개인정보보호위원회가 카카오톡 익명 채팅 서비스 '오픈채팅' 운영 과정에서 개인정보 관리 소홀로 과징금을 받은 카카오의 반론에 입을 열었다. 회원일련번호와 임시 아이디(ID)는 개인정보가 아니라는 카카오 측 주장이 사실이 아니라고 확실한 선을 그었다.
최장혁 개인정보위 부위원장은 지난 5일 정부서울청사에서 출입기자단 정례 브리핑을 열고 “규제당국과 피규제기관이 공방을 펼치는 게 별로 좋은 모습이 아니다”라면서도 “회원일련번호가 개인정보가 아니라는 주장은 수긍하기 어렵다”고 말했다.
앞서 카카오는 지난달 22일 개인정보위으로부터 국내 기업으론 역대 최대인 과징금 151억4196만원을 부과받았다. 개인정보위는 카카오가 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용해 '안전조치의무 위반'에 해당한다고 봤다. 카카오는 이에 대해 회원일련번호와 임시ID는 메신저 등 온라인·모바일 서비스 제공을 위해 반드시 필요한 정보로, 개인 식별이 불가능하다는 입장을 내놨다.
개인정보보호법는 '해당 정보만으론 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보'를 개인정보로 규정한다. 개인정보 여부를 따지려면 결합 가능성과 유출 용이성 등을 살펴봐야 한다.
최 부위원장은 “개인정보가 식별기능뿐만 아니라 다양한 기능을 하고 있기 때문에 개념이 계속 바뀌고 있다”며 “회원일련번호가 개인정보가 아니라는 것은 수용하기 어려운 얘기”라고 말했다.
김해숙 조사2과장은 “카카오가 '식별체계'라고 부르며 회원일련번호로 모든 유저를 구분하고 관리하고 있었던 만큼 명백하게 개인정보로 볼 수 있다”며 “해커 입장에서도 회원일련번호와 다른 정보를 결합해 (개인정보를) 판매하고 있었다”고 부연했다.
김 조사2과장은 또 차대번호를 예로 들면서 “본인이 아니더라도 누구나 뗄 수 있는 자동차등록원본에서 차대번호를 조회할 수 있다”며 “법원에서 차대번호가 충분히 다른 정보의 결합 가능성이 있다고 판단한 사례가 있다”고 말했다.
개인정보위는 또 카카오가 개인정보 유출에 따른 신고 의무를 다하지 않았다고 지적했다.
최 부위원장은 “카카오는 과학기술정보통신부와 한국인터넷진흥원(KISA)에 해킹 신고를 했을 뿐 개인정보위에 개인정보 유출 신고를 하지 않았다”며 “개인정보 유출 피해를 본 696명의 이용자에게 사실을 통지하지도 않았다”고 꼬집었다.
개인정보위는 이달 중 중국 플랫폼 알리·테무, SKT '에이닷' 조사 결과도 발표할 계획이다.
최 부위원장은 “알리·테무는 6월 말까지 결론을 내기 위해 최대한 노력하고 있다”며 “SKT 에이닷도 6월 안에 결과를 내려 한다”고 말했다.
조재학 기자 2jh@etnews.com
