최장혁 개인정보위 부위원장은 5일 서울 종로구 정부서울청사에서 열린 출입기자단 정례브리핑에서 “개인정보에 대한 개념은 기술 진보 등에 따라 변화해 왔고 일련번호는 외부 정보와 결합되면 개인식별이 쉽게 가능하기 때문에 명백히 개인정보에 해당한다”면서 이같이 밝혔다. 회원일련번호가 개인정보를 포함하고 있지 않아 법령 위반이 아니라고 한 카카오의 주장과는 반대된다.
앞서 개인정보위는 지난달 약 6만5000건의 고객 개인정보를 유출한 카카오에 국내 업체 중 역대 최대 과징금인 151억원을 부과했다. 카카오가 오픈채팅방의 임시 아이디와 회원일련번호 관리를 소홀히 해 해커가 개인정보를 쉽게 획득할 수 있었고 불법 거래까지 이어졌다는 것이다. 이에 카카오 측은 “일련번호 그 자체로는 어떠한 개인정보도 포함하고 있지 않아 개인 식별이 불가능할 뿐더러 일련번호는 관련법상 암호화 대상이 아니기 때문에 이를 암호화하지 않은 것도 법령 위반으로 볼 수 없다”면서 판결에 불복하는 행정소송을 예고했다.
개인정보위에 따르면 그 자체로 개인정보가 아니지만 외부 정보와 결합했을 때 개인을 쉽게 식별할 수 있을 경우 개인정보로 정의하고 있다. 예시로 차대번호를 개인정보로 인정한 판례를 들었다. 자동차 등록번호와 소유자 이름만 알면 누구나 자동차 등록원부를 발급받아 개인정보에 쉽게 접근할 수 있기 때문에 차대번호 자체를 개인정보로 인정했다. 더욱이 카카오가 일련번호로 모든 사용자를 관리하고 있고, 카카오 내부에서도 일련번호를 식별체계로 구분하고 있다는 게 개인정보위 측 주장이다.
최 부위원장은 카카오의 개인정보 유출로 인한 구체적 피해에 대해서는 “해커들 사이에서 개인정보 거래가 이뤄졌다는 사실 자체를 피해 사례로 봐야 한다”고 전했다. 개인정보위의 조사 결과 해커가 회원일련번호를 기준으로 결합해 개인정보 파일을 생성했고, 이를 텔레그램에 판매한 것으로 나타났다. 특정 사이트에 카카오톡 오픈채팅방 이용자 696명의 정보가 올라와 있는 것을 확인했고, 해커가 최소 6만5719건의 개인정보를 조회한 것으로 확인했다.
게다가 카카오는 개인정보 유출이 확인된 696명에 유출 사실을 알리지 않았다. 개인정보위에 따르면 카카오는 개인정보위 의결 당시까지 개인정보 유출 사실을 개개인에 통지하지 않았고, 해당 기관에 신고도 하지 않았다. 최 부위원장은 “카카오가 개인정보 유출이 확인된 696명의 고객을 인지하고 있었으나 개개인에 통지하지 않은 것은 개인정보보호법 위반”이라면서 “더욱이 규제 당국이 유출로 보고 처분까지 내렸는데 아직 (개인정보 유출을) 신고하지 않았다”고 밝혔다.
개인정보위는 카카오가 예고한 행정소송에 대한 자신감도 내비쳤다. 최 부위원장은 “카카오와 소송이 오래 걸리진 않을 것이고, 지난해 올해 소송비를 100% 이상 늘려서 자신있다”면서 “구글, 메타와 1000억원 상당의 소송을 진행 중인데 지난해 소송비가 2억원이었고 국회에서 이런 어려운 상황을 감안해 소송 예산을 늘려줬다”고 전했다.
개인정보위는 개인정보 의미를 좁게 해석하면 국민의 피해가 커질 것이란 우려도 표했다. 최 부위원장은 “개인정보 개념과 범위는 기술이나 상황에 따라 확대되는 것이 전세계적 추세”라면서 “기술이 발전하면서 해킹 기술 또한 발달하고 있는데 대한민국을 대표하는 카카오와 같은 기업에서 개인정보 유출은 심각한 상황이고, 책임감을 가지고 (개인정보 유출 방지를 위한) 기술을 발전시켜야 한다”고 강조했다.
댓글0