대화 내용이 개인정보? 라인은 O, 카톡은 X… 기준 제각각 [이슈&탐사]

국민일보

대화 내용이 개인정보? 라인은 O, 카톡은 X… 기준 제각각 [이슈&탐사]

[AI 시대, 위태로운 프라이버시] ⑥ 기업이 결정하는 개인정보 기준

입력 2021-03-17 04:01 수정 2021-03-17 17:09

카카오와 네이버 관계사 라인은 이용자 대화 내용을 일괄 저장하는 방식으로 채팅 앱 서비스를 제공하고 있다. 카카오톡이나 라인으로 채팅을 하면 그 대화 내용이 서버에 일정기간 저장되는 것이다.

채팅 정보를 다루는 두 회사의 방식은 극명하게 엇갈린다. 카카오는 개인정보처리방침에 이런 사실을 설명하지 않았고 이용자의 동의도 받지 않았다. 반면 라인은 대화 내용 수집 사실을 이용자들이 알 수 있게 명시하고 있었다.

왜 그랬는지 두 회사에 물었더니 돌아온 공식 답변 역시 180도 달랐다. 라인 측은 대화 내용이 개인정보이기 때문이라고 답했다. 카카오 측은 대화 내용을 처리방침에 명시해야 할 개인정보로 보지 않기 때문이라고 했다.

카카오 측은 “개인정보는 그 자체로 개인을 식별할 수 있는 정보”라며 “카카오톡 대화 내용은 이용자들이 자유롭게 작성하는 것으로 개인정보보호법상 개인정보로 명시하지 않는다”는 입장을 밝혔다. 대화 내용을 수집하지만 개인정보라 여기지 않기 때문에 수집 사실을 알리지 않았다는 것이다.

반면 라인 측은 “대화 내용은 개인정보로 규정하고 있다. 그래서 송신자와 수신자 외에는 누구도 대화 내용을 확인할 수 없도록 종단 간 암호화 조처를 하고 있다”고 설명했다. 라인 개인정보처리방침에는 수집 항목에 ‘텍스트, 이미지, 동영상, 음성 등 고객이 투고한 콘텐츠’ 등의 설명이 담겨 있다.

누구 말이 맞을까. 대국민 민원 서비스인 국민신문고를 통해 개인정보보호위원회에도 같은 질문을 던졌다.

“채팅의 경우 대화 내용에 개인정보가 포함되어 있을 수 있고, 내용에 직접적인 개인정보가 포함되어 있지 않더라도 아이디 등 다른 정보와 결합해 특정 개인을 식별할 수 있다면 개인정보에 해당하게 된다.”

식별 가능한 정보가 담긴 대화는 개인정보이고, 그래서 회사가 대화를 일괄 수집할 경우 이용자 동의를 받아 알려야 한다는 설명이다.

개인정보위 관계자는 “큰 드럼통 안에 여러 채팅 내역이 들어가 있는데 이 중 일부라도 개인정보가 담긴 대화 내용이 있을 수 있다. 대화 내용을 통째로 가져가는 과정에 이런 내용이 조금이라도 담겼다면 우리는 개인정보 제공으로 본다”고 말했다.

이 해석대로라면 카카오톡은 개인정보보호법을 위반한 것이 된다. 개인정보위 관계자도 “카카오톡 개인정보처리방침에 수집 동의를 받지 않는 건 문제 소지가 있어 보인다”고 했다.

대화 수집하려면 알리는 게 법의 취지

최근 데이터 프라이버시는 자신에 대한 정보를 관리·통제할 수 있는 권리(개인정보 자기결정권)로 인정받고 있다. ‘모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다’는 헌법적 기본권에서 확장된 개념이다. 헌법재판소는 이를 “자기에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리”라고 정의했다. 인공지능(AI) 시대 테크 기업들이 무차별적으로 개인 데이터를 수집하고 있는데, 넘지 말아야 할 선이 있다는 의미다.

그 마지노선이 개인정보보호법이다. 법은 정보주체에 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리를 부여하고 있다. 업체는 필요한 범위에서 최소한의 정보만 수집해야 하고, 목적 외 용도로 활용해서는 안 된다. 정보를 수집해야 한다면 정보주체에 그 사실을 명확히 알리라는 것이다.

라인 개인정보처리방침. 대화내용을 수집한다는 설명이 들어가있다.

그래서 개인정보보호법 전문가들도 카카오톡 대화 내용 수집에 대한 개인정보위 판단을 지지했다.

이동진 서울대학교 법학전문대학원 교수는 “개인정보가 될 수 있는 조건은 여러 가지가 있다. 발화자가 누구인지 직접 알 수 있거나, 다른 내용과 결합해 알 수 있을 가능성이 어느 정도만 되면 이는 개인정보”라고 설명했다. 이어 “동의받지 않고 대화 내용을 수집하려면 수집된 정보가 개인정보인지 아닌지 먼저 검증을 하고 나서 처리해야 한다”며 “개인정보라면 처음부터 받아들이지 않도록 설계를 해야 하는 것”이라고 지적했다.

개인정보분쟁조정위원회 위원인 김보라미 법률사무소 디케 변호사도 “대화 내용은 개인정보에 해당할 경우가 상당히 많다. 그렇다면 개인정보로 취급해 처리하는 게 맞는다”고 했다.

개인정보위 위원인 염흥열 순천향대 정보보호학과 교수 역시 “대화 내용을 개인정보라 판단하고 처리 방침에 명시해야 한다는 입장에 동의한다”고 했다.

무책임한 기업과 정부의 합작품

왜 이런 상황이 방치됐을까. 전문가들은 정부가 데이터 프라이버시 이슈에 둔감하게 대응해 분명한 기준을 마련하지 못했고, 적극적 조치도 취하지 않았기 때문이라고 지적했다. 실제 이 문제는 2014년 ‘카카오톡 감청 논란’ 당시에도 제기됐었다. 카카오 측은 이때도 “대화 내용은 개인정보가 아니다”는 입장을 내놨었다. 하지만 정부는 이후 7년이 지나도록 별다른 조처를 하지 않았다.

권헌영 고려대 정보보호대학원 교수는 “‘이루다 사태’ 이전까지만 해도 한국 사회는 데이터 수집이 불러오는 프라이버시 문제를 실감하지 못했고, 핵심 문제라 생각하지 않았다”며 “대화 내용이 개인정보냐에 대해 아무도 문제를 제기하지 않으니 아무도 답을 내리지 않고 지냈던 것”이라고 말했다. 권 교수는 “데이터 기술 발전으로 대량의 대화 데이터 자체를 처리할 수 있는 시대가 도래했다”며 “앞으로 발생할 데이터 사생활 침해 문제를 어떻게 해결할지가 큰 과제”라고 덧붙였다.

한국인공지능법학회 회장을 맡고 있는 고학수 서울대 법학전문대학원 교수도 “기업들이 수집하는 데이터 중 대화 내용과 같은 비정형 데이터는 계속 늘어날 수밖에 없다. 이런 부분에 대해 공개적인 논의가 여태 없었다”고 말했다. 그는 “대화 내용을 개인정보로 봐야 한다고 방향을 정하고, 동의를 받은 뒤 다시 서비스를 시작하라고 한다면 카카오톡은 그다음 날 바로 문을 닫아야 할 수도 있다”며 “비즈니스가 불가능한 지경으로 가는 것이어서 (모두가) 그냥 어정쩡한 상태로 있는 것”이라고 지적했다.

무관심 속 커지는 프라이버시 문제

대화 내용을 개인정보로 여기지 않을 경우 파생되는 우려는 크다. 우선 업체들의 데이터 활용 여지가 커진다. 이루다 사태가 언제든 재연될 수 있는 것이다.

AI 업계에서는 이미 기업들이 수집한 대화 내용 등의 개인정보를 활용하려는 움직임이 일어나고 있다. 토스, 교보생명 등 국내 1만3000여곳에 AI 챗봇 서비스를 제공하는 엠비아이솔루션 측은 “고객사가 동의하면 채팅 내역을 학습시켜 자연어 처리가 가능한 챗봇을 개발할 수 있다”고 말했다.

채팅 솔루션 제공업체 ‘센드버드’ 관계자는 “고객사에 연락을 돌려 정보 활용에 대한 동의서를 받고 있었는데 개인정보보호법이 허술한 국가 업체들은 수집한 대화내용을 사용하라고 허락해 준다”고 말했다.


정부의 무관심 속에 기업들의 무분별한 데이터 수집 관행은 굳어지고 있다. 기업들이 개인정보의 범위를 자의적으로 해석해 데이터를 수집하는 일도 이미 만연하다. 실제 데이팅 앱들을 운영하는 스타트업 상당수는 대형 테크 기업들의 정보 수집 행태를 답습하고 있었다. 유명 데이팅 앱 정오의 데이트(운영사 모젯), 아만다(운영사 테크랩스) 측은 명확한 설명 없이 대화 내용을 수집한 이유에 대해 “카카오톡도 그렇게 하고 있다”고 해명했다. 국민일보가 데이팅 앱 314개의 개인정보처리방침을 점검한 결과 이용자의 대화 내용, 위치정보, 휴대전화 고유식별정보, IP 정보, 로그기록 등 항목을 특별한 설명 없이 필수 수집 데이터로 규정한 곳이 많았다(국민일보 3월 9일자 10면 참조).

카카오는 뒤늦게 “자사는 대화 내용이 개인정보인지 아닌지 여부는 판단하지 않았다. 대화 내용을 활용하지 않기 때문에 수집 동의를 안 받은 것”이라며 “대화 내용은 서버에 2~3일 저장한 뒤 모두 삭제된다”는 입장을 다시 알려왔다. 대화 내용이 개인정보가 아니라는 기존 입장에서 한발 물러난 것이지만, 여전히 개인정보처리방침에 이를 언급할 필요가 없다는 뜻은 유지했다.

강은성 이화여대 사이버보안전공 교수는 “한국에서는 프라이버시와 개인정보의 구분이 없다. 이루다 사태의 문제는 대화 내용이 식별 가능하느냐의 질문을 넘어서 내 대화를 누군가가 볼 수 있다는 프라이버시 이슈로 한 계단 넘어간 것”이라며 “데이터에 담긴 프라이버시를 어떻게 다룰 것인가가 공론화돼야 한다”고 말했다.

염흥열 교수는 “데이터 3법은 기업들이 수집한 데이터를 가명 처리해 활용할 수 있도록 했다. 대화 내용 자체도 가명 처리하면 기업이 활용할 수 있는 것”이라며 “모든 데이터는 처리 단계에서부터 프라이버시가 존중돼야 하고, 이를 존중하는 기술개발이 필요하다”고 말했다.

이슈&탐사 1팀 전웅빈 문동성 박세원 기자 imung@kmib.co.kr

[AI 시대, 위태로운 프라이버시]
▶①당신 몰래… 당신의 대화가 수집되고 있다 [이슈&탐사]
▶②[단독] 정오의 데이트·아만다 등 20여 곳도 허락없이 채팅 수집 [이슈&탐사]
▶③830억원 챙겨놓고… 몰래 트래커까지 심은 데이팅앱들 [이슈&탐사]
▶④[단독] 유명 데이팅앱 ‘아마시아’, 회원 개인정보 돌려썼다 [이슈&탐사]
▶⑤매일 스마트폰에 4000개 광고 접근… 사생활이 기록된다 [이슈&탐사]
▶⑦개인정보침해신고에 ‘동문서답’… 정보 보호 손 놓은 정부 [이슈&탐사]

많이 본 기사

아직 살만한 세상