24일 개인정보위에 따르면 카카오의 오픈채팅방 취약점을 해커가 공격하고 이를 통해 취득한 정보로 이용자의 정보를 확보하는 등 약 6만5000건의 개인정보가 유출됐습니다. 이에 개인정보위는 카카오에게 안전조치 의무 위반으로 151억4196만원의 과징금을 부과했는데요.

개인정보위는 “카카오가 오픈채팅방의 임시 ID(아이디)를 암호화하지 않아 ‘회원 일련번호’를 쉽게 추출할 수 있었다”라며 “2020년 8월 이후에 생성된 오픈채팅방 참여자에 대해서는 임시 ID에 암호화를 했지만 게시판 취약점을 이용해 역시 쉽게 회원 일련번호가 식별될 수 있었다”라고 지적했습니다.

회원 일련번호는 카카오의 내부 서비스 이용을 목적으로 만들어진 정보입니다. 쉽게 말해 사원증 번호와 유사한 개념입니다. 회원 일련번호는 오픈채팅방에서 쓰이는 고유 정보인 임시 ID 안에 포함돼 있었는데요. 즉, 암호화되지 않은 임시 ID를 취득한 해커가 안에 있던 회원 일련번호를 알아냈고 이를 카카오톡의 ‘친구 추가’ 기능으로 일반채팅방에서 확인한 이용자 정보를 결합해 개인정보 파일을 생성한 것입니다. 해커는 이를 텔레그램 등을 통해 판매도 한 것으로 조사됐습니다.

개인정보위는 해커의 이 같은 행위를 ‘개인정보 유출’이라고 판단했는데요. 김해숙 개인정보위 조사2과장은 “익명 서비스를 이용하면서 오픈채팅방에 익명이 아닌 휴대전화 번호까지 다 알 수 있게 된다면 굉장히 프라이버시 측면에서 심각한 문제로 개인정보 유출이 아니라고 보기는 어렵다”라고 밝혔습니다.

반면 카카오는 유출된 임시 ID는 ‘개인정보’가 아니라는 입장인데요. 카카오는 입장문을 통해 “임시 ID는 구성된 문자열이자 난수로서 여기에는 어떠한 개인정보도 포함돼 있지 않고 그 자체로는 개인 식별이 불가능해 개인정보라고 판단할 수 없다”라고 반박했습니다. 또한 “사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것”이라며 “개인정보위의 결정에 대해 행정소송을 포함한 다양한 조치 및 대응을 적극 검토할 예정”이라고 강조했습니다.

이에 개인정보위가 카카오에 부과한 ‘역대 최대’ 규모의 과징금은 법적 다툼으로 이어질 가능성이 커졌는데요. 임시 ID 탈취가 개인정보 유출로 볼 수 있을지가 쟁점이 될 것으로 보입니다.

전문가들은 임시 ID 탈취에 대해 폭넓게 바라보면 ‘개인정보 유출’이 맞다고 지적하고 있습니다. 김명주 서울여대 정보보호학과 교수는 “크게 볼 때는 개인정보가 맞다”라며 “어떤 형태든지 결합이 돼서 그 사람이 식별된다면 그것은 개인정보”라고 설명했습니다. 염흥열 순천향대 정보보호학과 교수도 “임시 ID가 개인정보다, 아니다라는 부분에 대해서는 논쟁의 여지가 있지만, 우리나라 개인정보보호법은 다른 정보하고 결합을 해서 개인을 식별할 수 있는 정보는 개인정보라고 폭 넓게 보고 있다”라고 설명했습니다.

전문가들은 개인정보 유출을 떠나서 정보 유출은 문제가 있다고 지적하면서, 기업들의 보안 책임을 더욱 강화해야 한다고 강조했는데요.

김 교수는 “카카오가 아이디를 만드는 기법이 좀 미숙했고 아이디를 넘버링 할 때 일반적인 상식을 잘 따르지 않고 편의 위주로 생긴 문제라는 생각을 했다”라며 “카카오가 억울할 수 있기는 하겠지만, 굉장히 비싼 수업료를 치르고 있는 것으로 기업들이 개인정보 보안을 ‘투자’라고 봐야겠다는 생각을 많이 해야 하고 보안 인력 채용, 연구 시설 투자 등을 더 많이 할 필요가 있다”라고 짚었습니다.

염 교수는 “기업들이 프라이버시 바이 디자인(PbD·개인정보 보호 중심의 설계) 원칙을 전 제품이나 서비스에 적용해서 리스크를 부단히 찾고, 리스크가 발견됐을 때 완화할 수 있는 대책을 세울 필요성이 있다”라고 제언했습니다.