도대체 무슨 일이
카카오톡은 한 사람당 하나의 아이디(ID)를 사용할 수 있고 그에 따른 일련번호가 있다. 카카오가 서비스 제공을 위해 각 이용자에게 부여한 번호다. 일련번호는 일반채팅방이든 오픈채팅방이든 동일하다.
해커는 불법 프로그램을 활용해 오픈채팅방의 일련번호를 추출했다. 다른 한편으로는 무수히 많은 임의의 휴대전화 번호를 저장한 뒤 카톡에서 친구 추가했다. 그 후 다시 한번 불법 프로그램을 이용해 각 번호가 일반채팅방에서 활용되는 일련번호를 추출했다.
해커는 양쪽의 일련번호를 서로 맞춤으로써 일련번호의 주인을 특정화했다. 그리고 그 주인의 개인정보를 알아내고 이를 사회관계망서비스(SNS)에서 팔았다.
카카오는 왜 반발
카카오는 유출된 일련번호는 개인정보라 볼 수 없다는 입장이다. 일련번호는 그 자체로 아무런 개인정보를 포함하지 않고 그저 난수에 불과하다는 것이다. 해커가 각 번호의 일련번호를 매칭함으로써 개인정보를 알아낸 것인 만큼 단순한 해커의 범죄 행위라고 간주한다. 오히려 카카오도 이번 사건의 피해자라는 주장도 나온다. 국민 메신저라는 명성에 금이 갔다는 해석이다.
카카오는 오픈채팅방 서비스를 개시할 때, 일련번호를 난독화해 운영·관리했다. 2020년 8월부터는 보안을 더욱 강화하기 위해 일련번호 암호화를 적용했다. 일련번호가 개인정보라고 판단할 수 없음에도 불구하고 보안에 신경을 썼다는 뜻이다.
그러나 이러한 노력에도 불구하고 똑같은 일련번호들을 매칭했기 때문에 어쩔 수 없었다는 것이다. 한 카카오 관계자는 "일련번호는 개인정보를 담고 있지 않다"며 "일부 해외 사이트들은 일련번호를 공개하기도 하지만 카카오는 '암호화'라는 조치를 취하기도 했었다"고 강조했다.
"일련번호=개인정보"
개인정보위는 카카오가 안전조치 의무를 위반했다고 주장한다. 개인정보에 대한 개념이 기술 진보에 따라 충분히 변화하는 만큼 일련번호를 개인정보라고 봐야 한다는 입장이다. 일련번호가 그 자체로 개인정보를 담고 있지 않더라도 외부 정보를 결합하면 개인식별이 쉽게 가능하다는 이유에서다.
예시로 차대번호를 개인정보로 인정한 판례를 들었다. 차대번호는 차의 차체에 기록된 번호다. 그 자체론 개인정보를 담고 있지 않다. 그러나 법원은 자동차 등록번호와 소유자 이름만 알면 누구나 자동차 등록원부를 발급해 개인정보를 쉽게 알아낼 수 있다는 이유로 차대번호를 개인정보라고 인정했다.
카카오가 개인정보 유출을 신고하지 않는 점도 지적한다. 개인정보보호법에 따르면 모든 개인정보처리자는 개인정보 유출 사실을 알게 된 후 72시간 내 개인정보위에 신고해야 한다.
최장혁 개인정보위 부위원장은 지난 5일 정부서울청사에서 정례브리핑을 열고 "규제당국의 처분은 법원에서 다른 판단을 할 때까지 유지된다"며 "(카카오가) 개인정보 유출이 아니라고 판단해 다툴 의향이 있더라도 일단은 신고하는 등 필요한 의무를 다하고 다퉈야 하는 것 아닌가"라고 비판했다.
최 부위원장은 '개인정보가 유출된 이용자 696명에게 이 같은 사실을 통지하라'는 시행명령을 카카오가 이행했는지 확인되지 않는다고도 지적했다. 그는 "홈페이지에 게시한 것밖에 없고 개인정보가 유출된 696명 개개인에게 아직 공식 통지도 안 했다"고 언급했다.