카카오, 유출된 '임시ID·회원일련번호'에는 개인정보 없어

"상황 인지 즉시 경찰에 선제적으로 고발…서비스 공지도 올려"

카카오(035720)는 오픈채팅 정보 유출로 개인정보보호위원회가 과징금을 부과한 결정에 행정소송으로 대응할 계획이다. 개보위는 카카오톡 '임시ID' 보완에 취약점이 있다고 지적했지만, 카카오는 임시ID는 개인정보보호 대상이 아니라는 입장이다.

23일 개보위는 카카오에 과징금 151억 원, 과태료 780만 원을 부과했다. 지난해 발생한 오픈채팅 이용자 개인정보 유출 사고 관련한 조치다.

카카오는 "개보위에 행정소송을 포함해 다양한 조치·대응을 적극 검토할 것"이라고 즉각 입장을 내놨다. 사실상 '개인정보'가 카카오톡을 통해 유출된 경위가 없다는 것이다.

◇카톡에서 '임시 ID' 추출해 DB 완성

카카오톡 오픈채팅방에서 정보를 빼간 불법 조직은 오픈채팅방 닉네임, 참여한 오픈채팅방명, 전화번호를 수집했다. 여기서 전화번호는 카카오톡에서 유출된 게 아니다.

전화번호 등 불법으로 수집한 정보로 카카오톡에 친구추가를 한 후, 불법 프로그램을 이용해 회원일련번호(고유ID)를 추출했다. 이를 오픈채팅방에서 이용하는 임시ID와 대조해 동일인 임을 확인했다. 

전화번호에 관심사(오픈채팅방)가 추가된 정보는 더 비싼 값에 팔렸다. 오픈채팅방명, 오픈채팅 닉네임을 이용한 표적 마케팅이 가능하기 때문이다.

◇"회원일련번호는 개인정보보호 대상 아냐"

개보위는 카카오가 익명의 오픈채팅방을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용해 '안전조치의무'를 위반했다고 판단했다.

카카오는 회원일련번호와 임시ID는 단순히 숫자로 구성된 문자열로서 그 자체로는 어떠한 개인정보도 포함하고 있지 않다고 주장했다.

실제로 페이스북은 해킹 프로그램 없이도 모든 이용자의 회원일련번호를 어렵지 않게 알아낼 수 있다. 회원일련번호 자체는 개인정보 보호 대상이 아니다.

카카오는 "임시ID와 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니기 때문에 이를 암호화하지 않은 것은 법령 위반이 아니다"고 말했다.

◇ "사건 인지 즉시 선제적 신고, 수사 적극 협조"

개보위는 "카카오가 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반했다"고 언급했다.

카카오는 "지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 한국인터넷진흥원(KISA)과 과학기술정보통신부에도 신고했다"고 반박했다.

이어 "지난해 3월 13일에는 전체 이용자 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재한 바 있다"고 덧붙였다.