'개인정보 유출' 카카오 과징금 151억 '철퇴'…국내 기업 역대 최대
안전조치의무 위반·유출 신고 통지 의무 위반…780만원 과태료도
카카오 측 "적극 소명했으나 아쉬워…행정소송 등 대응 적극 검토"
- 이기림 기자
(서울=뉴스1) 이기림 기자 = 카카오톡 오픈채팅방 이용자의 개인 정보 유출 사고를 일으킨 ㈜카카오가 개인정보보호 법률 위반으로 151억 원의 과징금을 부과받았다.
개인정보보호위원회는 지난 22일 제9회 전체회의를 열고 카카오에 대해 총 151억 4196만 원의 과징금과 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결했다고 23일 밝혔다.
이는 개보위가 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사한 결과에 따른 것이다.
개보위 조사 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 알아냈다. 해커는 이들 정보를 '회원일련번호' 기준으로 결합해 개인정보 파일을 생성하고 판매한 것으로 확인됐다.
카카오가 위반한 개인정보 보호법 사항은 안전조치의무와 유출 신고·통지 의무 위반이다.
우선 카카오는 익명채팅을 표방하며 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화없이 그대로 사용했다.
2020년 8월부터는 오픈채팅방 임시ID를 암호화했지만, 기존에 개설됐던 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐다.
이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다.
해커는 이런 취약점 등을 이용해 암호화 여부와 상관없이 모든 오픈채팅방의 임시ID와 회원일련번호를 알아낼 수 있었고, 회원일련번호로 다른 정보와 결합해서 판매했다.
개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성행위 방법이 이미 공개돼 있었는데도, 카카오는 이를 통한 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았던 사실도 드러났다.
또한 카카오는 2023년 3월 언론보도 및 개보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반했다.
개보위는 이용자 개인정보가 유출된 카카오에 대해 안전조치의무 위반으로 과징금을 부과하고, 안전조치의무와 유출 신고·통지의무 위반에 대해 과태료를 부과하기로 결정했다.
아울러 카카오에 이용자 대상 유출 통지를 할 것을 시정명령하는 동시에, 개인정보위 홈페이지에 처분 결과를 공표하기로 결정했다.
해당 유출 사고는 현재 경찰 조사 중인데, 개보위는 유출 규모로 특정 사이트에 카카오톡 오픈채팅방 이용자 696명 정보가 올라온 것을 포함해 로그 분석 등을 통해 해커가 약 6만5719건을 조회한 것을 확인했다.
개보위 관계자는 "카카오 측에서 개인정보 유출로 보기 어렵다고 설명했지만, 익명 서비스를 이용하면서 오픈채팅방에서 휴대전화 번호까지 다 알 수 있게 된다는 것은 프라이버시 측면에서 심각한 문제가 있기 때문에 개인정보 유출이 아니라고 보기 어렵다고 판단했다"고 말했다.
카카오의 이번 과징금 부과는 개정 전 개인정보 보호법 기준이 적용되면서 과징금 상한액이 위반행위 관련 매출액 3% 이내에서 결정됐다.
카카오 측은 설명자료를 통해 "개보위에 적극적으로 소명했으나 이같은 결과가 나오게 돼 매우 아쉽다"며 "카카오는 행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정"이라고 밝혔다.
lgirim@news1.kr
Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용금지.