○회원일련번호로 개인정보 연결
카카오는 익명으로 채팅할 수 있는 오픈채팅 서비스를 제공하고 있다. 개인정보위에 따르면 카카오는 오픈채팅을 운영하면서 일반채팅에서 사용하는 ‘회원일련번호’와 오픈채팅방 정보를 단순히 연결한 임시 ID를 만들어 암호화 없이 그대로 사용했다. 회원일련번호는 카카오톡 작동 과정에서 사용자 식별을 위해 사용하는 일종의 고유 번호다. 남석 개인정보위 조사조정국장은 “임시 ID를 알면 카카오톡 회원일련번호를 쉽게 알 수 있었다”고 말했다.
카카오는 2020년 8월부터 오픈채팅방의 임시 ID를 암호화했지만, 이전에 개설된 일부 오픈채팅방의 임시 ID는 여전히 암호화되지 않은 상태로 쓰였다는 설명이다.
개인정보위는 회원일련번호를 알 수 있는 임시 ID를 암호화하지 않은 것을 개인정보보호법상 안전조치 의무 위반으로 봤다. 하지만 카카오는 “회원일련번호와 임시 ID는 숫자로 구성된 문자열로 어떠한 개인정보도 포함하고 있지 않아 개인 식별이 불가능하다”며 “이 같은 서비스 일련번호는 관련 법상 암호화 대상이 아니기 때문에 법을 위반하지 않았다”고 반박했다.
○“카카오 정보 유출 없었다”
해커가 개인정보를 알아낸 방법을 두고도 개인정보위와 카카오의 입장차가 크다. 해커는 카카오톡의 친구 추가 기능을 이용해 회원일련번호와 휴대폰 번호, 프로필명을 확보했다. 전화번호를 저장하면 자동으로 카카오톡에 친구를 추가할 수 있는 기능을 썼다. 무작위 휴대폰 번호를 대량으로 저장해 휴대폰 번호-프로필명-회원일련번호 데이터베이스(DB)를 확보했다. 이렇게 만든 데이터베이스를 앞서 수집한 오픈채팅방의 회원일련번호와 대조하면 특정 오픈채팅방에 참여한 이용자의 휴대폰 번호와 프로필명을 알 수 있게 된다.개인정보위는 이런 수법으로 6만5000여 건의 개인정보가 유출된 것으로 추정했다. 남 국장은 “오픈채팅방은 특정 주제나 공통 관심사를 공유하는 사람들이 모인 방이라는 특성이 있다”며 “마케팅 측면에서 유리하기 때문에 해커들이 이곳의 이용자 DB를 판매하게 된 것”이라고 설명했다. 주식·부동산 투자 등 동일 관심사를 가진 사람들이 모여 있기 때문에 ‘맞춤형’ 스팸 문자를 보낼 수 있는 셈이다.
카카오는 해커가 오픈채팅과 일반채팅을 통해 파악한 정보를 결합한 것을 두고 “해커가 불법적인 방법을 통해 자체 수집한 것”이라며 “카카오의 위법성을 판단할 때 고려돼선 안 된다”는 입장이다.
○“과도한 개인정보 규제로 산업 위축 우려”
이번 카카오의 사례를 계기로 정보와 정보를 결합해 만든 개인정보와 관련한 기준선이 필요하다는 지적이 나온다. 김승주 고려대 정보보호대학원 교수는 “이번 카카오 사건은 기업 내부에서 개인정보가 유출된 일반적인 사례와 다르다”며 “해커가 플랫폼에서 얻은 많은 정보를 조각조각 결합해 개인정보를 확보해 판매하려 한 것”이라고 분석했다.업계에선 개인정보위의 이번 제재가 개인정보를 활용한 다양한 서비스를 위축시킬 수 있다고 우려했다. 한 기업 관계자는 “국내의 개인정보 관련 규제는 해외에 비해 강도가 센 편”이라며 “기업의 자체적인 관리 결함으로 인한 개인정보 유출이 아닌데도 기업에 책임을 묻는 선례가 생겨선 안 된다”고 말했다.
이승우/정지은 기자 leeswoo@hankyung.com