개인정보보호위원회 전체회의 전경.(개인정보보호위원회 제공)

<이미지를 클릭하시면 크게 보실 수 있습니다>

개인정보보호법 위반을 둘러싸고 개인정보보호위원회와 카카오 간 법정 다툼이 예고된 가운데 카카오톡 오픈채팅 임시ID의 개인정보 해당 여부를 두고 치열한 공방이 예상된다.

핵심 쟁점 중 하나는 다른 정보와 '쉽게' 결합해 개인정보를 알아낼 수 있는지로, 카카오는 임시ID로 개인 식별이 불가하다는 입장이지만 개인정보위는 시연, 전문가 의견 취합 등을 통해 이를 '쉽게'를 입증할 수 있다고 강조했다.

개인정보위는 카카오의 개인정보보호 법규 위반행위 조사 과정에서 한국인터넷진흥원(KISA)과 함께 해커의 개인정보 탈취 경로를 추정, 특정 오픈채팅방 참여자 정보를 쉽게 알 수 있다는 사실을 시연해 확인했다고 밝혔다.

개인정보위는 해커가 카카오톡 전송방식을 분석한 해킹 프로그램으로 오픈채팅의 임시ID를 탈취한 뒤 회원일련번호(고유ID)와 결합해 개인정보를 빼갔다고 봤다. 해커는 특정 오픈채팅방의 참여자 이름, 휴대폰 번호 등 개인정보 데이터베이스(DB)를 생성·판매했다. 이에 개인정보위는 국내 업체 중 역대 최대인 과징금 151억여원을 카카오에 부과했으며, 카카오는 행정소송 등 적극 대응하겠다며 강경한 모습이다.

개인정보위는 이번 처분과 관련해 자신감을 내비췄다. 앞서 최장혁 부위원장은 지난 5일 정례브리핑에서 “지난해에 송무 예산도 100% 이상 늘렸기 때문에 자신있다”며 “(소송이) 오래 걸리지 않을 것”이라고 말했다. 개인정보위에 정통한 한 관계자도 “해커 수법으로 손쉽게 시연에 성공했기 때문에 개인정보위가 자신감을 보이는 것”이라고 말했다.

실제 카카오 처분을 내린 2024년 제9회 전체회의 속기록을 살펴보면, 남석 개인정보위 조사조정국장은 “해커는 개발자 사이트에 공개된 응용프로그램인터페이스(API)를 이용한 해킹 프로그램을 제작·이용했을 것으로 판단된다”며 “조사 과정에서 1만5000명씩 대입해 기본정보(오픈채팅방 이용자 개인정보)를 빼낸 뒤 DB를 제작하는 것이 가능했다”고 말했다.

그러면서 남 국장은 “현재 카카오톡이 사후 조치해서 이 방법은 어느 정도 막혔다”고 덧붙였다.

그러나 카카오 측은 임시ID는 모든 온라인 서비스 공통으로 개인 식별 불가하며, 해커의 독자적 불법행위(해커가 불법적인 방법으로 자체 수집한 정보)까지 카카오 과실로 판단해선 안된다는 입장이다.

카카오 법률대리인은 전체회의에서 “불법적으로 취득한 정보는 '쉽게 입수해 결합할 수 있는 정보'로 볼 수 없다는 판례와 학계 입장이 있다”면서 “개인정보위 해설서에서도 결합이 필요한 다른 정보에 합법적으로 접근해 지배력을 확보할 수 있어야 하며, 해킹·절취 등 불법적인 방법으로 취득한 정보까지 포함한다고 볼 수 없다는 내용이 명시돼 있다”고 지적했다.

다른 정보와 쉽게 결합할 수 있는지를 따질 때 시간·비용·기술 등도 고려해야 할 요소다.

카카오 법률대리인은 “카카오의 안티 어뷰징 시스템을 우회해 사전제작 DB를 구축하는 것은 상당한 시간과 비용이 필요한 작업”이라고 강조했다.

반면 남 국장은 “1만5000명씩 추가할 수 있고 전화번호만 추가하면 대다수 정보가 나오는 구조”라면서 “사람을 얼마나 투입하느냐의 문제이지 시간과 비용이 그렇게 많이 들 것 같지 않다는 게 전문가들의 의견”이라고 말했다.

양측의 입장이 첨예해 향후 공방이 더욱 치열해질 전망이다.

조재학 기자 2jh@etnews.com, 변상근 기자 sgbyun@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]