어디까지 개인정보?…카톡 오픈채팅 해킹이 불붙인 논쟁, 입장차 ‘팽팽’

 

어디까지 개인정보?…카톡 오픈채팅 해킹이 불붙인 논쟁, 입장차 ‘팽팽’

입력2024.06.06.  

최장혁 개인정보보호위원회 부위원장이 5일 서울 종로구 정부서울청사에서 출입기자단 정례브리핑을 열고 인사말을 전하고 있다. [ⓒ개인정보보호위원회]

[디지털데일리 이나연기자] 지난해 카카오톡 익명 채팅 서비스인 ‘오픈채팅’에서 발생한 이용자 개인정보 불법 취득 및 거래에 대해 역대 최대 과징금이 부과된 가운데, 개인정보 개념화에 대한 정부와 기업 간 시각차가 갈수록 커지고 있다.

개인정보보호위원회는 기술 진보로 개인정보 개념이 확장되고 있어 기업의 책임과 보호 대상을 더 넓은 범위까지 적용해야 한다고 보지만, 업계는 다소 억울하다는 태도다.

정보 결합을 어디까지 허용하는지, 이렇게 결합한 데이터가 개인정보에 준할 때 어떻게 책임 소재를 물을지 등에 대한 명확한 국내 기준이 없는 상태에서 기업에만 일방적인 잣대를 들이대면 관련 서비스에 대한 시장 위축만 나타날 것이란 우려에서다.

다만 정보 결합에 따른 개인정보화 문제 등을 논의하는 작업이 속도를 낸다고 해도, 정부와 기업의 의견은 평행선을 달릴 수밖에 없어 비슷한 갈등 사례는 계속 생길 전망이다.

◆“자동차 차대번호도 개인정보…개념 확대 중” vs “일련번호≠개인정보”

지난 5일 최장혁 개인정보위 부위원장은 서울 종로구 정부서울청사에서 출입기자단 정례브리핑을 열고 “기술 진보로 개인정보가 확대되고 있고, 좁은 개념에 집착할 시 개인정보보호가 소홀해질 우려가 있다”며 “이를 고려했을 때 (카카오가 주장한) 일련번호가 개인정보가 아니라는 의견에 수긍하기 어렵다”라고 밝혔다.

개인정보위는 앞서 개인정보보호 법규를 위반한 카카오에 과징금 총 151억4196만 원과 과태료 780만 원을 부과했다. 해커가 오픈채팅의 취약점을 이용해 회원 개인정보를 취득했고, 이들 정보를 일련번호 기준으로 결합해 판매했다는 것이 이유였다.

김해숙 개인정보위 조사2과장도 “카카오는 (일련번호로) 개인을 관리하고 있었고 식별 체계를 갖췄다”며 “해커도 이를 결합해 판매하고 있었기에 개인정보가 아니라고 볼 수 없다”라고 부연했다. 해킹을 얼마나 쉽게 할 수 있었는지를 넘어 충분히 결합까지 할 수 있는 정보였다면 개인정보로 봐야 한다고 강조한 것이다.

이에 카카오는 즉각 반발하며 행정소송을 예고한 상태다. 온라인 및 모바일 서비스를 위해 필요한 정보인 회원 일련번호와 임시ID는 단순히 숫자로 구성된 문자열로, 그 자체로 어떠한 개인정보도 포함하고 있지 않다는 것이다.

업계는 이번 사건을 기업 서비스 자체에서 발생한 개인정보 유출과 다른 시각으로 봐야 한다고 본다. 해커가 외부에서 불법 프로그램을 사용함으로써 무작위로 정보를 결합해 개인정보를 확보한 것이 직접적인 원인이라는 이유 때문이다.

한국인터넷기업협회 관계자는 “기업으로선 아무리 암호화 조치를 충실히 해도 해커가 특정 정보들을 조합해 개인정보로 특정화해버리면 당해낼 수가 없는 게 안타깝지만 현실”이라며 “이런 경우, 기업을 제재할 수 있는 수단과 근거가 현행법에 없는데 기업에 무한 책임을 지우는 방향은 경계해야 한다”라고 말했다.

기업들이 해야 하는 사전 보안 조치를 더 명확히 규정 및 요구하되, 외부 공격에 의한 보안 사고나 개인정보 유출이 일어났을 때 일부 조치에 대해선 면책을 주는 방안도 고려해 봐야 한다는 설명이다.

이 관계자는 “회원 일련번호와 임시ID만 가지고도 개인정보 유출로 해석하는 개인정보위의 기조가 이어진다면 보안업계도 직접적인 타격을 받게 될 것”이라며 “특정 개인의 데이터를 서버에 저장하고 운영하려면 최소한의 식별은 필요한데, 이를 문제 삼는다는 건 어떤 데이터도 저장할 수 없다는 셈”이라고 전했다.

그러면서 “임시번호 자체가 이미 암호화 조치인데 이를 또 암호화 대상으로 보는 건 과도한 이중 작업”이라며 “제재 부담을 피해 국내 대신 해외에 데이터 관리 서버를 두려는 기업이 늘어날 수도 있다”라고 덧붙였다.

오픈채팅 캠페인 참고 화면 [ⓒ 카카오]

◆또 다른 쟁점 ‘맞춤형 광고 가이드라인’…올해는 구체화될까

학계에서도 개인정보위의 처분을 두고 입장이 갈린다. 카카오 측 의견처럼 논란의 소지가 있다고 보는 한편, 맥락상의 개인정보 취급 경향이 전 세계적으로 강화된 데 따라 플랫폼 영향력이 큰 기업들이 먼저 개인정보보호 문제의식을 강화해야 한다는 지적도 있다.

지난해 업계 반발로 좌초된 ‘맞춤형 광고 가이드라인’이 애초 취지대로 시행됐다면 이런 사고를 예방하거나 그 피해를 최소화했을 거란 주장도 나왔다. 최장혁 부위원장도 ‘개인정보보호 개념이 확대됐다면 판단 기준이 새로 나와야 하는 게 아니냐’라는 취재진 질의에 맞춤형 광고 가이드라인의 변화 추세를 언급하기도 했다.

맞춤형 광고는 온라인상 행태정보(웹·앱 방문 내역, 구매·검색 이력 등)를 처리해 개인 관심·흥미·기호·성향 등을 분석 및 추정한 후 개인 맞춤형으로 제공되는 온라인 광고를 말한다.

개인정보위는 여기에 활용되는 이용자 행태정보가 오랜 기간 쌓이고 특정 데이터와 결합하면 ‘개인정보’화 될 여지가 크다고 보았다. 이어 기업들에 올바른 행태정보 수집과 처리 방식을 권고하기 위한 가이드라인 마련에 착수했다.

업계는 그 필요성에 공감하면서도, 행태정보 자체가 무조건 개인정보에 해당하지 않는데 사생활 침해가 이뤄질 수 있다는 가능성만으로 이용자 동의 창 마련 등 안전관리 조치를 당부하는 것은 사업자에게 과도한 부담이라고 맞섰다.

개인정보는 개인정보보호법에 따라 관련 의무나 제재가 이뤄지지만, 행태정보에 대해선 법률상 관련한 근거가 없다는 점 역시 업계로부터 위법성 평가 기준 지적을 받기도 했다.

작년 맞춤형 광고 제도개선 공동작업반에 참여한 최경진 가천대 법학과 교수(개인정보전문가협회장)는 “누가 봐도 개인정보인 주민등록번호나 집 주소, 전화번호 외엔 맥락에 따라 판단할 수밖에 없는 정보”라며 “개인정보가 될 수 있는 여지에 대해 개인 정보성을 최대한 없애거나 낮추기 위한 노력을 하는 게 사업자의 책무이자, 실질적인 개인정보 보호 노력”이라고 말했다.

이어 “맞춤형 광고 가이드라인이 좌절되지 않았다면 카카오가 그 내용을 활용해 대비할 수도 있었을 것”이라고 전했다.

이나연 기자(lny@ddaily.co.kr)