▲ 카카오 판교 사옥<사진=연합뉴스>

 

카카오가 개인정보를 유출 및 개인정보보호 조치 미흡 등의 이유로 개인정보보호위원회로부터 151억 원의 과징금 및 과태료 부과 처분을 받았다. 역대 최대 과징금인 골프존의 약 75억 원보다 두 배 이상 많은 금액이다.

 

개인정보보호위원회(개인정보위)는 22일 제9회 전체회의를 열고 개인정보 보호법을 위반한 ‘카카오’에 대해 총 151억4196만 원의 과징금과 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표하는 내용을 의결했다고 23일 밝혔다.

 

지난해 3월 개인정보위는 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 보도에 따라 개인정보 보호법 위반 여부를 조사했다.

개인정보위는 카카오가 안전조치의무를 위반했다고 판단했다.

조사결과 해커는 카카오의 오픈채팅방 취약점을 이용해 참여자 정보(임시ID)를 알아내고, 카카오톡의 ‘친구추가’ 기능 등을 이용해 일반채팅 이용자 정보를 알아냈다. 그리고 이 정보들을 ‘회원일련번호’ 기준으로 결합해 개인정보 파일을 생성·판매한 것으로 확인됐다.

회원일련번호는 카카오톡 내부에서만 관리를 목적으로 쓰이는 정보로, 주민등록번호나 사원증 번호처럼 개인에게 부여된 고유 번호와 유사한 개념이다.

 

카카오는 지난 2020년 8월부터는 오픈채팅방 임시ID를 암호화했지만 기존에 개설됐던 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐고, 이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다. 

 

특히 개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성행위 방법이 이미 공개되어 있었는데도 카카오는 이를 통한 개인정보 유출가능성 등에 대한 점검과 조치를 제대로 하지 않았던 사실도 개인정보위 조사 결과 확인됐다.

개인정보위는 “유출 규모는 현재 경찰 조사 중이나 약 700명의 개인정보가 특정 사이트에 올라왔다”며 “한 달동안의 로그 분석을 봤을 때 개인정보 유출 건수는 6만5000여건으로 추정한다”고 설명했다.

아울러 개인정보위는 카카오가 유출 신고·통지 의무도 위반했다고 봤다.

카카오는 지난 3월 개인정보위 조사를 통해 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않았다.

개인정보위는 “카카오톡처럼 대다수 국민이 이용하는 서비스는 보안 취약점을 개선하는 것만큼이나, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리 잡는 계기가 되기를 바란다”고 밝혔다.

카카오는 이날 입장문을 내고 “회원일련번호와 임시 아이디는 그 자체로 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다”며 “사업자가 생성한 서비스 일련번호를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것”이라고 반박했다.

이어 “전담 조직을 통해 외부 커뮤니티 및 사회관계망서비스(SNS) 등을 상시 모니터링하고 보안 이슈를 점검하고 있다”며 “행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정”이라고 강조했다.

 

토요경제 / 최영준 기자 cyj@sateconomy.co.kr 

[ⓒ 토요경제. 무단전재-재배포 금지]