개인정보보호법 위반 여부를 두고 카카오와 개인정보보호위원회간 입장이 첨예하게 엇갈리며 소송전으로 번졌다. 카카오톡 오픈채팅 서비스에서 이용자 개인정보 유출로 역대 최대 과징금을 부과받은 카카오는 정부를 상대로 행정소송에 나서면서 사법부가 실질적인 칼자루를 쥐게 됐다. 카카오톡 회원 일련번호를 개인정보로 판단할 지 여부가 소송 승패를 좌우할 핵심 변수로 작용할 전망이다.
카카오, 개보위 과징금 철퇴에 소송 예고
8일 관련 업계에 따르면 개인정보보호위원회는 지난해 카카오톡 익명 채팅 서비스인 ‘오픈채팅’에서 발생한 개인정보 유출 사고에 대해 개인정보보호 법규를 위반했다며 지난 5월 카카오에 과징금 151억원을 부과하며 현재 처분 의결서를 정리 중이다. 카카오는 개보위의 과징금 처분에 대해 법을 위반하지 않았다고 반박하며 행정소송을 준비하고 있다.
개인정보보호위원회와 카카오는 카카오톡 익명 채팅 서비스인 ‘오픈채팅’에서 발생한 개인정보 유출 건과 관련해 엇갈린 입장을 보이고 있다.
양측의 주장은 개인정보 유무를 정하는 기준의 차이에서 엇갈리고 있다. 개보위는 해커가 개인정보를 도출해낸 회원 일련번호도 폭넓게 개인정보의 범주에 볼 수 있다는 입장을 보이며 관련법상 암호화 조치를 했어야했다고 지적한다. 오픈채팅을 통해 임시ID를 탈취한 뒤 회원 일련번호(고유ID)와 결합해 개인정보를 빼갔다는 유출 경로를 볼 때 카카오가 암호화를 하지 않아 일을 키웠다는 것이다.
반면 카카오는 회원 일련번호로는 개인식별이 불가능하기 때문에 암호화할 필요가 없다고 반박하고 있다. ‘회원 일련번호’는 카카오톡 내부 관리를 목적으로 쓰이는 정보다.
법조계 “개인정보 개념 포괄적…판단 기준에 달렸다”
보안업계 “식별 가능하면 개인정보…새로운 해킹 유형은 아냐”
전문가들은 현재 개인정보보호법에 명시된 개인정보 범위에 대한 규정이 포괄적이라는 점에서 판단을 내리는 사법부의 판단이 중요한 변수로 작용할 것이라고 봤다. 다만 임시ID, 회원 일련번호가 개인을 식별할 수 있는 정보라면 개인정보라고 볼 수 있다고 봤다.
문건일 법무법인 일로 대표변호사는 “개인정보보호법상 개인정보 개념이 굉장히 포괄적으로 명시돼있어, 현행법상 (개인정보와 관련된) 경계에 대해 어떤 판단 기준을 세울 것인가, 그리고 그 기준이 맞는지가 쟁점이 될 것 같다”라며 “개인정보보호법상 ‘다른 정보와 쉽게 결합해 알아볼 수 있는 것’도 개인정보로 보고 있기 때문에 개보위의 의견대로 임시ID가 다른 정보와 쉽게 결합해 개인을 특정할 수 있다면 개인정보에 해당할 가능성이 크다”라고 말했다.
문 변호사는 이어 “과거 사례나 판례를 살펴보면 ‘집주소와 차량번호’, ‘CCTV 영상’, ‘아파트 입주민 차량 단속정보’를 개인정보로 본 사례들이 있었고, 카카오톡 ID를 개인정보라는 전제로 판단하거나 닉네임 ID, 인터넷 사이트 ID를 개인정보로 파악한 사례들도 있다”라고 부연했다.
보안업계에서도 ‘임시ID가 개인을 식별할 수 있는 정보인지 여부에 따라 판단이 달라질 수 있다고 봤다.
보안업계 한 전문가는 “보통 임시ID 자체만으로는 특정 개인을 직접 식별할 수 없는 경우가 많지만, 다른 정보와 결합돼 특정 개인을 식별할 수 있게 된다면 개인정보로 간주될 수 있다”라며 “개인정보 보호법에 따르면 개인정보는 ‘살아있는 개인에 관한 정보로서 성명, 주민번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보’를 일컫는다. 여기에는 단독으로 특정 개인을 식별할 수 없더라도 다른 정보와 쉽게 결합해 개인을 식별할 수 있는 정보도 포함된다”라고 말했다.
이어 “다른 개인정보 해킹 사례와 비교했을때 이번 건은 공격을 당한 서비스가 달라졌을 뿐 새로운 유형의 해킹 사고로 보기는 어렵다”라며 “다만 공격 방식은 지속적으로 고도화되고 있는 실정이다”라고 말했다.
다만 명확한 가이드라인이 없는 상태라는 점에서 사업자에게만 다소 과한 제재를 하는 것은 근본적으로 보안 문제를 예방하는 대안이 될 수 없다는 지적도 있다.
이승민 성균관대 법학전문대학원 교수는 “암호화라는 것은 넓게 보면 난수도 포함할 수 있다. 정부의 제재 이전 2020년 8월 이후부터 카카오 스스로도 암호화를 적용하기도 했던 점을 감안하면 관리소홀이라고 단정지을 수 없다”라며 “현재 개인정보를 판단하는 기준이 명확하게 정의돼있지 않은 상태인데, 암호화한 난수도 개인정보로 볼 수 있다는 판단이 내려지면, 개인정보를 포괄하는 범주가 넓어져 또다른 논쟁이 생길 가능성이 있다”라고 말했다.
이선율 기자 melody@chosunbiz.com
댓글0