[디지털투데이 백연식 기자] 최장혁 개인정보보호위원회 부위원장이 카카오가 오픈채팅 개인정보 유출 관련  개인정보위에 신고하지 않았고 피해 당사자들에게 피해 사실 통지 역시 개별적으로 하지 않았다고 밝혔다. 다만 카카오는 과학기술정보통신부 및 한국인터넷진흥원(이하 KISA)에 해킹을 신고한 것으로 확인됐다.

지난 5일 정부서울청사에서 열린 브리핑에서 최장혁 개인정보위 부위원장은 카카오 오픈채팅 개인정보 유출에 대해 “696명이 (자신의 개인정보가) 유출됐다는 것을  알아야 하는데 카카오가 아직 (각 개인에게) 통지하지 않았다. 개인은 공식적으로 통지받지 못한 것”이라며 “홈페이지 게시밖에 없다. 개개인에 통지가 안됐다. 카카오는 과기정통부 및 KISA에 해킹을 신고한 것이고 개인정보위에 접수된 것은 없다”고 말했다. 

이어 “개인정보 유출 처분했는데 카카오가 아직 신고를 하지 않고 있다. 규제기관이 처분했는데 가만히 있다는 것은 말이 안 맞는 것이다. 처분하는 순간 효과가 생긴다. 아직 유출신고를 안하고 있다”며 “(과태료 등을) 납부하고 나서 소송을 하는 것이다. 행정처분에 따르고 난 다음에 다퉈야 하는 것이다. 유출 통지가 늦어진 것에 대해 과태료를 처분했다”고 덧붙였다. 

카카오는 ‘회원 일련번호’가 그 자체로 개인정보가 아니기 때문에 개인정보 유출로 볼 수 없다는 입장이다. 이에 따라 카카오는 행정소송을 적극 검토하고 있다. 이에 대해 최 부위원장은  “개인정보라는 개념이 계속 바뀌고 있다. 자동차 차대번호의 경우 개인이 식별 될 수 없는데 2019년 법원은 차대번호 유출도 개인정보유출로 판단했다. 기술 진보가 있었기 때문”이라며  “일련번호가 개인정보가 아니라는 카카오의 주장은 개인정보 개념이 바뀐 상태에서 정부 당국 입장에서 수긍이 어렵다. 구체적 내용은 법원이 판단할 것이라고 본다”고 강조했다. 이어 그는 “기술 진보로 개인정보 개념이 확대되고 있다. 보호 개념을 너무 좁게 볼 경우 개인정보보호가 소홀해질 수 있는 우려가 있다”고 덧붙였다. 

카카오는 개인정보위의 카카오 과징금 보도 시점에 맞춰 자사의 입장을 배포했다. 이에 대해 개인정보위 측은 카카오의 언론 플레이라고 보고 있는 것으로 알려졌다. 최 부위원장은 “개인정보유출은 심각한 상황이다. 민간회사에서 피규제기관 쟁점에 대해 대응하는 것이 재판을 앞두고 모양이 좋지 않다. 구체적인 언급은 하지 않겠다”며 “해킹 기술도 발달하고 있다. 책임있는 기업은 기술 발전에 대응해야 한다고 개인적으로 생각한다”고 전했다. 

이번 카카오 오픈채팅 개인정보유출 관련 151억4196만원의 과징금과 780만원의 과태료 부과는 개인정보보호법 개정 전 법을 적용한 것이다. 개정 전의 경우 관련 매출의 3%이지만 개정 후는 전체 매출액에서 관련 없는 매출을 제외한다. 개정된 법을 적용하면 과징금 등이 더 늘어날 수 있다. 

최 부위원장은 “최근 주식거래 권유 문자 등이 부쩍 늘어났다. 카카오 때문만은 아니겠지만  원인을 알 수 없는 정보 유출이 있는 것이라고 본다”며 “오픈채팅 개인정보 거래 이뤄졌다는 것의 반증이 아닐까 한다”고 말했다. 

김해숙 개인정보위 조사2과장은 “회원 일련번호를 개인정보로 볼 수 있느냐, (개인정보를) 결합 했을 때 기준 필요한 것 아니냐, 일련번호가 결합 가능한 정보냐 이런 논의는 개인정보보호법 초기부터 나온 개념”이라며 “카카오는 이것으로 개인정보를 관리하고 있었고, 식별체계였다. 명백하게 개인정보로 볼 수 있다. 해커도 결합해서 판매하고 있었다”고 말했다. 이어 “개인정보 처리자는 본인 입장에서 유출 가능성 판단해야 한다. 입수 용의성 해킹을 얼마나 쉽게 할 수 있는지가 중요한데 충분히 결합할 수 있는 정보였다면 개인정보로 보는 것이 맞다. 그래서 처분이 내려진 것”이라고 부연했다.

이어 그는 “차대 번호의 경우 자동차 등록원부 떼면 나온다. 다른 정보와 결합 용이성 있다고 법원이 판단한 것”이라며 “기술이 발전하면 쉽게 더 결합하겠지만 개념 자체가 새로 나온 게 아니다”고 덧붙였다. 

카카오가 행정소송을 검토하고 있고 재판으로 이어질 가능성이 매우 높은 상황에서 최 부위원장은 “작년에 예산이 100% 이상 늘어서 자신이 있다. 경제 어려운 상황에서도 국회에서 예산 늘리는 것이 가능했던 것이 재작년에 구글·메타 1000억원 과징금 소송하는데 (개인정보위의)  소송비가 2억원이었다. 뭐랄까 다윗과 골리앗. 달걀과 바위 싸움이었다”고 말했다. 

한편, 마이데이터 적용을 두고 산업계에서 비용에 대한 우려가 큰 상황이다. 이에 최 부위원장은 “마이데이터는 한꺼번에 도입하는 게 아니라 일정 규모 이상 기업으로 하기 때문에 플랫폼 기업은 국민 개인정보 동의기반 수집해서 편익과 효용을 제공하지만 부를 축적한 측면이 있다”며 “인공지능(AI) 시대 정보주체들이 내가 동의한 데이터 어디있는지 확인해서 보내라는 것인데 굉장히 개인정보 자기결정권의 요체다. 전세계 처음으로 금융 마이데이터는 혜택을 보고 있다. 마이데이터가 데이터 확인전송기능이 있어서 부가가치 창출되면 분배의 대상이 될 수 있다. 기업들이 부정적으로 볼 것은 아니라고 본다”고 답변했다. 

현재 개인정보위는 알리익스프레스와 테무 등 주요 중국 전자상거래 업체를 대상으로 개인정보 수집 및 이용 실태 조사를 진행 중이다. 위반 사항이 확인되면 관련 법규에 따라 조치한다는 계획이다. 위반 시에는 과징금·과태료 부과를 의결하고 시정명령을 내릴 수 있다.

최 부위원장은 “열심히 조사하고 있다 6월 말까지 조사결과 내려고 한다. 알리·테무가 외국법인이고 국내 영업한지 얼마 안됐다. 로펌 통해 충분히 연락하고 있다. 6월말까지 결론 내려고 한다”며 “SK텔레콤 에이닷 개인정보 유출 결과도 6월 정도에 하려고 한다”고 말했다.