‘오픈채팅방 개인정보 유출’ 카카오, 과징금 151억…카카오 “소송 검토”

지난해 3월 발생했던 카카오톡 오픈 채팅방의 개인정보 유출 사고와 관련해, 카카오가 과징금 150여억 원을 물게 됐습니다. 카카오는 행정소송을 포함한 대응을 적극 검토하겠다고 반박했습니다.

개인정보보호위원회는 어제(21일) 제9회 전체회의를 열고, 안전조치의무와 유출 신고, 통지의무를 위반한 (주)카카오에 대해 151억 4천196만 원의 과징금과 780만 원의 과태료를 부과했다고 밝혔습니다.

앞서 개보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론 보도가 나와, 개인정보 보호법 위반 여부를 조사해왔습니다.

개보위 조사 결과, 카카오는 익명 채팅인 오픈채팅방을 운영하면서 오픈채팅방에서 쓰이는 임시 ID의 뒷자리로 일반 채팅에서 사용하는 '회원일련번호'를 암호화 없이 그대로 사용했습니다.

해커는 이 취약점을 파고들었습니다. 오픈채팅방에 들어가 임시 ID에서 회원일련번호를 뽑아냈습니다. 이후 카카오톡 친구추가 기능 등을 이용해 일반 채팅에서 회원일련번호와 전화번호, 프로필명을 입수했습니다. 이렇게 입수한 두 정보를 결합하는 방식으로 특정 오픈채팅방에서 익명으로 활동하는 사람의 카카오톡 닉네임과 전화번호를 알아내 판매한 것으로 조사됐습니다.

2020년 8월부터 카카오가 오픈채팅방의 임시ID를 암호화했지만, 기존에 개설된 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용돼 이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 있었습니다.

또, 카카오는 개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성행위 방법이 이미 공개돼 있었는데도 이를 통한 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았던 사실도 확인됐습니다.

지난해 3월 언론 보도와 개보위 조사 과정에서 카카오톡 오픈채팅방의 정보가 유출됐다는 사실을 인지했는데도 카카오는 유출 신고와 이용자에게 유출 통지를 하지 않았습니다.

개보위는 "카카오톡 같이 대다수 국민이 이용하는 서비스는 잘 알려진 보안 취약점을 점검·개선하는 것도 중요하지만, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리잡는 계기가 되기를 바란다"고 밝혔습니다.

하지만 카카오는 입장 자료를 통해 개보위의 설명을 반박했습니다.

회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보로 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다고 설명했습니다.

또, 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없다고 주장했습니다.

아울러 해커가 결합해 사용한 '다른 정보'도 카카오에서 유출된 것이 아니라 해커가 불법적인 방법을 통해 자체 수집한 것이기에 카카오의 위법성을 판단할 때 고려되어서는 안 된다고 설명했습니다.

카카오는 법령 위반으로 보기 어렵다고 판단했음에도 불구하고, 지난해 상황을 인지한 즉시 경찰 고발과 관계기관 신고는 물론 이용자 대상 주의 환기 등 조치를 취했다면서, 개보위 조치에 대해 행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토하겠다고 밝혔습니다.

[사진 출처 : 연합뉴스]