뉴스 트렌드 생활정보 International edition 매체

'오픈채팅 개인정보 유출'에 역대 최대 과징금…카카오는 불복

입력 | 2024-05-28 18:57:00


개인정보보호위원회가 오픈채팅 이용자 개인정보 유출 사고가 일어난 카카오에 역대 최대 과징금 151억 원을 부과한 가운데, 카카오가 이에 불복하며 치열한 법적 공방을 예고했다.

앞서 지난 23일 개인정보보호위원회는 전날 열린 전체회의에서 개인정보보호법 위반으로 카카오에 과징금 151억 4196만 원, 과태료 780만 원을 부과하기로 의결했다고 밝혔다.

이는 이달 초 이용자와 임직원 개인정보 221만 건을 유출한 스크린골프 업체 골프존에 부과한 기존 역대 최대 규모 과징금 75억 400만 원의 두 배가 넘는 금액이다. 개인정보위는 관계자는 “과징금은 전체 매출액의 3% 범위 내에서 결정되므로 매출액이 훨씬 큰 카카오가 골프존보다 과징금도 큰 것”이라고 설명했다.

출처=셔터스톡


개인정보위는 오픈채팅 이용자 개인정보가 유출되어 텔레그램 등지에서 불법거래 되고 있다는 사실이 지난해 3월 언론보도로 알려진 후 조사에 착후했다.

조사 결과에 따르면 최소 6만 5000건의 오픈채팅 이용자 개인정보가 유출됐다. 해커는 오픈채팅의 보안 취약점을 악용한 것으로 전해졌다. 카카오톡은 회원일련번호라는 임의의 번호로 이용자를 식별하는데, 오픈채팅방에서는 회원일련번호가 포함된 임시ID를 통해 이용자를 식별한다.

개인정보위에 따르면 해커는 오픈채팅방의 보안 취약점을 통해 알아낸 임시ID로 오픈채팅방 이용자들의 회원일련번호를 획득했다. 원래라면 회원일련번호만으로는 해당 이용자의 개인정보를 알아낼 수 없지만, 해커들은 불법 프로그램으로 무작위 휴대전화번호를 대량으로 친구 추가해 이용자들 회원일련번호와 프로필, 휴대전화번호 등을 알아냈다.

이렇게 알아낸 정보들을 회원일련번호를 기준으로 대조하고, 결합해서 특정 오픈채팅방 이용자들의 이름, 휴대전화번호, 닉네임 등을 데이터베이스로 만들어 불법거래했다는 게 개인정보위의 설명이다.

불법으로 거래된 개인정보들은 이른바 ‘맞춤형 스팸’ 유포에 활용된 것으로 알려졌다. 이용자가 활동 중인 오픈채팅방이 해당 이용자의 관심사를 나타내기 때문이다. 가령 투자 관련 오픈채팅방에 활동 중인 이용자에게는 투자 관련 스팸을 보내는 식이다.

오픈채팅 개인정보 유출 과정 / 출처=개인정보보호위원회


개인정보위는 이처럼 회원일련번호와 오픈채팅방의 임시ID가 연계되어 있는 점이 오픈채팅의 익명성을 훼손하거나 개인정보를 노출할 가능성이 있음에도 그에 대한 카카오의 검토와 개선 조치가 소홀하다고 지적했다.

개인정보위는 개발자 커뮤니티를 통해 오픈채팅의 보안 취약점에 공개됐음에도 피해 가능성에 대한 카카오의 검토와 개선 조치가 미흡했다고도 꼬집었다. 실제 지난해 1월 카카오 개발자 커뮤니티 ‘카카오 데브톡’에는 카카오톡의 메시지 전송에 사용되는 ‘로코 프로토콜(LOCO Protocol)’의 보안 취약점을 악용한 위조 클라이언트로 개인정보 추출이 가능하다고 경고하는 글이 올라오기도 했다.

카카오는 이번 개인정보위 결정을 받아들일 수 없다며 행정소송을 포함한 조치 및 대응을 적극적으로 검토하겠다는 입장이다. 회원일련번호와 임시 ID 그 자체에는 어떠한 개인정보도 담기지 않은 단순 서비스 일련번호에 불과하다는 이유다. 카카오 측은 “임시 ID는 숫자로 구성된 문자열이자 난수로서 여기에는 어떠한 개인정보도 포함되어 있지 않고 그 자체로는 개인 식별이 불가능하여 개인정보라고 판단할 수 없다”고 주장했다.

카카오는 회원일련번호와 임시ID와 같은 서비스 일련번호는 관련법상 암호화 대상이 아님에도 이를 암호화하지 않은 것을 문제 삼는 것도 적절치 않다고 항변했다. 다만 카카오는 오픈채팅 서비스 개시 당시부터 임시 ID를 난독화해 운영 및 관리하였고, 2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용했다고도 덧붙였다.

카카오는 개인정보위에서 해커가 회원일련번호를 다른 정보와 결합해 판매한 것까지 문제 삼은 것도 억울하다는 입장이다. 카카오 측은 해커가 결합하여 사용한 ‘다른 정보’가 카카오에서 유출된 게 아니라 “해커가 불법적인 방법을 통해 자체 수집한 것”이라며 “당사의 위법성을 판단할 때 고려되어서는 안 된다”고 말했다.

IT동아 권택경 기자 tk@itdonga.com