이 기사는 2024년 12월 23일 16:26 thebell 에 표출된 기사입니다.

해외 개인정보 보호 관련 법률은 개인정보를 이용해 급성장하는 정보기술(IT) 기업들의 등장 이후 점차 강화되고 있다. 이들 기업이 성장을 위해 개인정보를 무분별하게 수집·이용한다는 판단에서다. 이와 같은 흐름을 국내법에서도 확인할 수 있다. 점진적으로 상승하고 있는 개인정보보호법 위반 사례 중 대부분이 IT 기업을 겨냥하고 있는데, 대표적인 곳이 카카오다.

카카오는 2020년 통합 개인정보보호위원회(이하 개인정보위) 출범 이후 여러 차례 구설수에 올랐다. 카카오맵의 즐겨찾기 폴더 설정 기본값이 다른 사용자에게 공개로 돼 있어 방문 장소, 동선 등이 노출된 것도 대표적인 사례 중 하나다. 카카오VX, 그라운드X, 카카오모빌리티 등 계열사도 법 위반으로 제재받았다. 다만 부과된 과징금·과태료 규모가 수백·수천만원에 불과했기에 일시적인 헤프닝으로 넘어갔다.

하지만 최근 양상이 바뀌었다. 카카오는 지난 5월 개인정보위로부터 151억원의 과징금을 부과받았다. 국내 개인정보보호법 위반 기업 중 가장 큰 금액이다. 카카오페이의 법 위반 조사가 진행되고 있어 추가 과징금 발생도 우려된다. 프라이버시 리스크가 경영에 영향을 미칠 수준으로 커졌다.

◇역대 최대 과징금 원인, '오픈채팅' 안전조치 미흡

카카오는 2021년 이후 해마다 1건 이상의 개인정보위 제재를 받고 있다. 2021년부터 2023년까지는 행정제재 수준에 그쳤지만 올해 제재 강도가 급격히 높아졌다.

첫 제재는 2021년 카카오의 스크린골프 계열사 카카오VX 건이다. 개인정보 안전조치 위반으로 600만원의 과태료를 부과받았다. 같은 해 블록체인 계열사의 주민등록번호 암호화 위반·유출로 3100만원의 과징금·과태료를 부과받았다. 2022년 카카오맵의 이용자 개인정보 유출 이슈가 불거졌지만 제재 없이 개선권고 조치만 받았다. 2023년 카카오모빌리티의 개인정보 제공 동의 시 고지 미흡 건도 공정거래위원회(이하 공정위) 조사에 초점이 맞춰져 600만원의 과태료에 그쳤다.


비교적 가벼웠던 프라이버시 리스크가 본격화한 것은 올해부터다. 개인정보위는 지난 5월 카카오에 과징금·과태료 151억4976만원을 부과했다. 국내 기업을 대상으로 한 첫 100억원 초과 과징금·과태료다. 이보다 높은 금액대의 과징금·과태료를 부과받은 것은 메타, 구글뿐이다.

제재는 카카오톡 오픈채팅에서 개인정보가 유출됐다는 판단하에 이뤄졌다. 카카오가 오픈채팅을 익명채팅이라고 홍보하며 운영했지만 암호화에 미흡한 부분이 있어 이용자를 식별할 수 있는 회원일련번호가 유출됐다는 것이다. 2022년 카카오톡 오픈채팅방의 이용자 정보를 판매한다는 글이 나돌면서 이슈가 부각됐고 1년 만에 조사 후 제재가 이뤄졌다.

개인정보위는 개발자 커뮤니티를 통해 오픈채팅의 이용자 정보 추출이 가능하다는 지적이 공개돼 왔음에도 카카오가 적절한 조치를 취하지 않았다고 지적했다. 오픈채팅 취약점으로 인해 6만5000건 이상의 개인정보가 유출된 것으로 추정하고 있는데, 이에 대한 유출 신고와 이용자 대상 통지도 하지 않은 점도 법을 위반한 사례라고 꼬집었다.

◇행정소송으로 '스톱'했지만… 추가 제재 우려

카카오에 대한 이번 과징금·과태료는 전문가들 사이에서도 갑론을박이 이어지고 있다. 국민 대다수가 이용하는 서비스임에도 보안을 소홀히 한 만큼 강도 높은 처벌이 필요하다는 의견이 있는가 하면 유출된 것은 개인정보가 아닌 회원일련번호인 만큼 처벌은 잘못됐다는 의견도 있어 상충되고 있다.

이와 관련 카카오는 11월 제재에 대한 불복 소송을 제기했다. 회원일련번호는 이름, 전화번호 등이 포함돼 있지 않아 개인정보로 취급할 수 없다는 것이 카카오의 입장이다. 판매된 개인정보의 경우 오픈채팅에서 유출된 회원일련번호와 해커가 자체 수집한 정보를 결합한 결과물일뿐이라고 강조하고 있다.

행정소송으로 이번 카카오의 제재는 법원의 판단을 기다리게 됐다. 다만 오픈채팅 외에도 카카오페이에 대한 개인정보 유출 조사가 이뤄지고 있어 프라이버시 리스크는 지속하고 있다.

카카오페이의 개인정보 유출 건은 카카오페이가 △고객식별정보(계정 일련번호, 핸드폰 번호, 이메일) △가입고객정보(가입일, 휴면계정 여부 등) △페이머니 거래내역(잔고, 충전·출금 횟수, 결제 여부 등) △카드등록 여부 등 고객의 개인신용정보를 알리페이에게 넘겼다는 의혹이다. 카카오페이는 해당 정보는 애플의 요청에 따라 제공됐다고 주장했다.

금융감독원은 카카오페이의 행위가 위법이라고 주장하고 있다. 특히 이용자 동의 없이 개인신용정보를 넘긴 점을 문제 삼고 있다. 또 4045만명에 달하는 사실상 모든 이용자 정보를 제공한 것도 지적했다. 이에 카카오페이는 정보처리의 위탁인 만큼 동의를 받지 않아도 되고, 안드로이드 이용자도 아이폰으로 교체할 수 있는 만큼 부정결제 방지를 위해 전체 이용자 정보를 제공했다는 주장으로 맞서고 있다.

하지만 카카오페이와 마찬가지로 애플 앱스토어에 결제수단 등록을 한 페이코의 경우 정보 제공 요청을 받지 않는 등 카카오페이에게 불리한 내용이 확인됐다. 이에 업계에서는 강도 높은 제재가 이뤄질 것이라는 전망이 제기되고 있다.