배윤주 기자 yjbae@businesspost.co.kr2024-05-24 16:30:01
확대축소
공유하기
[비즈니스포스트] 카카오가 개인정보보호위원회에서 부과한 151억 원 규모의 역대 최대 개인정보 유출 관련 과징금에 대해 법적 대응에 나서 IT업계의 관심이 집중되고 있다.
개인정보 유출에 대한 정부 제재 기준이 엄격하게 적용되면서 향후 기업 활동에 큰 영향을 줄 수 있어서다. 다만 카카오가 개인정보보호위의 과징금 처분을 뒤집기는 어려울 것이라는 시각이 많다.
▲ 사진은 23일 서울 시내의 한 카카오프렌즈 매장 모습. <연합뉴스>
24일 비즈니스포스트 취재를 종합하면 개인정보보호위의 카카오 대상 과징금 부과에서 쟁점은 크게 두 가지로 요약된다.
하나는 카카오 오픈채팅에서 쓰인 임시 ID를 개인정보로 볼 수 있느냐 여부이고 다른 하나는 해커의 불법 정보망 침입에 대한 개인정보 처리담당자의 책임 범위다.
개인정보보호위는 카카오의 오픈채팅 서비스 설계 과정에서의 과실과 해킹프로그램을 이용한 악성행위에 대한 대응조치 미흡 등으로 인해 개인정보가 해커에게 유출됐으므로 ‘카카오가 개인정보보호법상 안전조치의무를 위반했다’고 바라봤다.
반면 카카오측에서 오픈채팅에 쓰인 임시ID로는 개인 식별이 불가능하므로 개인정보에 해당하지 않는다고 맞서고 있다. 또 해커가 불법행위를 통해 개인정보를 수집한 것이어서 카카오에서 유출한 게 아니라고 주장한다.
이와 관련해 법률 전문가들은 개인정보처리 담당자가 개인정보 암호화를 통화 안전조치를 다해야 할 의무가 있음에도 해커가 다른 정보와의 조합으로 개인을 특정해 냈다면 임시ID라도 개인정보에 해당한다고 바라봤다.
뉴로이어 법률사무소 김후 변호사는 비즈니스포스트와 통화에서 “개인정보보호법 제29조에 따르면 처리자는 개인정보 암호화에 상응하는 안전조치 의무가 있는데 개보위는 카카오가 이걸 안 했다고 보는 것”이라고 설명했다.
김 변호사는 “2020년 8월 이전 카카오톡 채팅방은 임시ID를 암호화하지 않았고 회원인증번호가 그냥 ID였다"며 "그 뒤 오픈채팅방 ID를 암호화했지만 해커들이 사용한 방법처럼 다른 정보와 조합해보면 개인정보가 노출되는 취약점이 있어 개인정보위는 카카오가 처리자로서 의무를 다하지 않았다고 판단한 것”이라고 덧붙였다.
법률사무소 오페스의 송혜미 변호사는 “카카오는 기존 채팅방에서 개인정보를 암호화하지 않은데다 피해자들에 대한 통지의무도 제대로 다하지 않았다”며 “개인정보 처리자는 피해자들에 대한 통지의무도 지는데 홈페이지에 공지사항을 띄우긴 헀지만 피해자 개개인에 대한 통지는 이뤄지지 않았다”고 설명했다.
▲ 개인정보보호위원회 남석 조사조정국장이 23일 서울 종로구 정부서울청사에서 열린 전체회의결과 브리핑에서 카카오에 대한 과징금 및 과태료 부과 내용을 설명하고 있다. <연합뉴스>
전문가들은 또 개인정보처리 담당자는 해커들이 불법적으로 정보를 빼낼 수도 있다는 것까지 미리 예상하고 개인정보보를 보호해야 할 책임이 있다고 입을 모았다.
법무법인화신 고영상 변호사는 해커들의 침입에 대비해 카카오가 암호화 책임을 다하지 않은 점을 지적했다. 고 변호사는 “개인정보보호위는 카카오의 개인정보 보호망이 뚫려서 과징금을 부과한 것이 아니라 개인정보를 암호화하지 않아 해커들에게 침입당한 것에 대한 책임을 물은 것"이라고 바라봤다.
카카오 이용자의 개인정보 유출로 추가범죄가 발생할 가능성도 제기됐다.
고 변호사는 “이번 사건을 통해 해커들이 불법적으로 정보를 사고 팔고 있어 2차, 3차 피해 가능성이 있다는 점이 더 큰 문제”라고 지적했다.
개인정보보호위는 한 온라인 마케팅 프로그램 거래 사이트에서 카카오톡 오픈 채팅방 참여자의 개인정보를 추출해 준다는 한 업체의 광고글을 통해 이번 사건을 인지하게 됐다.
개보위의 조사 결과 해커는 카카오 오픈채팅방의 취약점을 이용해 참여이용자의 정보(임시ID)를 알아냈고 카카오톡 친구추가 기능을 통해 일반채팅 이용자정보(회원일련번호)를 파악한 것으로 전해졌다.
해커들은 이렇게 알아낸 회원일련번호를 기준으로 정보를 결합해 개인정보 파일을 생성하고 불법판매 한 것으로 확인됐다.
다만 책임 범위 문제와 관련해 법원이 카카오의 주장을 일부 받아들일 여지는 있는 것으로 분석됐다.
김 변호사는 "정부 기관의 행정처분을 뒤집는 것은 법원에게 부담이 된다”면서도 “다만 카카오의 책임 범위와 관련한 주장을 일부 받아들여 과징금을 줄일 가능성은 있다”고 말했다.
이번 카카오 대상 과징금은 개인정보 보호와 관련해 역대 최대 과징금을 물었던 골프존의 75억 여원보다 두 배 이상 많은 규모로 IT업계의 이목이 집중됐다.
이에 대해 송혜미 변호사는 “법원이 카카오톡의 이용자가 국민 대다수인 점을 고려해 카카오의 개인정보 책임 의무를 크게 본 것“이라고 바라봤다. 배윤주 기자