디지털타임스

 


`개인정보 유출` 카카오, 역대 최대 과징금 151억

프린트 페이스북 트위터 카카오스토리
개보위, 통지 의무 위반 판단
"일련번호 암호화 대상 아냐"
지난해 발생한 '오픈채팅방 개인정보 유출'과 관련해 카카오에 151억원의 과징금이 부과됐다. 개인정보보호법 위반을 이유로 국내 기업에 부과된 과징금 중 역대 최대 규모다. 이에 대해 카카오는 자체 파악한 사실과 다른 점이 있다며 행정소송을 포함한 적극적인 대응을 검토하겠다고 밝혔다.

개인정보보호위원회는 22일 전체회의를 열고 카카오에 대해 총 151억4196만원의 과징금과 780만원의 과태료 및 시정명령을 결정했다고 23일 밝혔다.

앞서 작년 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 사실이 불거지면서 개보위는 관련 조사를 해 왔다. 카카오톡 오픈채팅방은 폐쇄된 개인간 대화가 아니라 누구나 참여할 수 있도록 공개된 채팅방으로 익명성이 보장되는데, 일부 기업이 오픈채팅방 참여자의 개인정보를 추출해 판매한다며 광고했다.

조사 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 알아낸 것으로 나타났다. 이후 정보를 '회원일련번호'를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 조사됐다. 개보위는 카카오가 안전조치 의무, 유출 신고·통지 의무 등을 위반한 것으로 판단했다. 익명채팅을 표방하며 오픈채팅을 운영하면서, 일반채팅에서 사용되던 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용한 것으로 나타났다. 이후 2020년 8월부터 암호화했지만 기존에 개설됐던 일부 오픈채팅방은 암호화되지 않았다. 해당 오픈방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제하고 응답하는 취약점도 확인됐다. 해커는 이를 이용해 암호화 여부와 관계 없이 모든 임시ID와 회원일련번호를 알아냈다.

카카오는 개발자 커뮤니티 등에 카카오톡 응용프로그램인터페이스(API) 등을 이용한 각종 악성 행위 방법이 이미 공개됐음에도, 이를 통한 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 안 한 것으로 확인됐다. 작년 3월 언론보도와 개보위 조사과정에서 이용자 정보 유출 사실을 인지하고도 유출 신고와 이용자 대상 유출 통지를 하지 않았다.

이와 관련해 카카오는 "임시 ID는 온라인과 모바일 서비스 제공 시 반드시 필요한 정보이고 숫자로 구성된 문자열인 만큼 어떠한 개인정보도 포함하지 않아 개인 식별이 불가능하다"고 해명했다. 이어 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없다"면서 "해커가 결합해 사용한 '다른 정보'는 당사에서 유출된 것이 아니며 해커가 불법적인 방법을 통해 자체 수집한 것"이라고 밝혔다.

아울러 카카오가 일정 시기 이후부터 임시ID를 암호화하면서 기존 일부 오픈방에는 이를 적용하지 않았다는 개보위 설명에 대해서도 "오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영 및 관리했으며 2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용한 것"이라고 해명했다.

카카오는 해커가 오픈채팅의 암호화 여부와 상관없이 임시ID와 회원일련번호를 알아낼 수 있었고 다른 정보와 결합해서 판매한 것에 대해 "해커가 알아낸 다른 정보는 당사에서 유출한 것이 아니라 해커가 불법적인 방법을 통해 자체 수집한 것"이라며 "당사 위법성 판단에 고려돼서는 안 된다"고 주장했다. 개인정보 유출 신고와 통지 의무 등을 지키기 않았다는 개보위의 해석에 대해서는 "해당 건을 개인정보보호법 위반으로 보기 어렵다고 판단했음에도 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 KISA와 과학기술정보통신부에도 신고를 했다"고 설명했다.



김영욱기자

wook95@dt.co.kr

`개인정보 유출` 카카오, 역대 최대 과징금 151억
개인정보위 제공




[ 저작권자 ⓒ디지털타임스, 무단 전재 및 재배포 금지 ]