카카오 개인정보유출 과징금 151억, 개인정보는 어디까지? 

​

카카오와 개인정보보호위원회가 회원 일련번호와 임시 ID의 개인정보 해당 여부를 두고 다투고 있습니다. 앞서 개인정보위는 카카오톡 오픈채팅 이용자의 개인정보가 유출됐다고 판단하고 카카오에 과징금 151억여 원을 부과했습니다. 반면, 카카오는 해킹된 회원 일련번호 외 임시 ID의 개인식별이 불가능해 개인정보 유출은 아니라는 입장입니다. 이후 카카오는 행정소송을 포함해 적극적인 대응에 나설 것으로 보입니다.

한편 지난 6일, 개인정보위에 따르면 이미 개인정보 유출로 처분이 내려졌음에도 카카오는 개인정보 유출이 아니라는 입장을 고수하며 개인정보위에 신고하지 않고 있다고 밝혔습니다. 개인정보보호법에 따르면 모든 개인정보처리자는 개인정보 유출 사실을 알게 된 후 72시간 이내에 개인정보위에 신고해야 합니다.



난수로 구성된 회원 일련번호도 개인정보일까?

회원 일련번호는 무작위 추출된 숫자로 구성된 문자열입니다. 개인정보위 조사에 따르면, 카카오는 일반 채팅과 오픈채팅 이용자를 동일한 회원 일련번호로 구분하는 식별 체계를 만들었습니다. 또 오픈채팅 이용자는 오픈채팅방 ID와 회원 일련번호로 구성된 임시 ID를 사용했습니다. 회원 일련번호와 오픈채팅방 임시 ID가 연계된 구조입니다. 해커는 임시 ID를 활용해 회원 일련번호를 확인했고, 이어 회원 일련번호를 매개로 특정 공개 채팅방 참여자의 이름과 휴대전화 번호, 오픈채팅방 닉네임 등이 담긴 개인정보 파일을 생성해 판매했습니다.

카카오는 회원 일련번호와 임시 ID에 개인정보가 포함돼 있지 않다고 강조했으며, 이것만으로는 개인을 식별하기 어려워 개인정보 유출이 아니라는 입장입니다. 반면 개인정보위는 회원 일련번호를 다른 정보와 결합해 개인을 식별할 수 있어 개인정보 유출이 맞다고 판단했습니다. 또한 카카오가 해킹 프로그램을 이용한 악성 행위에 제대로 대응하지 않은 점도 문제 삼았습니다.



개인정보유출 처벌은 어떻게?

개인정보유출에 대한 형사처벌에 관하여 개인정보 보호법은 아래와 같이 규정하고 있습니다.

개인정보유출 처벌은 어떻게?

개인정보유출에 대한 형사처벌에 관하여 개인정보 보호법은 아래와 같이 규정하고 있습니다.

개인정보 보호법 제71조(벌칙)

다음 각호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다. <개정 2016.3.29, 2020.2.4>

1. 제17조 제1항 제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보 주체의 동의를 받지 아니하고 개인정보를 제 3자에게 제공한 자와 그 사정을 알고 개인정보를 제공받은 자

개인정보 보호법 제17조(개인정보의 제공)

① 개인정보처리자는 다음 각호의 어느 하나에 해당되는 경우에는 정보 주체의 개인정보를 제 3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020.2.4>

1. 정보 주체의 동의를 받은 경우

2. 제15조 제1항 제2호ㆍ제3호ㆍ제5호 및 제39조의3 제2항 제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우

위 법에 따르면, 개인정보처리자는 법령상 개인정보 유출이 불가피한 경우가 아닌데도 정보 주체의 동의를 받지 않고 개인정보를 유출하면 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처하게 됩니다.

​



개인정보, 법원 해석에 따라 판단 달라져

카카오와 개인정보위가 해석의 차이가 발생한 것은 바로 ‘개인정보’를 어디까지 볼 것인가입니다. 개인정보를 어느 범주까지 해당하는지에 따라 처벌 수위가 달라지기 때문입니다.

개인정보보호법 제2조(정의)에 따르면 성명이나 주민등록번호, 사진, CCTV 영상 등이 각각 다른 정보를 결합해 개인을 특정할 수 있다면 개인정보에 해당합니다. 따라서 해당 정보가 유출될 경우, 개인정보유출 처벌을 받을 수 있습니다. 반면, 정보를 통해 개인을 특정할 수 없다면 개인정보보호법 위반에 해당하지 않습니다.

지난 2017년 약학 정보원이 환자의 주민등록번호를 암호화해 처방전 정보를 수집 판매한 사건과 관련해 주인을 식별할 수 있는 정보에 따라 개인정보유출 여부를 가렸습니다. 약학 정보원은 세 차례에 걸쳐 주민등록번호 암호화를 강화했는데, 초기 암호화에 해당하는 정보는 주인을 쉽게 식별할 수 있어 위법하다고 판단했습니다. 하지만 이후 암호화한 주민등록번호는 개인을 특정할 수 없어 개인정보로 볼 수 없다고 결정했습니다.

개인정보보호법에는 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보’도 개인정보로 정의하고 있습니다. 다만 이 경우 고려할 점은 다른 정보의 입수 가능성 등 개인을 알아보는 데 걸리는 시간과 비용, 기술 등이 명시됐습니다.

기술이 진보하고 개인정보 범위가 확대됨에 따라 국민과 정부가 기대하는 개인정보보호 의식과 책임감, 기술 발전에 대비해야 합니다. 기업마다 제공하는 서비스에 따라 수집하는 정보는 다양합니다. 하지만 이용자 수가 많은 서비스의 이용자 정보가 유출될 경우, 여러 가지 정보를 결합하여 개인을 특정할 수 있습니다. 카카오의 개인정보유출 사태도 이와 유사한 사례가 될 수 있습니다.

개인이나 기업에서 개인정보유출이 우려된다면, 즉시 개인정보보호위원회에 해당 사실을 신고하고 변호사를 수임해 형사처벌 가능성을 검토해 대응하셔야 합니다. 특히 72시간 이내에 신고한 후, 빠르게 조처해야 하는 만큼 해당 분야의 경험이 많은 변호사에게 반드시 상담을 받아보시길 권해드립니다.