개인정보보호위원회(이하 개인정보위)가 개인정보 유출 사고가 일어난 카카오에 역대 최대 과징금인 151억원을 부과했다. 카카오가 오픈채팅의 설계 및 운영 과정에서 개인정보 유출 위험을 방치했다는 이유다. 하지만 카카오 측은 개인정보위가 지적한 안전조치의무 위반 혐의를 인정할 수 없다며 행정소송을 포함한 법적 대응을 예고했다.

개인정보위는 카카오가 2020년 8월 이전에 생성된 오픈채팅방 참여자의 임시ID를 암호화하지 않아 회원일련번호를 노출시켰단 점을 지적했다. 해커의 악성행위에 대한 대응조치 미흡으로 이용자 개인정보가 해커에 공개 및 유출됐으며, 이는 개인정보 보호법의 안전조치 의무에 해당한다는 설명이다. 해커는 휴대전화 번호로 대화상대를 추가할 수 있는 카카오톡의 '친구추가' 기능을 통해 데이터베이스(DB)를 구축했으며, 임시ID를 통해 확인한 회원일련번호와 대조하는 방식을 통해 이용자 개인정보를 역산했다.

카카오가 개인정보위 판단에 반발한 이유는 해석상 문제다. 회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스에서 제공하고 있으며, 유출된 자료 자체는 어떠한 개인정보도 포함하고 있지 않다는 주장이다. 해당 정보들은 관련법상 암호화 대상이 아니기에, 이를 암호화하지 않은 것을 법령 위반으로 판단한 것은 부당하단 주장이다.

또 해커가 불법행위로 구축한 DB를 카카오의 과실로 판단한 점에 대해서도 반발했다. 해당 DB는 카카오 서버에서 유출된 데이터가 아니기 때문이다. 개인정보위는 해커가 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보한 것으로 보고 있다. 카카오는 불법적인 방법을 통해 수집된 정보는 위법성을 판단할 때 고려돼선 안 된다고 주장하고 있다.

개인정보보호법에 따르면 개인정보는 개인을 식별할 수 있는 이름·주민등록번호 등의 정보뿐만 아니라, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보를 포함하고 있다. 개인정보위는 회원일련번호가 개인정보는 아닐지라도, 다른 정보와 '쉽게' 결합해 알아볼 수 있는 정보에는 부합한다고 판단한 것이다.

정보기술(IT) 업계에서는 카카오의 개인정보 유출사고로 내려진 과징금 처분에 우려의 목소리를 내고 있다. '쉽게'라는 기준이 지나치게 모호하기 때문이다. 회원일련번호와 임시ID는 온라인 및 모바일 서비스에서 보편적으로 사용되고 있는 기능이며, 해커가 DB 구축에 악용한 친구추가 기능도 대부분의 메신저 서비스에서 제공하고 있는 기능이다.

실제로 네이버의 메신저 서비스 라인(LINE)을 포함한 국내외 대부분의 온라인 및 모바일 서비스에서는 이용자에 회원일련번호를 부여하고 있다. 라인 관계자에 따르면 대부분의 테크 기업과 마찬가지로 라인 이용자 정보에도 회원일련번호가 포함되며, 해당 정보의 관리는 각국의 법령에 따라 관리되고 있다.

업계 관계자들은 회원일련번호의 암호화를 법제화하는 등의 대처를 강구하기 이전에 개인정보 유출로 판단한 과징금을 부과하는 것은 지나친 처분이 될 수 있다고 보고 있다. 만약 불법 수집한 정보가 개인정보를 유출한 행위가 안전조치 의무 위반에 해당한다면, IT 및 플랫폼 업계의 전반적인 개인정보 활용이 위축될 수 있다는 지적이다.