개인정보보호법 위반을 둘러싼 카카오와 개인정보보호위원회(이하 개보위)의 갈등이 깊어지는 가운데, 개인정보 관련 법령의 모호성이 도마에 올랐다.
카카오톡 회원일련번호가 개인정보냐 아니냐를 두고 개보위와 카카오의 입장뿐 아니라, 전문가들의 판단도 서로 엇갈리고 있다. 다만, 개인정보 판별 기준이 법으로 명확하지 않고, 정확한 가이드라인도 없어 발생된 문제라는 것이 업계와 전문가들의 공통된 시각이다.
개보위는 지난달 23일 이용자 정보에 대한 점검과 보호 조치 등을 소홀히 했다는 이유로 카카오에 과징금 151억4천196만원과 과태료 780만원을 부과했다. 카카오가 관리감독을 소홀히 해 카카오톡 오픈채팅 이용자 정보 6만5천여 건이 유출됐다는 판단에서다.
개보위의 조사에 따르면 해커들은 카카오톡 오픈채팅방의 참여자 정보를 알아 내 '회원일련번호'를 매개로 여러 정보를 결합한 뒤 개인정보 파일을 생성해 판매했다. 이를 통해 최소 696명의 정보가 유출됐다는 설명이다.
개보위는 "(카카오톡의) 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐다"며 "이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다"고 발표했다.
개보위 "개인정보와 '쉽게' 결합되는 정보는 개인정보"
카카오는 임시 ID나 회원일련번호를 개인정보로 인정할 수 없다는 입장이다.
카카오는 개보위 결정에 대한 입장문을 내고 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 주장했다.
또 카카오 측은 "회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보"라면서 "현실적으로 메신저 등 온라인, 모바일 서비스에서 임시ID를 쓰지 않기도 어렵다"고 토로했다.
개보위는 회원일련번호와 임시ID가 회원 개인정보와 '쉽게 결합된다'는 점을 들어 카카오 주장을 반박했다. 최장혁 개보위 부위원장은 지난 5일 정부서울청사 정례 브리핑에서 "외부 정보와 결합해 충분히 개인을 식별할 수 있으면 개인정보에 포함된다"고 단언했다.
그 자체로는 개인정보가 아니더라도 '쉽게' 개인정보와 결합될 수 있는 정보라면 이를 개인정보로 취급한다는 주장이다.
최 부위원장은 "회원일련번호는 개인정보가 아니라는 카카오의 주장은 개인정보에 대한 개념이 많이 바뀐 상태에선 수긍할 수 없다"며 "과거 자동차 차대번호만으로는 개인정보를 식별할 수 없음에도 법원은 2019년 차대번호 유출을 개인정보 유출로 봤다"는 예시를 들었다.
개인정보법 모호한데 가이드라인 없어…전문가 의견도 분분
개인정보보호법 상에선 '시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보'라면 개인정보가 아니라고 본다.
여기서 '합리적 고려'가 어느 정도인지 모호하기기 때문에 규제의 명확성을 위해선 하위법령으로 개인정보의 범위를 규정해야 하지만, 이에 대한 개보위의 가이드라인은 아직 확립되지 않았다. 개인정보보호법 상의 기관인 개보위가 사안별로 개인정보 여부를 판별할 여지가 생긴 것이다.
업계에서는 현행법의 모호함을 지적하는 의견이 나왔다.
법조계 관계자는 "시간·비용·기술 등을 고려했을 때 일반인이 알 수 없는 정보는 개인정보가 아니라고 규정하는데, 시간이 지나고 기술이 발전할수록 정보 접근성은 변할 수밖에 없다"면서 "시시각각 새로운 사례가 나오는 지금 시기에 1차적으로 개인정보 유권해석을 해줄 수 있는 곳은 개보위밖에 없다"고 말했다.
IT 업계 관계자는 "데이터 관련 사업자들 중 대다수가 개인정보와 관련된 데이터를 다루는데, 지금처럼 개인정보의 기준이 모호하면 사업자 입장에서 불안하지 않을 수 없다"며 "적어도 개보위에서 이런 사안이 발생할 때마다 개인정보 판단 기준을 시장에 알려주기 바란다"고 밝혔다.
명확한 가이드라인이 없는 가운데 전문가들의 의견도 분분하다. 김승주 고려대 정보보호대학원 교수는 "개인정보와 '쉽게' 결합될 수 있는 정보라는 말 자체는 상당히 주관적이다. 개인정보 판별 기준은 개보위에서 제시해야 한다"면서 "가장 나쁜 제도는 불확실성을 해소하지 못하는 제도"라고 비판했다.
김 교수는 카카오톡 회원일련번호를 차대번호에 비유한 개보위 설명도 반박했다. 그는 "당시 차대번호는 누구나 검색하면 알 수 있었기에 카카오톡 회원일련번호와는 의미가 다르다"며 "해커의 개인 정보 수집 노력을 차대번호 조회랑 비교한다는 건 말도 안 된다"고 지적했다.
관련기사
- 최장혁 "승소 자신있다"…뿔난 개보위, '개인 정보 유출' 카카오와 정면 승부2024.06.06
- 개인정보 유출 없다던 골프존, 수십억 과징금 철퇴 맞았다2024.05.09
- 강형욱 논란에...사내 메신저 대화 열람 "된다" vs "안 된다"2024.05.27
- "6만5천명 정보 유출"…과징금 151억 '철퇴' 맞은 카카오, 행정소송 검토2024.05.23
반대로 최경진 가천대 교수(한국인공지능법학회장)는 카톡 회원일련번호를 개인정보로 볼 수 있다는 의견을 냈다. 그는 "개인정보 여부가 식별의 용이성으로 결정되는데, 이번 사안은 전문가가 아니라도 시간이나 비용이 많이 들지는 않는 것으로 보인다"면서 "하나의 정보를 통해 다른 정보를 알 수 있다면, 두 정보는 매우 가깝게 결합된 것으로 볼 수 있다"고 했다.
이어 최 교수는 "작년에 개인정보위가 국민의 개인정보 자기 결정권을 보호하면서도 기업이 행태정보와 연계정보를 안전하게 처리할 가이드라인을 만들려 했으나, 기업들의 반발로 가이드라인이 확립되지 못했다"며 "안타깝지만 당분간은 가이드라인 확립이 어려울 듯하다"고 덧붙였다.
