개보위, 개인정보 유출로 카카오에 '역대 최대' 151억 과징금 부과

오픈채팅방 통해 6만 5,000명 개인정보 유출
카카오는 "일련번호, 임시아이디는 개인정보 아냐"

개인정보위원회가 이용자 정보 점검과 보호를 소홀히 했다는 이유로 카카오에 대해 역대 개인정보보호법 관련 최대 과징금인 151억원을 부과했다. 기존 최대 기록이었던 골프존(75억원)의 2배 이상이 되는 과징금을 떠안은 카카오는 행정소송을 검토하겠다며 반발하고 나섰다.

개인정보보호위원회는 지난 22일 열린 제9회 전체회의에서 카카오가 약 6만5000명의 개인정보를 유출한 책임이 있다는 결론에 이르렀다고 23일 밝혔다.

지난해 3월 개보위는 공개 채팅방인 카카오톡 '오픈채팅' 이용자의 개인정보가 불법 거래되고 있다는 보도에 따라 개인정보보호법 위반 여부 조사에 착수했다. 당시 인터넷에는 카카오톡 오픈 채팅방 참여자의 실명과 전화번호 등 정보를 추출해준다는 업체의 광고 글이 잇달아 올라왔다.

개보위에 따르면 해커는 카카오톡 오픈 채팅방의 취약점을 이용해 이곳에 참여한 이용자 정보(임시ID)를 알아내고, 카카오톡의 '친구 추가' 기능 등을 통해 일반채팅 이용자 정보(회원일련번호)를 파악했다. 해커는 이를 기반으로 최소 6만5719명의 개인정보를 확인해 개인정보 파일로 가공한 뒤, 이를 텔레그램 등에 판매한 것으로 확인됐다. 회원일련번호는 카카오톡 내부에서만 관리를 목적으로 쓰이는 정보로, 주민등록번호나 사원증 번호처럼 개인에게 부여된 고유 번호와 유사한 개념이다.

개보위는 카카오가 임시 아이디를 완전히 암호화하지 않아 이번 유출이 발생했다고 보고 있다. 카카오는 지난 2020년 8월부터 오픈 채팅방 임시 아이디를 암호화하는 조처를 했으나, 기존에 개설된 일부 오픈 채팅방의 임시 아이디는 여전히 암호화가 되지 않은 채 사용됐다. 이러한 취약점을 파고든 해커는 암호화 여부와 상관없이 모든 오픈 채팅방의 임시아이디와 회원일련번호를 알아낼 수 있었던 것으로 전해졌다.

개보위는 카카오가 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 신고하지 않았을뿐더러, 이용자에게 이 사실을 알리지도 않았다는 점도 지적했다. 이를 기반으로 개보위는 카카오에 대해 안전조치의무 위반으로 과징금 151억4196만원을, 안전조치의무와 유출 신고·통지의무 위반으로 과태료 780만원을 부과했다. 또 카카오가 이용자에게 유출 통지를 할 것을 시정명령하고, 개인정보위 홈페이지에 이러한 처분 결과를 공표하기로 했다.

개인정보위는 "카카오톡처럼 대다수 국민이 이용하는 서비스는 보안 취약점을 개선하는 것만큼이나, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리 잡는 계기가 되기를 바란다"고 밝혔다.

한편 역대 최대 과징금을 떠안은 카카오는 이날 입장문을 내고 "회원일련번호와 임시 아이디는 그 자체로 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다"며 "사업자가 생성한 서비스 일련번호를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 반박했다.

이어 "전담 조직을 통해 외부 커뮤니티 및 사회관계망서비스(SNS) 등을 상시 모니터링하고 보안 이슈를 점검하고 있다"며 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정"이라고 강조했다.


전범진기자 forward@wowtv.co.kr