최근 이틀 연속 '카카오톡' 먹통 사태로 곤욕을 치른 카카오가 이번엔 오픈채팅방 개인정보 유출 사태로 개인정보보호위원회로부터 철퇴를 맞았다. 이용자 정보에 대한 점검과 보호 조치 등을 소홀히 해 약 6만5천 건의 개인정보를 유출한 것으로 드러나면서 국내업체 중 역대 최대 과징금을 물게 됐다.
개인정보위는 지난 22일 '제9회 전체회의'를 열고 개인정보보호 법규를 위반한 카카오에 대해 총 151억4천196만원의 과징금과 780만원의 과태료를 부과하고 시정명령과 처분결과를 공표하기로 의결했다고 23일 밝혔다.
카카오에 부과된 과징금은 이제까지 역대 최대 과징금이었던 골프존의 75억여원보다 두 배 이상 많은 금액이다.
개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사했다. 그 결과 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 알아냈다. 이 정보들을 '회원일련번호'를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인됐다.
개인정보위가 확인한 카카오의 위반 사실은 ▲안전조치의무 위반 ▲유출 신고·통지 의무 위반 등 크게 두 가지다.
먼저 카카오는 익명채팅을 표방하며 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용했다.
하지만 이에 대해 카카오는 크게 반발했다. 카카오는 "회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보"라며 "이는 숫자로 구성된 문자열로, 그 자체로는 어떠한 개인정보도 포함하고 있지 않고 이것으로 개인 식별이 불가능하다"고 설명했다. 이어 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 항변했다.
개인정보위는 지난 2020년 8월부터 카카오가 오픈채팅방 임시ID를 암호화했으나, 기존에 개설됐던 일부 오픈채팅방에서 암호화가 되지 않은 임시ID가 그대로 사용됐다는 점도 파악했다. 또 이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인했다.
또 해커는 이러한 취약점 등을 이용해 암호화 여부와 상관없이 모든 오픈채팅방의 임시ID와 회원일련번호를 알아낼 수 있었고 회원일련번호로 다른 정보와 결합해서 판매한 것으로 드러났다.
개인정보위 관계자는 "개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성행위 방법이 이미 공개돼 있었는데도 카카오는 이를 통한 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았다"며 "관련 사실은 확인됐다"고 말했다.
그러나 카카오는 개인정보위의 주장은 사실과 다소 다르다고 강조했다. 카카오는 "임시 ID는 숫자로 구성된 문자열이자 난수로서 여기에는 어떠한 개인정보도 포함돼 있지 않고 그 자체로는 개인 식별이 불가능해 개인정보라고 판단할 수 없다"며 "그럼에도 불구하고 자사 오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영 및 관리했고, 이에 더해 2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용한 바 있다"고 피력했다.
그러면서 "개인정보위가 언급한 '해커가 결합해 사용한 '다른 정보'란 자사에서 유출된 것이 아니다"며 "이는 해커가 불법적인 방법을 통해 자체 수집한 것으로, 자사의 위법성을 판단할 때 고려돼서는 안 된다고 생각한다"고 덧붙였다.
하지만 개인정보위는 카카오가 2023년 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반했다고도 봤다.
이에 개인정보위는 이용자 개인정보가 유출된 카카오에 대해 안전조치의무 위반으로 과징금을 부과하고, 안전조치의무와 유출 신고·통지의무 위반에 대해 과태료를 부과하기로 결정했다. 또 카카오에 이용자 대상 유출 통지를 할 것을 시정명령하는 동시에 개인정보위 홈페이지에 처분 결과를 공표하기로 결정했다.
개인정보위 관계자는 "이번 처분으로 카카오톡 같이 대다수 국민이 이용하는 서비스는 잘 알려진 보안 취약점을 점검‧개선하는 것도 중요하지만, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리잡는 계기가 되기를 바란다"고 밝혔다.
하지만 카카오는 이를 납득할 수 없다는 입장이다. 이번 사건을 인지한 즉시 선제적 신고를 하고 수사에도 적극 협조했음에도 개인정보위가 이 같은 결정을 내려 향후 행정소송을 포함해 다양한 조치 및 대응을 두고 적극 검토할 것임을 강조했다.
카카오 관계자는 "개인정보보호법 위반으로 보기 어렵다고 판단했음에도 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 KISA와 과학기술정보통신부에도 신고를 했다"며 "경찰 조사에 적극적으로 협조하고 관계 기관에도 소명을 진행해 왔고, 지난해 3월 13일에는 전체 이용자 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재한 바 있다"고 반박했다.
그러면서 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정"이라며 "앞으로도 이용자들이 안전하게 카카오톡을 이용할 수 있도록 최선을 다할 것"이라고 덧붙였다.