[이코노미스트 선모은 기자] 3월 13일 카카오는 한국인터넷진흥원에 신고 한 건을 접수했다. 이 회사가 운영 중인 메신저 카카오톡에는 다른 사용자와 익명으로 대화할 수 있는 ‘오픈채팅’ 서비스가 포함돼 있는데, 특정 업체가 여기에 참여한 사용자들의 정보를 캐내려는 정황을 포착했기 때문이다.

정보를 탈취하려 시도한 회사는 국내의 한 온라인 마케팅 업체였다. 이 업체는 카카오톡 오픈채팅 서비스에서 참여자의 이름과 전화번호 등 원하는 정보를 모두 얻을 수 있다고 광고했다. 특정 오픈채팅방에서 추출하고 싶은 개인정보를 지정하면 이 업체가 건당 2만~3만원에 자료를 넘기는 식이다.

카카오는 한국인터넷진흥원에 이 사실을 알리고 며칠 뒤 해당 업체를 업무방해 등 위법행위 혐의로 고발했다. 이 업체가 “오픈채팅에서 개인정보를 얻을 수 있다”고 홍보한 데 대해서는 “구조적으로 어렵다”는 해명을 덧붙였다. “오픈채팅으로 전화번호와 이메일 등 개인정보를 확인하는 것은 가능하지 않다”며 “해당 업체의 홍보 내용은 사실이 아니”라는 주장이다.

신고부터 고소, 해명까지. 카카오가 이번 사태를 진화한 절차는 얼핏 문제가 없어 보인다. 그러나 이번 사건에 잡음이 인 건 카카오가 유출 정보를 ‘개인정보’로 보지 않았다는 점이다. 특정 정보가 유출된 건 인정했으나, 이것이 개인정보는 아니라는 설명이다.

개인정보는 개인정보보호법에 따라 규정된다. 현행법에 따르면 이름과 주민등록번호, 영상 등으로 개인을 알아볼 수 있는 정보가 여기에 속한다. 특정 정보만으로 개인을 식별하지 못한다고 해도 다른 정보와 결합했을 때 개인을 알아볼 수 있다면 개인정보다.

중요한 건 개인을 얼마나 쉽게 특정할 수 있느냐다. 정보 A와 B를 통해 개인을 식별하는 데 일주일이 걸린다면, 두 정보는 개인정보로 볼 수 있다. 그러나 A와 B를 100년 동안 분석·조합해야만 개인을 특정할 수 있다면, 이는 개인정보로 보기 어렵다. 정보를 얻기 얼마나 어려운지, 비용은 얼마나 드는지, 어떤 기술이 필요한지가 개인정보 여부를 판별할 때 고려되는 이유다.

이번 사건의 쟁점 중 하나도 문제의 업체가 오픈채팅에서 추출한 정보가 개인정보에 해당하는지다. 지난달 중순부터 이 사건을 조사 중인 개인정보보호위원회(개인정보위)는 오픈채팅에서 실제 개인정보가 유출됐는지 정황 파악에 나섰다. 구체적으로 오픈채팅의 보안 취약점과 개인정보 유출 경위, 규모 등을 조사하고 있다.

카카오는 개인정보위와 다른 입장이다. 이번에 유출된 정보는 개인을 식별할 수 없는 난수(亂數)일 뿐 계정 아이디나 이메일 등 개인정보로 부를 수 있는 것이 아니라는 설명이다. 또한 이런 정보로 카카오톡 사용자의 이름이나 이메일 등에 접근하기도 구조적으로 불가능하다고 했다. 카카오가 “문제의 업체가 다른 정보를 활용해 (오픈채팅 참여자의) 개인정보를 파악했을 것으로 보고 있다”며 수사기관에 고발 조치한 이유다.

카카오에 따르면 이번에 유출된 정보는 ‘톡 유저 아이디’다. 톡 유저 아이디는 ‘톡 서비스 일련번호’(일련번호)라고도  한다. 기업은 서비스를 운영할 때 사용자 A와 B가 다른 사람이라는 점을 확인하기 위해 ‘회원식별값’이라는 장치를 사용하는데, 일련번호가 바로 여기에 해당한다.

일부 전문가들도 일련번호 자체는 개인정보로 보기 어렵다는 의견을 내놨다. 익명을 요구한 정보보호 업계 관계자는 “톡 유저 아이디 자체를 개인정보라고 말하기는 어렵다”며 “카카오의 경우 톡 유저 아이디를 다른 정보와 결합해 개인정보로 연결할 수 있겠지만, 외부 기관은 해당 정보만으로 무언가를 하기 어렵기 때문”이라고 했다.

다른 업계 관계자는 “현행법이 개인정보를 폭넓게 정의하고 있어 (수사기관 등의) 조사 결과를 예단할 수는 없다”면서도 “카카오톡 오픈채팅에서 톡 유저 아이디라는 정보가 일단 나갔고, 이를 카카오가 포착했다는 점에서 정보 유출로 볼 수는 있을 것”이라고 말했다.

현행법에 따르면 기업은 개인정보가 유출됐을 때 개인정보위나 한국인터넷진흥원에 바로 알려야 한다. 카카오 또한 이번 사건을 인지한 뒤 담당 기관에 신고했고, 문제를 일으킨 업체를 수사기관에 고발했다.

톡 유저 아이디는 외부에서 확인하지 못하도록 막았다. 카카오 관계자는 “톡 유저 아이디는 해외 기업들도 공개하고 있는 정보들과 유사한 형태의 데이터”라며 “통상 개발자가 아니라면 서비스 아랫단에 있는 정보들을 찾아낼 수 없을 것으로 판단해 구태여 (접근을) 막아두진 않았던 것”이라고 설명했다.

다만 “오픈채팅 사용자 입장에서는 외부 업체가 특정 정보를 확인한 건 사실”이라며 “사용자들이 안전하게 오픈채팅을 이용할 수 있도록 이번 사건에 대해 강력하게 대응할 계획이며, ‘개인정보’가 유출됐다는 오명을 벗을 것”이라고 전했다.

“진짜 유출인가요?” 관련 문의도…

카카오의 대처에도 아쉬움은 적지 않다. 우선 이번 사건의 중심에는 익명을 기반으로 하는 오픈채팅 서비스가 있다. ‘나’를 드러내지 않아도 되는 만큼 사용자들은 자신의 취향과 기호, 사생활을 다른 메신저에서보다 적극적으로 공개하고 있다. 카카오가 오픈채팅의 보안 수준은 물론, 정보 유출에 대한 사용자들의 우려까지 관리해야 하는 이유다.

실제 카카오 고객센터에는 이번 사건으로 인해 개인정보 유출을 염려하는 사용자의 문의가 여럿 접수됐다. 카카오 관계자는 “피해 사례가 접수되진 않았지만 이름이나 전화번호, 이메일을 해당 업체가 가져간 게 맞냐는 사용자 문의가 들어왔다”며 “관련 문의가 접수되면 오픈채팅으로는 개인정보를 추출할 수 없다고 안내하고 있다”고 했다.

오픈채팅 사용자의 우려가 커지고 있는 가운데 담당 기관의 사건 조사는 다소 지연될 것으로 보인다. 개인정보위 관계자는 “카카오 측 주장이 맞는다는 걸 증명하려면 현장에 가 인과관계를 밝혀야 하는 등 오랜 시간이 소요된다”며 “올해 초 결과가 나온 한국맥도날드 등 기업들의 개인정보 유출 건도 (조사에) 1년 이상 걸렸다”고 했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지