개인정보보호위원회가 카카오톡 이용자 최소 6만5000여 명의 개인정보가 유출된 사실을 파악하고 카카오에 역대 최대 규모인 151억 원의 과징금을 부과했다.
23일 개인정보위에 따르면 이름, 휴대전화번호 등 해커에게 유출된 카카오톡 이용자 개인정보는 시중에 판매된 것으로 확인됐다. 개인정보위는 카카오가 개인정보 관리감독을 소홀히 하고, 유출 통지 등의 의무를 다하지 않아 개인정보보호법을 위반한 것으로 판단하고 과징금 151억4196만 원과 과태료 780만 원을 부과하기로 결정했다. 카카오는 “받아들일 수 없다”며 행정소송 등 강경 대응 방침을 밝혔다.
● 유출된 개인정보, 스팸문자 발송 등에 사용
개인정보위는 전날 열린 전체회의에서 이 같은 내용을 의결했다고 밝혔다. 개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있는지 조사에 착수해 개인정보보호법 위반 여부를 들여다봤다. 조사 결과 해커가 카카오톡을 통해 최소 6만5719건의 개인정보를 조회했으며, 해커에게 유출된 개인정보는 텔레그렘에서 판매돼 스팸 문자메시지 발송 등에 활용된 것으로 파악됐다.
개인정보위에 따르면 해커는 카카오톡 오픈채팅방의 취약점을 이용해 이곳에 참여한 이용자의 정보(임시 아이디·ID)를 알아냈다. 임시 ID 뒷자리에는 주민등록번호처럼 개인에게 부여된 고유번호인 회원일련번호가 포함돼 있다. 해커는 카카오톡의 친구 추가 기능과 불법 해킹 프로그램 등을 활용해 두 정보를 결합했고, 이용자의 이름, 휴대전화번호 등 다섯 종류의 개인정보를 파악했다. 이러한 정보로 개인정보 파일을 생성해 불법 판매한 것이다.
개인정보위는 이 과정에서 카카오가 이용자의 임시 ID를 암호화하지 않았고, 회원일련번호와 임시 ID를 연계해 보안 취약점이 발생한 게 문제라고 보고 있다. 카카오는 2020년 8월부턴 오픈채팅방 임시 ID를 암호화했으나 기존에 개설된 오픈채팅방의 임시 ID는 암호화되지 않았다. 또, 온라인 커뮤니티 등에서 개발자들이 “해킹 프로그램으로 카카오톡 이용자의 정보 추출이 가능하다”고 지적해왔지만 카카오가 피해 가능성에 대한 검토와 개선 등을 소홀히 했다고 판단했다.
지난해 조사 과정에서 카카오톡 오픈채팅 이용자의 개인정보가 유출되고 있다는 사실을 카카오 측이 인지한 뒤에도 유출신고와 이용자 대상 통지를 하지 않아 개인정보보호법을 위반했다고 판단했다. 개인정보위는 이용자 대상으로 유출 사실을 통지하라고 시정명령을 내렸다.
● 카카오 “행정소송 등 법적 대응 적극 검토”
이에 대해 카카오는 자체 파악한 사실과 다른 점이 있다며 행정소송 등 법적 조치를 검토하겠다고 강경한 입장을 내놨다. 카카오는 개인정보위가 문제를 삼은 정보로는 개인식별이 불가능하다는 입장이다. 카카오는 입장문을 통해 “개인정보위에 적극적으로 소명했지만 과징금 처분이 나와 매우 아쉽다”며 “행정소송을 포함해 다양한 조치와 대응을 적극적으로 검토할 예정”이라고 밝혔다.
이어 “회원일련번호와 임시 ID는 메신저를 포함한 서비스 제공을 위해 반드시 필요한 정보로 개인 식별이 불가능하다”며 “사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니다”고 주장했다. 이에 대해 개인정보위 관계자는 “카카오 측의 입장을 충분히 들었지만 판단은 개인정보위가 하는 것”이라고 반박했다. 염흥렬 순천향대 정보보호학과 교수는 “임시 ID에 취약점이 있다는 사실을 알았다면 2차 공격의 빌미를 주지 않기 위한 대응이 필요했다”며 “이와 관련한 조치가 허술했을 가능성이 있다”고 설명했다.
이채완 기자 chaewani@donga.com 남혜정 기자 namduck2@donga.com
댓글 0