SBS Biz

[카카오 판교 사옥. (카카오 제공=연합뉴스)]

카카오톡 이용자들 6만 5천 명의 개인정보를 유출한 카카오가 역대급 과징금을 부과받습니다. 카카오는 이에 불복해 행정소송에 나서겠다고 밝혔습니다. 

개인정보보호위원회 어제(22일) 전체회의를 열고 개인정보보호 법규를 위반한 카카오에 대해 총 151억 4천196만 원의 과징금과 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결했다고 오늘(23일) 밝혔습니다. 

개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되자 개인정보 보호법 위반 여부를 조사했습니다. 

해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자의 임시ID를 알아내고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자의 이름, 휴대전화번호 등 개인정보를 알아낸 뒤 이를 파일로 생성, 판매했습니다. 

개인정보위는 카카오의 익명채팅인 오픈채팅을 운영시 임시ID에 대한 보호를 소홀히 했고 임시ID를 일반채팅에서 사용하는 회원일련번호의 큰 차이를 두지 않은 점을 지적했습니다. 

지난 2020년부터 카카오는 오픈채팅방 임시ID를 암호화했지만, 기존에 개설되었던 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용되면서 정보가 노출됐다고 덧붙였습니다. 

해커는 이러한 취약점 등을 이용해 암호화 여부와 상관없이 모든 오픈채팅방의 임시ID를 통해 회원일련번호를 알아냈고 이를 다른 정보와 결합해서 판매했다고 개인정보위는 설명했습니다. 구체적으로 해커가 전화번호를 통해 확인할 수 있는 회원일련번호를 대조해 이 같은 범죄를 저질렀습니다. 

가령, 특정한 주제의 오픈채팅방에 들어간 이용자의 정보를 토대로 스팸문자 메시지 발송과 스미싱·피싱 범죄 등 2차 피해가 발생했다고 개인정보위는 덧붙였습니다. 

한편, 개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성행위 방법이 이미 공개됐는데도, 카카오는 이를 통한 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았던 사실도 확인됐습니다. 

개인정보위는 카카오가 지난해 5월에는 오픈채팅방 회원일련번호를 모두 암호화하면서 해당 보안 조치가 마무리됐다고 설명했습니다. 

또, 카카오는 지난해 3월 유출 신고와 이용자 대상 유출 통지를 하지 않았다는 지적도 받습니다. 개인정보위는 이용자 개인정보가 유출된 카카오에 대해 안전조치의무 위반으로 과징금을 부과하고, 안전조치의무와 유출 신고·통지의무 위반에 대해 과태료를 부과하기로 결정했습니다. 

한편, 카카오는 이에 대해 행정소송을 포함한 대응을 예고했습니다. 

카카오는 "회원일련번호와 임시 ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보"라며 "숫자로 구성된 문자열로 어떠한 개인정보도 포함하고 있지 않다"라고 설명했습니다. 

이어 "해커가 불법적인 방법을 통해 개인정보를 수집했다"라고 설명했습니다. 카카오는 카카오톡을 통해 유출될 개인정보가 아니라 해커의 불법 프로그램을 통해 입수한 개인정보라고 덧붙였습니다. 

카카오에 부과된 과징금 151억 원 규모는 개인정보위가 출범한 이래로 국내 기업에 부과한 금액 중 역대 최대치입니다.