카카오, 오픈채팅 151억 과징금 행정소송...'개인정보 정의' 쟁점
개인정보 유출로 개인정보보호위원회(이하 개보위)로부터 과징금을 부과받은 카카오가 행정 소송을 제기한 가운데, 유출된 정보의 개인정보 해당 여부를 두고 양측 간 법적 공방이 치열할 것으로 전망된다. 13일 IT 업계에 따르면, 카카오는 지난 1일 개보위의 과징금 부과 처분과 시정명령에 대해 불복 소송을 제기했다. 카카오는 지난 5월 카카오톡 '오픈채팅'에서 개인정보 6만5천건이 유출된 것과 관련해 국내 기업 중 역대 최다 과징금인 약 151억원을 부과받았다. 또 이용자에게 개인정보가 유출됐다고 통지하라는 시정 명령도 내려졌다. 개보위 조사 결과, 카카오는 회원일련번호(주민등록번호·사원증 번호 등 개인에게 부여된 고유 번호와 유사한 개념)와 오픈채팅방 정보를 단순히 연결한 임시ID를 생성해 암호화 없이 일부 오픈채팅방 참여자에 부여했다. 해커는 이런 취약점을 이용해 오픈채팅방 참여자 정보를 획득한 후 카카오톡의 친구추가 기능, 불법 프로그램 등을 이용해 이용자 정보를 확보했다. 이후 이용자 정보를 회원일련번호를 기준으로 결합해 개인정보 파일을 생성·판매했다. 쟁점은 개인정보의 정의다. 개보위는 회원일련번호와 임시ID가 개인정보에 해당한다고 판단했다. 개보위 관계자는 "정보 그 자체로서 개인 식별이 불가능하더라도, 개인 정보 처리자가 갖고 있는 다른 정보와 결합해 개인을 인식할 수 있다면 개인정보"라고 밝혔다. 반면 카카오는 회원일련번호와 임시ID는 개인정보로 볼 수 없다는 입장이다. 이 정보만으로는 개인을 식별하기 어렵다는 논리다. 카카오 관계자는 "카카오를 통해 나간 정보에는 전화번호, 성함 등이 포함돼 있지 않아 개인을 식별할 수 없다"며 "임시 ID는 게임 등 기타 인터넷 서비스에서도 사용하고 있는 정보고 개발자 사이트 등에서 확인할 수 있는 경우도 많다"고 주장했다. 개인정보보호법은 개인정보를 '해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보'로 정의하고 있다. 이때 다른 정보와 '쉽게' 결합한다는 것이 어느 정도 수준을 의미하는 것인지에 대한 법원 해석이 중요할 것으로 보인다. 염흥열 순천향대 정보보호학과 명예교수는 "법원은 해당 정보로 개인을 식별하기 위해 드는 노력의 정도를 근거로 '쉽게 결합할 수 있는지'를 판단할 것"이라며 "식별에 필요한 전산 자원의 크기, 식별에 걸리는 시간, 분석 환경 등이 근거가 될 것"이라고 설명했다. 개인정보보호법해설서에 대한 해석도 분분하다. 2020년 12월 개보위가 발간한 '개인정보 보호 법령 및 지침‧고시 해설서'에는 개인정보의 개념에 대해 "다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 개인 식별 가능 정보를 포함한다"는 설명이 담겨있다. 다만 "이때 사용되는 다른 정보는 두 개 이상의 정보를 결합하기 위해 그 결합에 필요한 다른 정보에 합법적으로 접근해 이에 대한 지배력을 확보할 수 있는 '입수 가능성' 있는 정보로 해킹·절취 등 불법적인 방법으로 취득한 정보는 포함하지 않는다"는 조건이 함께 제시되고 있다. 김승주 고려대 정보보호학과 교수는 "해당 조건에 따르면, 오픈채팅방을 통해 유출된 정보와 해커가 불법으로 수집한 정보가 결합된 경우는 개인정보로 볼 수 없을 것"이라고 예상했다. 카카오는 지난 5월 '오픈채팅 이슈 관련 개인정보보호위원회 결정에 대한 입장' 글에서 "해커가 회원일련번호와 결합한 '다른 정보'는 카카오에서 유출된 것이 아닌, 해커가 불법적인 방법을 통해 자체 수집한 것"이라는 입장을 밝힌 바 있다. 반면 개보위 관계자는 "해당 조건은 결합되는 '다른 정보'에 대한 것이지, 카카오의 경우 '그 자체의 정보'에 대한 문제"라며 "애초에 카카오에서 유출된 회원일련번호가 개인정보로 관리되지 않던 것이 문제"라고 말했다.