카카오톡 ‘임시 ID 유출’ 파장…개인정보 맞지만, 법적 한계도

쉽게 결합해 식별 가능하면 개인정보
결합의 용이성에 대한 가이드라인 필요
현행 개인정보보호법 한계, 예외 기준 필요

등록 2024-06-06 오후 5:40:57

수정 2024-06-06 오후 6:57:44
가 가

[이데일리 김현아·김가은 기자] 개인정보보호위원회와 카카오가 ‘카카오톡 오픈채팅 임시 ID 유출 사건’을 두고 개인정보보호법 위반 여부를 다투고 있는 가운데, 전문가들은 이 사건에서 개인 식별이 불가능한 임시 ID라도 개인정보로 판단될 가능성이 크다고 밝혔다.

그러나 IT 플랫폼의 특성상 임시 ID와 같은 연계 정보의 사용이 많은 만큼, 개인정보보호법 위반의 기준이 되는 결합의 용이성에 대한 명확한 가이드라인이 필요하다고 했다. 별도의 관리 원칙을 만들고 이를 지키는 경우 개인정보보호법 적용의 예외로 인정받을 수 있는 기준이 마련돼야 한다는 것이다.

쉽게 결합해 식별 가능하면 개인정보

이 사건은 해커가 카카오톡 오픈채팅의 임시 ID를 탈취한 후, 회원일련번호(고유 ID)와 결합하여 개인정보를 얻은 사건이다. 해커는 특정 오픈채팅방의 개인정보 데이터베이스를 완성해 판매했으며, 여기에는 참여자의 실명, 휴대전화번호 등이 포함됐다.

이에 대한 개인정보보호위원회와 카카오의 해석은 다르다. 개인정보위는 카카오에 개인정보 유출을 이유로 151억원의 과징금을 부과했다. 최장혁 개인정보위 부위원장은 “카카오에 특별히 개인정보 보호에 대한 사항을 강하게 적용한 것이 아니라 법과 원칙에 따라 처분했다”고 설명했다.

반면, 카카오는 입장 자료를 통해 “회원일련번호와 임시 ID는 단순한 숫자 문자열로 개인정보를 직접적으로 포함하고 있지 않아 개인 식별이 불가능하다”고 반박했다. 카카오는 법무법인 세종으로부터 자문을 받은 것으로 전해졌다.

이 사건은 해커가 카카오톡 오픈채팅의 임시 ID를 탈취한 후, 회원일련번호(고유 ID)를 이용해 두 정보를 결합하여 개인정보를 얻은 사건이다. 해커는 특정 오픈채팅방의 개인정보 데이터베이스를 완성하여 판매했으며, 여기에는 참여자의 실명, 휴대전화번호 등이 포함됐다.

하지만, 개인정보보호 전문가들은 개인정보 유출이라는 데 무게를 뒀다.

12명의 법률 전문가들과 함께 ‘개인정보보호법’ 해설서를 쓴 최경진 가천대 교수(한국인공지능법학회장)은 “연계정보(임시 ID)가 완전히 분리돼 있었다면 카카오의 주장이 약간 설득력을 가질 수 있겠지만, 연계정보가 개인 정보 파일 속에 함께 있었고, 이 해킹된 연계 정보를 통해 개인정보가 유출된 만큼 개인정보 유출에 해당한다”고 밝혔다.

최 교수는 “예를 들어 ‘콩나물국을 사먹었다’는 정보만으로는 개인정보가 아니지만, 그 정보가 개인 식별이 가능한 정보(성명 등)와 같은 파일에 있어 쉽게 결합해 특정 개인을 알아볼 수 있다면 ‘콩나물국을 사먹은 정보’의 유출도 개인정보 유출로 간주된다”고 설명했다.

이성엽 고려대 기술법정책센터장(한국데이터법정책학회장)도 “그 자체로는 개인정보가 아니더라도 쉽게 결합해 개인을 식별할 수 있다면 개인정보로 보지 않기는 어렵다”면서 “결합의 용이성에 대한 부분이 쟁점”이라고 했다.

IT 업계 위기…연계정보·행태정보 가이드라인 필요

개인정보보호법 해석에 대한 논란으로 인해 IT 기업들의 고민이 큰 것도 사실이다.

이번 사건에서 카카오만 해도 임시ID를 개인정보로 보지 않아 유출 사건을 신고하거나 피해자에게 통지하지 않았고, 이로인해 151억 과징금과 별개로 과태료 780만원까지 받았다. 법무팀을 운영할 수 없는 소규모 기업들은 더욱 불안해하고 있다.

이에 따라 임시ID와 같은 연계정보가 어느 정도로 결합돼야 개인 식별이 가능한 개인정보로 볼 수 있는지에 대한 명확한 기준이 필요하다는 요구가 나오고 있다. 왜냐하면 임시ID와 같은 정보는 메신저를 포함한 다양한 온라인 및 모바일 서비스를 제공하기 위해 필수적인 정보이기 때문이다.

‘맞춤형 광고’ 역시 마찬가지다. 이는 웹·앱 방문 내역, 구매·검색 이력 같은 이용자의 온라인 행태정보를 분석하여 개인 맞춤형 광고를 제공하는 것을 의미한다. 그러나, 이용자의 행태정보가 오랜 기간 쌓이고 특정 데이터와 결합될 경우 개인정보로 간주될 수 있다.

이에 따라 개인정보위는 작년에 국민의 개인정보 자기 결정권을 보호하면서도 기업이 행태정보를 안전하게 처리할 수 있는 가이드라인을 만들려 했으나, IT 기업들의 반대로 무산됐다. 최경진 교수는 “행태정보를 별도 데이터베이스로 관리하고, 개인정보 처리 시스템과 분리한다면 일정 부분 합법적으로 활용할 수 있도록 하자는 의견이 있었지만 이뤄지지 못했다”면서 “그결과, 이제 연계정보든 행태정보든 개인정보보호법의 일반적 해석에 따라야 하는 상황이 됐다. 안타깝다”고 전했다.