"최소 6만5000명 정보 유출" 카카오에 151억원 과징금(종합)

개인정보위, 오픈채팅 개인정보 유출 카카오에 '역대 최대' 과징금
안전조치의무, 유출 신고·통지 의무 위반 판단
개인정보위 "보안 취약점에 대한 점검·개선 조치 소홀 확인"
카카오 즉각 반박 "행정소송 포함 다양한 조치 적극 검토"

입력 : 2024-05-23 오후 1:42:37
[뉴스토마토 배덕훈 기자] 지난해 발생한 카카오톡 오픈채팅 이용자 개인정보 유출사고와 관련해 개인정보보호위원회가 카카오(035720)에 과징금 151억원이라는 무거운 제재를 가했습니다. 카카오는 개인정보위의 조사결과를 반박하며 행정소송을 포함한 다양한 조치를 적극 검토한다는 입장입니다.
 
개인정보위는 22일 열린 전체회의에서 개인정보보호 법규를 위반한 카카오에 대해 총 1514196만원의 과징금과 780만원의 과태료를 부과하고 시정명령과 처분결과를 공표하기로 의결했다고 23일 밝혔습니다. 지난 9221만명의 개인정보 유출 사고로 75억원의 과징금이 부과된 골프존보다 2배 이상 많은 규모로, 역대 최대과징금입니다.
 
카카오톡 (사진=뉴스토마토)
 
개인정보위는 앞서 지난해 3월 카카오가 운영하는 플랫폼 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론 보도에 따라 개인정보보호법 위반 여부 조사를 시작했습니다. 당시 언론 보도에 따르면 한 인터넷 사이트에서는 오픈채팅방 이용자의 정보를 판매한다는 광고 글이 잇따라 올라온 것으로 알려졌습니다.
 
개인정보위의 조사 결과 해커는 취약점을 이용해 오픈채팅방 참여자 정보를 알아냈고 카카오톡 친구 추가 기능 등을 이용해 일반채팅 이용자 정보를 확보한 것으로 나타났습니다. 해커는 이들 정보를 회원 일련번호를 기준으로 결합해 개인정보 파일을 생성·판매한 것으로 확인됐습니다. 회원 일련번호는 카카오의 내부 서비스 이용을 목적으로 만들어진 정보입니다. 쉽게 설명해 사원증 혹은 출입증 번호와 유사한 개념입니다.
 
이와 관련 남석 개인정보위 조사조정국장은 이날 브리핑을 통해 정확한 유출 규모는 조사 중이라면서 특정 사이트에 카카오톡 오픈채팅방 이용자 약 696명의 정보가 올라와 있는 것을 확인했고, 로그 분석 등을 통해 해커가 최소 65719건을 조회한 것을 확인했다라고 설명했습니다. 66000명 이상의 개인정보가 유출된 셈입니다. 이렇게 유출된 개인정보를 통해 스팸 문자 발송 등 2차 피해도 발생한 것으로 알려졌습니다.
 
카카오톡 개인정보 유출 과정 (그래픽=개인정보위)
 
 
개인정보위에 따르면 카카오는 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원 일련번호와 오픈채팅방 정보를 연결한 임시 ID를 만들어 암호화 없이 사용했습니다. 지난 20208월부터는 오픈채팅방 임시 ID를 암호화했지만 게시판 취약점을 이용해 일련 번호가 식별될 수 있었습니다. 특히 카카오톡 전송 방식을 분석한 해킹 프로그램을 통해 카카오톡 이용자 정보 추출이 가능하다고 개발자 커뮤니티 등을 통해 지적돼 왔지만, 카카오가 유출 등의 피해 가능성에 대한 검토와 개선 등의 조치를 소홀히 했다고 개인정보위는 판단했습니다.
 
남 국장은 카카오는 설계·운영 과정에서 회원 일련번호와 임시 ID 연계에 따른 익명성 훼손 가능성에 대한 검토 및 개선과 보안 취약점에 대한 점검·개선 등의 조치를 소홀히 한 것으로 확인됐다라고 밝혔습니다.
 
아울러 개인정보위는 카카오가 유출 신고와 이용자 대상 통지를 하지 않은 보호법 위반 사항이 있다고도 봤는데요. 이에 안전조치의무 위반으로 과징금을, 안전조치의무와 유출 신고·통지의무 위반으로 과태료를 각각 부과하기로 결정했습니다. 또 카카오에 이용자 대상 유출 통지를 할 것을 시정명령하고, 개인정보위 홈페이지에 처분 결과를 공표하기로 했습니다.
 
카카오 사옥 전경 (사진=뉴스토마토)
 
 
이와 관련 카카오는 이날 입장문을 내고 개인정보위의 조사결과를 조목조목 반박했는데요. 카카오는 회원 일련번호와 임시 ID는 숫자로 구성된 문자열로서 그 자체로는 어떠한 개인정보도 포함하고 있지 않아 사업자가 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것이라며 해커가 결합해 사용한 다른 정보는 당사에서 유출된 것이 아니고 불법적인 방법을 통해 자체 수집한 것으로 위법성을 판단할 때 고려돼서는 안 된다라고 맞섰습니다.
 
또한 당사는 해당 건을 개인정보보호법 위반으로 보기 어렵다고 판단했음에도 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 KISA와 과학기술정보통신부에도 신고를 했다라며 전체 이용자 대상으로도 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재한 바 있다라고 밝혔습니다. 그러면서 당사의 입장이 이상과 같은 만큼 행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정이라고 강조했습니다.
 
배덕훈 기자 paladin703@etomato.com
 
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지
배덕훈 기자
SNS 계정 : 메일