개인정보위원회가 '카카오톡 오픈채팅 이용자 개인정보 유출'을 이유로 카카오에 과징금과 과태료를 부과하자 카카오에 이에 적극 대응을 예고했다. '임시ID'가 애초에 개인 식별이 불가능하기 때문에 해당 사건을 개인정보 유출로 볼 수 없다는 것. 카카오는 개인정보위의 판단를 조목조목 반박하며 행정소송을 포함해 적극 대응하겠다고 밝혔다.

과징금 151억원 맞은 카카오..."임시ID는 개인 식별 불가"

23일 개인정보위는 카카오에 과징금 151억원, 과태료 780만원을 부과했다. 지난해 3월 카카오톡 오픈채팅 사용자 개인정보를 추출해 판매한다는 업체가 등장하면서 오픈채팅 이용자 개인정보 유출 문제가 제기된 데 따른 것이다. 개인정보위는 카카오가 카카오톡 오픈채팅 서비스를 제공하는 과정에서 안전조치의무와 유출 신고·통지의무를 위반했다고 전했다. 

하지만 카카오 측은 개인정보위의 주장을 조목조목 반박하며 개인정보위의 결정에 이의를 제기했다. 먼저 카카오는 임시ID는 모든 온라인 서비스 공통으로 개인 식별이 불가하다고 전했다. 개인정보위는 카카오가 익명의 오픈채팅방을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용했으므로 안전조치의무 위반에 해당한다는 주장에 반박한 것.

임시ID는 숫자로 구성된 문자열로서, 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다는 것이다. 또 카카오는 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것이라고 설명했다.

보안에 심혈 기울였다..."해커 불법행위는 카카오 과실 아냐"

아울러 카카오는 보안 강화를 위해 적극적인 조치를 취해왔음도 강조했다. 임시 ID는 어떠한 개인정보도 포함돼 있지 않지만, 그럼에도 불구하고 오픈채팅 서비스 개시 당시부터 임시ID를 난독화해 운영 및 관리했다고 설명했다. 특히 2020년 8월 이후 생성된 오픈채팅방에는 더욱 강화한 암호화를 적용한 바 있다.

이어 카카오는 해커의 불법행위까지 카카오의 과실로 판단해선 안 된다고 강조했다. 해커가 임시ID와 회원일련번호에 결합해 사용한 '다른 정보'는 카카오에서 유출된게 아니라는 것이다. 해커가 불법적인 방법을 통해 자체 수집한 것으로 카카오의 위법성을 판단할 때 고려되어서는 안 된다는 설명이다.

앞서 개인정보위는 해커가 오픈채팅의 암호화 여부와 상관없이 임시ID와 회원일련번호를 알아낼 수 있었고, 회원일련번호로 다른 정보와 결합해서 판매했다고 판단했다. 

사건 인지 즉시 선제적 신고..."수사 적극 협조했다"

또 카카오는 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 카카오가 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보보호법을 위반했다는 개인정보위의 지적에도 적극 반박했다. 

카카오는 해당 사건을 개인정보보호법 위반으로 보기 어렵다고 판단하였음에도 불구하고 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고, 한국인터넷진흥원(KISA)와 과학기술정보통신부에도 신고를 했다고 설명했다. 뿐만 아니라 경찰조사에도 적극적으로 협조하고 관계 기관에도 소명을 진행해 왔다는 것이다. 이밖에도 카카오는 지난해 3월 전체 이용자 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재한 바 있다.

카카오는 "당사는 전담 조직을 통해 외부 커뮤니티 및 SNS 등을 상시 모니터링하여 보안 이슈를 점검하고 진위 확인 시 적절한 조치를 취하는 등의 활동을 적극적으로 하고 있다"며 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정이다. 앞으로도 이용자들이 안전하게 카카오톡을 이용할 수  있도록 최선을 다하겠다"고 전했다.

이성우 기자 voiceactor@techm.kr