(더파워뉴스=유연수 기자) 이용자 개인정보 보호를 위한 안전 조치를 소홀히 해 약 6만5000건의 개인정보를 유출한 카카오가 국내업체 중 역대 최대 과징금인 151억여원을 물게 됐다.
이제까지 역대 최대 과징금이었던 골프존의 75억여원보다 두 배 이상 많은 금액이다.
23일 개인정보보호위원회(이하 개인정보위)는 지난 22일 전체회의를 열고, 개인정보보호 법규를 위반한 카카오에 대해 총 151억4196만원의 과징금과 780만원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결했다고 밝혔다.
개인정보위는 지난해 3월 카카오톡 오픈 채팅 이용자의 개인정보가 불법 거래되고 있다는 보도에 따라 개인정보보호법 위반 여부 조사에 착수했다.
오픈 채팅방은 익명으로 자유롭게 입장할 수 있는 공개된 채팅방이다. 당시 온라인 마케팅 프로그램을 거래하는 한 사이트에서는 카카오톡 오픈 채팅방 참여자의 실명과 전화번호 등 정보를 추출해준다는 업체의 광고 글이 잇달아 올라왔던 것으로 알려졌다.
조사 결과 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했고, 카카오톡의 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보했으며, 이들 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성했고 이를 텔레그램 등에 판매한 것으로 확인됐다.
이같이 판매된 개인정보는 스팸 발송 등에 쓰여 2차 피해로 이어졌다.
남석 개인정보위 조사조정국장은 “조사 중 직접 확인한 유출 정보는 특정 누리집에 올려져있던 오픈채팅방 이용자 696명의 것이었는데, 해당 업체의 로그기록을 분석해보니 이용자 정보 6만5719건을 조회한 사실이 확인됐다”며 “정확한 피해규모는 경찰이 조사 중”이라고 밝혔다.
개인정보위는 “카카오는 익명 대화방인 오픈채팅을 운영하면서 임시 아이디(ID)를 부여할 때 카카오톡 회원의 고유한 일련번호와 연계시켜 암호화 없이 사용했다”며 “임시 아이디를 회원 일련번호와 전혀 다르게 생성했거나 암호화했다면 문제가 일어나지 않았을 것”이라고 밝혔다.
이후 카카오는 지난 2020년 8월부터는 오픈채팅방 임시 아이디를 암호화했지만 기존에 개설됐던 일부 오픈채팅방은 암호화가 되지 않은 임시 아이디가 그대로 사용됐고, 이 오픈채팅방에서 암호화된 임시 아이디로 게시글을 작성하면 암호화를 해제한 평문 임시 아이디로 응답하는 취약점도 확인됐다.
결국 이런 취약성을 바탕으로 해커는 오픈채팅방 참여자 정보를 알아내고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 알아낸 것으로 드러났다.
개인정보위는 카카오가 안전조치의무를 위반했다고 판단했다.
개인정보위는 개발자 커뮤니티에서 카카오톡 API(응용프로그램 인터페이스)를 이용한 각종 악성 행위 방법이 공개됐음에도 카카오가 개인정보 유출 가능성에 대한 점검과 조치를 제대로 하지 않았다고 지적했다.
또한 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 카카오가 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않았다는 것이다.
이에 개인정보위는 카카오에 대해 안전조치의무 위반으로 과징금 151억4196만원을, 안전조치의무와 유출 신고·통지의무 위반으로 과태료 780만원을 부과했다.
아울러 카카오가 이용자에게 유출 통지를 할 것을 시정명령하고, 개인정보위 홈페이지에 이러한 처분 결과를 공표하기로 했다.
개인정보위는 “이번 처분으로 카카오톡 같이 대다수 국민이 이용하는 서비스는 잘 알려진 보안 취약점을 점검·개선하는 것도 중요하지만, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리잡는 계기가 되기를 바란다”고 밝혔다.
한편, 카카오는 이날 입장문을 내고 "회원일련번호와 임시 아이디는 그 자체로 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다"며 "사업자가 생성한 서비스 일련번호를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 반박했다.
이어 "전담 조직을 통해 외부 커뮤니티 및 사회관계망서비스(SNS) 등을 상시 모니터링하고 보안 이슈를 점검하고 있다"며 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정"이라고 강조했다.
