(출처 : AI 생성 이미지)

카카오, 정보 유출 151억 과징금 불복소송 패소…이유는?

카카오가 카카오톡 오픈채팅 이용자 개인정보 유출과 관련해 2024년 11월 제기한 행정소송 1심에서 개인정보보호위원회(이하 개인정보위)에 패소하면서 항소 의사를 밝혔다. 법원은 오픈채팅 관련 정보가 ‘결합된 데이터베이스’ 형태로 온라인에 공개·판매된 점을 개인정보 유출로 보고, 카카오가 유출 사실을 당국과 이용자에게 신고·통지하지 않은 점도 위법하다고 판단했다.

서울행정법원 행정14부(재판장 이상덕)는 카카오가 개인정보위를 상대로 제기한 과징금 부과 처분과 시정명령 취소 소송에서 원고 청구를 기각했다고 15일 밝혔다. 재판부는 “휴대전화번호, 프로필명, 참여 오픈채팅방명, 해당 오픈채팅방 프로필 등의 형태로 결합한 오픈채팅 데이터베이스가 온라인에 공개·판매된 것은 개인정보 유출에 해당한다”고 판단했다. 또 카카오가 개인정보 유출 사실을 당국과 이용자에게 신고·통지하지 않은 점을 위법으로 봤다.

2023년 ‘회원일련번호’ 악용 정황, 2024년 5월 과징금 151억원 부과

개인정보위는 2023년 3월 카카오의 오픈채팅 관련 취약점이 악용돼 이용자 정보가 거래되고 있다는 정황을 파악하고 조사에 착수했다. 해커가 오픈채팅 이용 과정에서 생성되는 회원일련번호를 수집한 뒤, 이를 기준으로 다른 곳에서 획득한 정보와 결합해 개인정보를 판매했을 가능성이 제기됐다. 개인정보위는 이 과정에서 이용자 정보 6만5719건이 무단으로 조회된 사실을 파악했다.

조사 결과 개인정보위는 카카오가 개인정보 보호를 위한 안전조치를 소홀히 하고, 유출 신고·통지 의무도 이행하지 않았다고 보고, 과징금 151억 4196만원과 과태료 780만원을 부과했다.

법원이 ‘결합된 정보’와 ‘통지 의무’를 본 이유

이번 판결에서 법원의 요지는 카카오의 오픈채팅 정보가 ‘결합된 데이터베이스’ 형태로 유통됐다는 점이다. ‘개인정보 보호법’은 개인정보를 단일 정보로 개인을 알아볼 수 있는 경우뿐 아니라, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 ‘다른 정보와 쉽게 결합하여 알아볼 수 있는 정보’까지 포함해 정의한다.

재판부는 오픈채팅 관련 정보가 결합된 형태로 공개·판매된 점을 근거로 개인정보 유출로 판단했다.

사고 이후 신고가 지연됐다는 점도 판단의 근거로 작용했다. 재판부는 카카오가 유출 사실을 당국과 이용자에게 신고·통지하지 않았다고 봤다. ‘개인정보 보호법’은 개인정보처리자에게 유출 방지를 위한 안전조치 의무를 두고, 유출 사실을 알게 된 경우 정보주체 통지와 관계기관 신고 의무도 규정한다.

재판부는 카카오가 2020년 8월 5일부터 새로 생성되는 오픈채팅방에 한해 암호화 조치를 적용한 점도 언급했다. 이를 고려하면 보안상 위험이 현실화했거나 개인정보 유출 위험을 인지했거나 최소한 인지할 수 있었는데, 이후 추가 개선 조치를 하지 않았다고 판단했다.

전문가 “결합 가능성, 판단에 영향…설계 단계부터 정보 보호 고려해야”

염흥열 순천향대 정보보호학과 명예교수는 이번 판결과 관련해 “개인정보가 다른 정보와 쉽게 결합돼 개인을 식별할 수 있는지가 핵심 쟁점이었는데, 당시 개인정보위가 결합 가능성을 관계 기관와 함께 실제로 시연한 것으로 알고 있다”며 “그 점이 법원 판단에도 영향을 준 것으로 보인다”고 설명했다. 실제로 개인정보위는 2024년 제9회 전체회의에서 “(카카오) 조사 과정에서 1만5000명씩 대입해 기본정보(오픈채팅방 이용자 개인정보)를 빼낸 뒤 데이터베이스를 제작하는 것이 가능했다”고 한 언급한 바 있다.

또한 염 교수는 “카카오가 당시 문제가 없었다면 암호화 조치를 하는 등 시스템을 바꾸지 않았을 텐데, 실제로 시스템을 바꿨다는 건 결합 가능성을 인지하고 있었다고 법원이 판단한 것으로 보인다”고 덧붙였다.

아울러 “사건을 통해 볼 때, 설계 단계에서부터 개인정보의 결합 가능성까지 고려하는 ‘프라이버시 바이 디자인(Privacy by Design)’ 원칙의 중요성이 드러난다”며 “대형 플랫폼 기업이 늘어나고 다루는 개인정보도 다양해지는 만큼 그에 맞는 보호 조치가 필요하다”고 말했다.

카카오, 입장 그대로 “유출 정보는 난수, 결합된 정보는 당사 유출 아냐”

카카오는 항소를 통해 지난 주장을 다시 적극적으로 소명하겠다는 입장이다. 카카오는 2024년 5월 23일 낸 입장문에서 “회원일련번호와 임시ID는 서비스 제공을 위해 반드시 필요한 정보”라며 “숫자로 구성된 문자열로 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다”고 주장했다.

이어 “사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것”이라고 말했다. 또 “해커가 회원일련번호와 결합한 ‘다른 정보’는 카카오에서 유출된 것이 아니다”라며 “해커가 불법적인 방법을 통해 자체 수집한 것”이라고 설명했다.

카카오 관계자는 “1심 판단과 무관하게 기존 입장에 변동이 없어 항소로 다시 소명하겠다”고 입장을 밝혔다.

개인정보위 “대형 플랫폼 ISMS-P 의무화 추진”…‘상시 관리체계’ 강화

이번 판결은 결합 가능성이 있는 정보에 대한 안전조치와 유출 인지 후 신고·통지 같은 사고 대응 절차가 실제로 작동했는지를 법원이 따져 본 사례로 볼 수 있다. 개인정보위가 추진 중인 ‘정보보호 및 개인정보보호 관리체계(ISMS-P) 인증’ 제도 개선도 대규모 개인정보 처리 환경에서 사고 이후의 처분에 그치지 않고, 사고 이전에 관리체계가 상시적으로 작동했는지를 점검하겠다는 방향과 맞닿아 있다.

이런 맥락에서 개인정보위는 ISMS-P 제도 개선 과정에서 카카오처럼 이용자 영향이 큰 대형 플랫폼 기업을 의무화 대상으로 포함하는 방안도 검토하고 있다. 최근 침해 사고가 잇따르며 인증의 실효성 논란이 커지자, 핵심 항목 중심 점검과 사후관리 강화를 포함해 제도를 전반적으로 손질하겠다는 취지다. 또한 자율 운영 중심이던 ISMS-P를 공공·민간 주요 개인정보처리시스템에 의무화하고, 통신사·대형 플랫폼처럼 파급력이 큰 기업에는 강화된 인증·사후관리를 적용하는 방향도 제시했다.

1심 법원이 결합된 데이터베이스 유통을 개인정보 유출로 판단하고, 신고·통지 의무 위반도 위법으로 본 만큼, 항소심에서도 결합된 정보가 개인정보에 해당하는지와 카카오의 유출 가능성 사전 인지 여부가 재판의 핵심 쟁점이 될 것으로 보인다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.