"개인정보로 볼 수 없는데…" 카카오, 개인정보위 150억 과징금 불복 소송 착수

지난 1일 행정법원에 소장 제출…회원번호·임시ID 개인정보 인정 여부 쟁점

카카오 "임시ID는 모든 온라인 서비스 공통…개인 식별 불가" 주장

개인정보위 "결합 가능성에 따라 개인정보로 볼 수 있어"반박

(사진=유토이미지) *재판매 및 DB 금지

[서울=뉴시스]송혜리 윤정민 기자 = 카카오가 개인정보보호위원회를 상대로 515억원의 과징금 취소 소송에 나섰다. 카카오톡 오픈채팅방에서 이용자 개인정보 보호조치를 소홀히 한 혐의로 부과된 과징금 151억원과 과태료 780만원 등의 행정처분을 받아들일 수 없다는 입장이다.

쟁점은 오픈채팅방에서 사용된 회원일련번호와 임시ID가 개인정보로 인정될 수 있는지 여부다. 카카오는 해당 정보들이 실제 개인정보를 포함하지 않으며, 법적으로 암호화 대상에 해당하지 않는다는 입장을 고수하고 있다. 반대로 개인정보위는 이 정보들이 다른 정보와 결합될 가능성이 높은 만큼 개인정보로 볼 수 있다고 해석한다. 특히 기술이 발전하면서 개인정보의 범위를 확대할 필요가 있다는 입장이다.

김앤장이 대리인…지난 1일에 소장 제출

11일 개인정보위와 카카오에 따르면 회사는 지난 9월 개인정보위로부터 의결서를 송달받은 후, 이달 1일 서울행정법원에 소장을 접수하며 소송에 착수했다. 소송 대리인은 김앤장 법률사무소가 맡았다.

지난 5월 개인정보위는 카카오에 과징금 151억4196만원과 과태료 780만원을 각각 부과했다. 아울러 카카오에 문제점을 바로 잡도록 시정명령하는 동시에 이번 처분결과를 외부 공표하도록 했다.

개인정보위는 지난해 3월, 카카오톡 오픈채팅방 이용자들의 정보가 암암리에 판매된다는 사실이 언론 보도에 따라 조사에 착수했다.

조사결과 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보도 빼냈다. 해커는 이들 정보들을 '회원일련번호'를 기준으로 다른 정보와 결합해 6만5000건 이상의 개인정보 파일을 생성해 판매했다. 해당 정보는 주식·투자 관련 스팸문자 발송 등에 사용돼 2차 피해로 이어졌을 것이라는 게 개인정보위 측의 설명이다.

이 과정에서 개인정보위는 카카오가 관련 법규에 따른 개인정보 안전조치 의무를 위반했다고 봤다.

개인정보위에 따르면 카카오는 익명채팅을 표방하는 오픈채팅을 운영하면서, 일반 채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화없이 그대로 사용했다. 임시ID는 카카오톡 버전+오픈채팅방ID+회원일련번호를 붙이는 형태로 사용자들에게 발급 됐고, 이는 암호화되지 않았기 때문에 보안 취약점을 뚫은 해커는 쉽게 회원일련번호를 획득할 수 있었다.

카카오는 2020년 8월부터 오픈채팅방 임시ID를 암호화했지만, 기존에 개설됐던 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐다. 또 해당 방에서 암호화된 임시ID로 게시글을 작성하면, 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다.

결국 해커는 이러한 취약점 등을 이용해 암호화 여부와 상관없이 모든 오픈채팅방의 임시ID와 회원일련번호를 알아냈다. 동시에 무작위로 만들어낸 대량의 휴대전화번호로 일반채팅에서 친구추가 기능을 이용, 사용자의 실명과 회원일련번호 등을 알아냈다. 해커는 오픈채팅과 일반채팅에서 획득한 정보를 결합, 사용자 실명, 휴대전화번호, 오픈채팅방 닉네임들이 포함된 정보를 만들어 판매했다.

숫자로만 이뤄진 정보…"개인정보 아니기 때문에 암호화 불필요"

이같은 처분이 내려지자 카카오 측은 회원일련번호와 임시ID는 개인정보가 아니기 때문에, 이를 암호화하지 않은 것을 법령 위반이라 볼 수 없다고 주장했다.

회사 측은 이들 정보는 숫자로 구성된 문자열로, 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며 이것으로 개인을 구분할 수 없다고 설명했다. 또 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없지만, 그럼에도 불구하고 오픈채팅 서비스 개시 초기부터 '임시 ID 난독화'를 통해 보안을 강화해왔으며, 2020년 8월 이후부터는 모든 새 채팅방에 '암호화'를 적용해왔다고 강조했다.

또 카카오는 해커가 불법 수집한 정보까지 회사의 책임으로 보는 것도 부당하다고 덧붙였다. 개인정보위에 따르면 해커는 카카오에서 유출된 정보 외에 다른 경로로 수집한 정보를 결합해 판매했다. 이에 대해 카카오는 "해커가 불법적으로 수집한 정보는 카카오에서 유출된 것이 아니며, 이를 회사의 위법성 판단에 포함시키는 것은 부적절하다"고 반박했다.

"다른 정보와 결합돼 개인구분 할 수 있으면 개인정보 봐야"

반대로 개인정보위는 개인정보의 개념이 기술 발전과 시대 변화에 따라 확대돼야 하며 자동차의 차대 번호처럼 식별 정보도 결합 가능성에 따라 개인정보로 볼 수 있다고 반박하고 있다.

개인정보위는 자동차 차대 번호는 사실 자동차등록 원부과 결합되지 않으면 개인을 식별할 수 없는데도 불구하고, 2019년 법원에서 차대번호가 유출된 것을 개인정보 유출로 본 판례가 있다는 예시를 들었다.

아울러 카카오가 회원일련번호로 이용자들을 관리하고 있었고, 회사 자체에서도 이를 '식별체계'라고 말했다는 게 위원회 설명이다. 또 이 번호로 모든 이용자들을 구분하고, 내부에서 데이터베이스(DB)를 결합하면 충분히 개인을 식별할 수 있다는 점에서 당연히 개인정보로 볼 수 있다고 개인정보위는 강조했다.

한편, 개인정보위는 '카카오페이 신용정보 국외 이전' 논란에 대해서도 조사를 진행 중이다. 지난 8월 카카오페이가 사용자 동의 없이 알리페이에 4000만명 규모의 신용정보를 제공했다는 의혹이 불거졌고, 이에 따라 개인정보위는 카카오페이, 애플, 알리페이를 대상으로 해당 사건에 대한 조사에 착수한 상태다. 해당 건에 대한 심의·의결은 올해 안에 완료될 것으로 보인다.

☞공감언론 뉴시스 chewoo@newsis.com, alpaca@newsis.com

▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개