카카오, ‘개인정보위’ 상대 행정소송 준비, 국내 대형 로펌들과 접촉
오픈채팅방 개인정보 유출로 151억 과징금 철퇴 맞은 카카오
"개인정보 유출이니 제재 대상" vs "개인 식별 불가능하다"
카카오, 개인정보보호위원회 상대로 '법적 대응' 준비 착수
카카오가 개인정보보호위원회를 상대로 행정소송을 준비하는 과정에서 주요 로펌의 수임제안서를 받은 것으로 파악됐다. 카카오는 지난달 말 카카오톡 오픈채팅방 이용자의 개인정보 유출건으로 개인정보위에서 과징금 151억원, 과태료 780만원의 처분을 받은 바 있다. 이는 국내 기업에 부과된 과징금 중 최고 액수다.
카카오, 주요 로펌서 수임제안서 받아
20일 IT업계에 따르면 카카오는 국내 주요 로펌들로부터 수임제안서를 받고 있다. 앞서 카카오는 개인정보위의 제재 직후 행정소송을 포함한 적극적인 대응 방안을 찾겠다고 밝힌 바 있다. 개인정보위가 주장하는 개인정보 유출은 없었다는 이유에서다. 이에 카카오는 현재까지 개인정보위에 사고 신고도 하지 않았다.
이런 가운데 개인정보위는 카카오에 송달할 개인정보 유출건에 관한 의결서를 준비하고 있다. 회사는 통지, 공고 등으로 행정처분을 인지한 날부터 90일 이내에 행정소송을 낼 수 있다. 이에 대해 카카오 측은 “행정소송을 포함한 다양한 대응방법을 내부 검토 중이며 구체적인 사안은 의결서를 받은 뒤 정해질 것”이라고 설명했다. 다만 주요 로펌의 수임제안서를 받은 것에 관해서는 “확인해줄 수 없다”고 밝혔다.
앞서 카카오는 김앤장·세종·태평양·광장 등 국내 대형 로펌과 손을 잡았다. 현재 진행 중인 SM엔터테인먼트 주가조작 혐의 재판에서는 세종·광장 외에 5개 로펌이 법률대리를 맡고 있다. 판교 데이터센터 화재와 관련해 SK㈜ C&C와 벌이는 법적 공방에서는 태평양·율촌을 법률대리로 선임했다. 자회사인 카카오모빌리티는 김앤장과 함께 공정거래위원회의 과징금 조치 취소를 요구하는 행정소송을 개시할 계획이다.
카카오 “개인정보 유출 아니다, 개인 식별 불가능”
카카오는 개인정보위의 조사 결과와 달리 개인정보 유출이 아니라는 주장을 고수하고 있다. 개인정보위는 카카오가 이용자의 개인정보 6만5,000건이 유출되는 동안 안전조치를 소홀히 했다고 지적했다. 이는 지난 3월 한 해커가 카카오톡 오픈채팅방 회원일련번호와 임시ID를 이용해 이용자의 이름과 전화번호 등이 담긴 개인정보 파일을 생성·판매한 데 따른 것이다.
하지만 카카오는 회원일련번호와 임시ID에는 개인을 식별할 수 있는 정보가 담기지 않아 개인정보 유출이 아니라는 입장이다. 카카오에 따르면 문제가 된 해커는 이렇게 얻은 회원일련번호에서는 얻을 수 없는 이름, 전화번호 등을 알아내기 위해 별도의 프로그램을 동원했다. 이를테면 010-0000-0000에서 010-9999-9999에 이르는 1억 개의 전화번호를 임시로 생성한 후 전화번호로 카카오톡 친구를 추가하는 방식을 동원했다는 것이다. 번호생성기를 이용해 무작위로 전화번호를 만들어 불특정 다수를 대상으로 스팸메시지를 뿌리는 것은 스미싱, 피싱 등 사기를 저지르는 범죄자들이 주로 활용하는 방식이라는 게 카카오 측의 설명이다.
카카오와 개인정보위의 판단은 그 전제부터가 아예 다르다는 점에서 치열한 법적 공방이 예상된다. 개인정보위는 악의적으로 회원일련번호와 개인 식별정보(실명·전화번호)를 결합해 유의미한 개인정보를 ‘생성’해냈다더라도 회원일련번호와 결합된 임시ID를 암호화하는 등 방식으로 해커의 침입을 막았어야 했다고 판단했다.
반면 카카오는 “임시ID는 숫자로 구성된 문자열이자 난수로 여기에는 어떤 개인정보도 포함돼 있지 않고 그 자체로는 개인 식별이 불가능해 개인정보라고 판단할 수 없다”고 반박했다. 회원일련번호와 임시ID는 메신저를 포함한 모든 온라인·모바일 서비스 제공을 위해 반드시 필요한 것으로 어디까지나 이용자를 구분하기 위해 내부적으로만 쓰는 문자·숫자열에 불과하다는 것이다.
카카오는 또 개인정보위가 제재처분을 내리는 과정에서 해커가 독자적으로 자행한 불법행위까지 카카오의 과실로 본 점이 잘못됐다고 비판했다. 해커가 불법적인 방법으로 번호를 생성해 카카오톡에 일일이 친구추가를 하는 등 과정을 거쳐서 정보를 결합해 개인정보를 생성한 것은 해커의 불법행위일 뿐 카카오의 과실이 아니라는 얘기다.
메타·구글도 과징금 철퇴, 행정력 낭비 우려도
한편 개인정보위가 과징금과 관련해 법정 공방까지 이어진 기업은 카카오만이 아니다. 개인정보위는 구글과 메타가 ‘이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보 보호법을 위반했다’고 보고 시정명령과 함께 각각 692억원(구글), 308억원(메타)의 과징금을 부과했다. 구글과 메타는 이 조치에 불복, 최근까지 법정 공방을 이어가고 있다.
개인정보위 레이더망에 걸린 기업도 다수다. 지난해 LG유플러스(68억원)에 이어 올해 5월에는 골프존(75억원)도 과징금 철퇴를 맞았다. 골프존 역시 카카오와 같이 해커가 지난해 221만 명의 회원 이름, 이메일, 번호, 생년월일 등 개인정보를 빼가면서 철퇴를 맞았다. 여기에 더해 5,831명의 주민등록번호와 1,647명이 보유한 계좌번호도 함께 유출됐다. 해당 사건은 해커가 지난해 11월 골프존 직원의 가상사설망 계정 정보를 탈취해 업무망 내 파일서버에 원격접속하면서 벌어졌다. 개인정보위는 골프존이 안전조치 의무를 위반했다고 봤다.
개인정보위는 해외 업체에도 이와 같은 이유로 과징금을 부과한 전례가 있다. 2021년 페이팔 사건이 대표적이다. 당시 페이팔은 송금 기능 해킹, 내부 직원 전자우편 사기(이메일 피싱)로 한국인 이용자 개인정보 유출 사태에 직면했다. 또 사전 확보한 다수의 아이디와 비밀번호를 무작위로 입력해 로그인을 시도하는 ‘크리덴셜 스터핑 공격’에도 뚫려 336명의 이름, 생년월일, 주소, 이동전화번호가 유출됐다. 이에 개인정보위는 약 9억원의 과징금을 부과했다.
이에 일각에서는 개인정보위에 대한 우려를 제기하기도 한다. 이제 출범한 지 3년여가 됐지만 재계에서는 개인정보위의 존재를 잘 알지 못해 규제받는 일이 흔하다는 설명이다. 한 재계 관계자는 “해킹당하면 과학기술정보통신부·한국인터넷진흥원(KISA)에 해당 사실을 신고하게 돼 있는 것까지는 잘 안다”면서도 “이때 일어난 개인정보 유출 사실을 개인정보위에까지 신고해야 한다는 사실을 아는 기업은 그리 많지 않을 것”이라고 말했다. ‘몰라서 신고를 못했는데 돌아오는 처분은 가혹하다’는 것이다. 또 다른 재계 관계자는 “과징금 부과 기준이 매출액의 3%라는데 이때 매출액 기준이 연결 기준인지 단일 기준인지 헷갈릴 때가 많다”며 “해석 여지가 다분한 관련법 문구로 인한 혼란, 잦은 소송으로 행정력 낭비, 기업 경영 활동 위축 등 여러 부작용이 있다”고 주장했다.
