카카오, 6만건 개인정보 유출로 과징금 151억 철퇴...역대 최대

카톡 오픈채팅 이용자 정보 유출사고
이용자 정보 암호화 조치 없어
피해자 대상 개인유출통지조차 미흡
안전조치의무 위반, 유출 신고·통지 의무도 위반

[포인트경제] 카카오가 개인정보 유출과 관련해 국내 업체 중 역대 최대 규모의 과징금 및 과태료를 개인정보보호위원회로부터 부과 처분 받았다.

ⓒ카카오 (포인트경제)

개인정보위는 제9회 전체회의를 22일 열고 개인정보 보호법을 위반한 카카오에 대해 총 151억 4196만 원의 과징금과 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결했다고 23일 밝혔다.

지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 사실을 인지하고 개인정보 보호법 위반 여부를 조사한 개인정보위는 조사 결과 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했고, 카카오톡의 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보했다고 밝혔다.

이들 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성·판매한 것으로 확인됐다. 개인정보위는 “유출 규모는 현재 경찰 조사 중이나 약 700명의 개인정보가 특정 사이트에 올라왔다”며 “한 달 동안의 로그 분석을 봤을 때 개인정보 유출 건수는 6만 5000여 건으로 추정한다”고 말했다.

카카오, 안전조치의무 위반

카카오는 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시 ID를 만들어 암호화 없이 그대로 사용했다.

지난 2020년 8월부터는 오픈채팅방 임시 ID를 암호화했지만 기존에 개설됐던 일부 오픈채팅방은 암호화가 되지 않은 임시 ID가 그대로 사용됐고, 이 오픈채팅방에서 암호화된 임시 ID로 게시글을 작성하면 암호화를 해제한 평문 임시 ID로 응답하는 취약점도 확인됐다. 이러한 취약점 등을 이용해 해커는 암호화 여부와 상관없이 모든 오픈채팅방의 임시 ID와 회원일련번호를 알아낼 수 있었고, 회원일련번호로 다른 정보와 결합해서 판매했다는 것이다.

개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성행위 방법이 이미 공개되어 있었는데도 카카오는 이를 통한 개인정보 유출가능성 등에 대한 점검과 조치를 제대로 하지 않았던 사실도 개인정보위 조사 결과 확인됐다.

카카오 오픈채팅 안내 갈무리 (포인트경제)

유출 신고·통지 의무도 위반

지난해 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 카카오가 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않았다.

개인정보위는 이용자 개인정보가 유출된 카카오에 대해 안전조치의무 위반으로 과징금을 부과하고, 안전조치의무와 유출 신고·통지의무 위반에 대해 과태료를 부과하기로 결정했다. 또 카카오에 이용자 대상 유출 통지를 할 것을 시정명령하고, 개인정보위 홈페이지에 처분 결과를 공표하기로 했다.

개인정보위는 “이번 처분으로 카카오톡 같이 대다수 국민이 이용하는 서비스는 잘 알려진 보안 취약점을 점검·개선하는 것도 중요하지만, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리 잡는 계기가 되기를 바란다”고 밝혔다.

고학수 개인정보보호위원장 /사진=뉴시스 (포인트경제)

카카오는 이번 개인정보위의 결정에 대해 ‘개인정보 유출이 아니다’고 반박하고 있다. 온라인·모바일 서비스 제공을 위해 필수적인 회원일련번호와 임시 ID는 관련법상 암호화 대상이 아니기 때문에 개인정보 보호법 위반으로 보기 어렵고, 해커의 독자적 불법 행위까지 카카오 과실로 판단한 부분도 과도하다는 것이다.

오픈채팅 서비스 개시 당시부터 임시 ID를 난독화해 운영·관리했고, 사건 인지 후 경찰에 선제적으로 고발하는 등 수사에 적극적으로 협조해 이번 과징금은 부당하다는 주장이다.

이날 카카오는 입장문을 통해 “해당 사건에 대해 개인정보위에 적극적으로 소명했으나 이 같은 결과가 나오게 돼 매우 아쉽다. 행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정”이라고 밝혔다.