든 똑같기 때문이다.

카카오에 따르면 지난해 3월 문제가 된 해커는 이렇게 얻은 회원일련번호에서는 얻을 수 없는 이름, 전화번호 등을 알아내기 위해 별도의 프로그램을 동원했다. 이를테면 010-0000-0000에서 010-9999-9999에 이르는 1억개의 전화번호를 임시로 생성한 후 전화번호로 카카오톡 친구를 추가하는 방식을 동원했다는 것이다. 번호생성기를 이용해 무작위로 전화번호를 만들어 불특정 다수를 대상으로 스팸메시지를 뿌리는 것은 스미싱, 피싱 등 사기를 저지르는 범죄자들이 주로 활용하는 방식이라는 게 카카오 측의 설명이다.

대부분의 카카오톡 이용자는 자신의 카카오톡 프로필에 자신의 실명을 입력해둔다. 해커는 무작위로 생성한 전화번호를 카카오톡 친구 추가에 입력해 회원일련번호와 전화번호, 실명이 매칭된 개인정보를 '생성'했다. 그리고 이걸 판매했다는 게 지난해 3월의 이슈였다.

임종철 디자이너 /사진=임종철 디자이너

━
"개인정보 유출이니 제재대상" vs "개인정보 유출 아니다"
━
카카오와 개인정보위의 판단은 그 전제부터가 아예 다르다는 점에서 치열한 법적 공방이 예상된다. 개인정보위는 악의적으로 회원일련번호와 개인 식별정보(실명·전화번호)를 결합해 유의미한 개인정보를 '생성'해냈다더라도 회원일련번호와 결합된 임시ID를 암호화하는 등 방식으로 해커의 침입을 막았어야 했다고 판단했다.

반면 카카오는 "임시ID는 숫자로 구성된 문자열이자 난수로 여기에는 어떤 개인정보도 포함돼 있지 않고 그 자체로는 개인 식별이 불가능해 개인정보라고 판단할 수 없다"고 반박했다. 회원일련번호와 임시ID는 메신저를 포함한 모든 온라인·모바일 서비스 제공을 위해 반드시 필요한 것으로 어디까지나 이용자를 구분하기 위해 내부적으로만 쓰는 문자·숫자열에 불과하다는 것이다.

카카오는 또 개인정보위가 제재처분을 내리는 과정에서 해커가 독자적으로 자행한 불법행위까지 카카오의 과실로 본 점이 잘못됐다고 비판했다. 해커가 불법적인 방법으로 번호를 생성해 카카오톡에 일일이 친구추가를 하는 등 과정을 거쳐서 정보를 결합해 개인정보를 생성한 것은 해커의 불법행위일 뿐 카카오의 과실이 아니라는 얘기다.

아울러 개인정보위는 지난해 3월 이 이슈가 터졌을 때 곧바로 개인정보 유출 신고를 개인정보위에 하지 않은 데다 카카오톡 오픈채팅 이용자들에게 유출 사실을 통지하지 않은 점도 문제라고 봤다. 이에 대해서도 카카오는 "지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 KISA(한국인터넷진흥원)와 과학기술정보통신부에도 신고했으며 경찰 조사에 적극 협조하고 관계 기관에도 소명을 진행했다"며 "이밖에도 지난해 3월13일 전체 이용자를 대상으로 주의를 환기하는 서비스 공지를 게재한 바 있다"고 했다.

개인정보위와 카카오의 입장이 극명하게 엇갈리는 만큼 이번 제재 처분은 법정 공방으로 이어질 전망이다. 카카오는 "이번 결정에 대해 행정소송을 포함한 다양한 조치와 대응을 적극 검토할 것"이라고 밝혔다.

황국상 기자 gshwang@mt.co.kr

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지