최근 개인정보보호위원회는 카카오의 오픈채팅 이용자 개인정보 유출과 관련해서 과징금 151억원, 과태료 780만원을 부과하고, 시정명령과 처분결과를 공표하기로 의결했다.
개인정보보호위원회는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사했는데, 조사 결과 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했고, 카카오톡의 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보했으며, 이들 정보를 '회원일련번호'를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인되었기 때문이다.
개인정보보호위원회는 카카오가 일반채팅과 오픈채팅을 이용하는 이용자를 동일한 회원일련번호로 식별할 수 있게 이용자 식별체계를 구현하면서, 회원일련번호에 대한 관리를 제대로 하지 않은 점이 안전조치의무 위반이라고 본 것이다.
여기에 대해 카카오는 '오픈채팅 이슈 관련 개인정보보호위원회 결정에 대한 입장문'을 내고 적극적으로 반박하면서, 이 입장문을 통해, 회원일련번호와 임시ID는 숫자로 구성된 문자열로서 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며 따라서 이것으로 개인 식별이 불가능하고 암호화 대상도 아니며, 해커가 결합해 사용한 다른 정보는 카카오가 유출한 정보가 아니라 해커가 불법적인 방법을 통해 자체 수집한 것이라고 주장하고 있다.
더불어 카카오는 행정소송을 포함한 다양한 조치 및 대응을 검토 중이라고 밝혀, 소송은 불가피해 보인다.
이 사건의 본질을 보려면 카카오의 식별체계 관리 현황을 살펴봐야 하는데, 카카오는 일반채팅 서비스와 오픈채팅 서비스를 같이 운영하면서, 독립적인 정보체계가 아니라 '회원일련번호'를 기준으로 일반채팅과 오픈채팅 간 회원 DB가 연동되도록 설계했다.
해커는 이러한 설계상의 부실을 이용했는데, 구체적으로 해커는 일반채팅방에서 휴대폰 번호 친구추가를 통해 회원일련번호, 프로필명, 휴대폰을 추출하고, 이를 오픈채팅방의 회원일련번호, 오픈채팅방명, 닉네임과 결합해 특정 오픈채팅방의 DB를 완성해서 판매한 것이다. 판매한 DB에는 실명, 휴대폰 번호, 오픈채팅방 닉네임 등의 정보가 포함되어 있었기에, 유출된 정보가 개인정보가 아니라고 보기에는 곤란하다.
더군다나 이 사건 이전에 이미 개발자 커뮤니티 등에서 이러한 문제점에 대한 지적이 있었음에도, 카카오는 적절한 조치를 취하지 않았다.
카카오와 같은 정보통신서비스 제공자는 처리 중인 개인정보가 인터넷 홈페이지 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 등에 조치를 취해야 하는데, 회원일련번호 연계에 따른 익명성 훼손을 방지하려면 기술적으로도 오픈채팅 이용자는 일반채팅과 다른 식별체계로 구성하거나, 임시ID를 암호화 등의 방법으로 회원일련번호가 노출되지 않도록 하는 방법이 가능한 바, 개인정보보호위원회는 임시ID 암호화 조치 등을 지적하는 게 아니라 오픈채팅의 익명성 보장을 위한 부실한 식별체계 관리를 지적한 것으로 보인다.
이용자 입장이 제일 중요한데, 이용자로서는 오픈채팅에 대한 익명성 보장을 기대했을 것임에도, 회원관리번호에 대한 적절한 관리를 하지 않아서 결국 이용자에게 피해가 발생했는 바, 서비스 기업으로서는 유사한 다른 사례가 재발되지 않도록 주의를 기울여야 할 것이다.
김경환 법무법인 민후 변호사
