카카오톡 오픈채팅방 개인정보 유출로 논란을 빚은 카카오에 과징금 151억원이 부과됐다. 국내 기업 중에서는 가장 높은 수준이다.

개인정보보호위원회(개인정보위)는 22일 전체 회의를 열고 카카오에 대해 총 151억4196만원의 과징금과 780만원의 과태료를 부과, 시정명령과 처분 결과를 공표하기로 의결했다.

유출 규모는 정확히 알려지지 않았다. 다만 로그 분석 결과 최소 6만5719건의 개인정보가 유출된 것으로 추정된다. 이용자의 이름, 전화번호, 이용한 오픈채팅방 등이다. 스팸문자를 발송 받는 등 2차 피해를 입은 사례가 있는 것으로 알려졌다.

지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 보도가 나왔다. 이에 개인정보위는 개인정보보호법 위반 여부 조사에 착수했다. 조사 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅 참여 이용자 정보를 알아냈다. 이후 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 확보, 이들 정보를 ‘회원일련번호’ 기준으로 결합해 개인정보 파일을 생성해 판매했다.

개인정보위에 따르면 카카오는 개인정보 안전조치의무를 위반했다. 일반채팅과 오픈채팅을 이용하는 이용자를 동일한 회원일련번호로 식별할 수 있게 이용자 식별체계를 설계·구현했다. 지난 2020년 8월 이전에 생성된 오픈채팅방은 참여자의 임시 ID를 암호화하지 않았다. 이후에 생성된 오픈채팅방 참여자라도 오픈채팅 게시판의 취약점을 이용, 암호화된 임시 ID도 쉽게 회원일련번호를 확인할 수 있었다. 해커는 이러한 허점을 이용해 해킹프로그램을 통해 개인정보를 결합, 확보했다. 사실상 모든 오픈채팅방 이용자가 개인정보유출 대상이 될 수 있었던 것이다.

개인정보위는 “카카오는 설계·운영 과정에서 회원일련번호와 임시ID 연계에 따른 익명성 훼손 가능성 검토 및 개선, 보안 취약점 점검 및 개선 등의 조치를 소홀히 했다”며 “또한 개발자 커뮤니티 등에서 해킹프로그램으로 이용자 정보 추출 등이 가능하다고 공개·지적됐음에도 이를 검토·개선하지 않았다”고 밝혔다.

이와 함께 개인정보위는 카카오가 유출 신고와 통지 의무도 위반했다고 봤다. 언론을 통해 개인정보 유출 사실을 인지했음에도 이를 유출 신고를 하지 않았고, 이용자 대상 유출 통지도 없었다는 것이다.

반면 카카오는 이번 사건이 개인정보보호법 위반에 해당하지 않는다는 입장이다. 해커가 이용한 임시 ID와 회원일련번호 모두 개인식별이 불가능해 개인정보가 아니라는 판단에서다. 또한 해커의 독자적인 불법행위를 카카오의 과실로 판단해서는 안 된다고 강조했다.

카카오는 “회원일련번호와 임시 ID는 모든 온라인 및 모바일 서비스 제공을 위해 필요한 정보다. 숫자로 구성된 문자열로 어떠한 개인정보도 포함하고 있지 않다. 개인 식별도 불가능하다”며 “특히 일련번호는 관련법상 암호화 대상이 아니기에 암호화하지 않은 것은 법령 위반이 아니다”라고 해명했다.

유출 신고와 이용자 대상 유출 통지를 하지 않았다는 지적에 대해서도 “해당 건을 개인정보보호법 위반으로 보기 어렵다고 판단했음에도 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 KISA와 과학기술정보통신부에도 신고했다. 지난해 3월13일에 전체 이용자 대상으로 주의를 환기하는 서비스 공지를 카카오톡에 공지한 바 있다”고 반박했다.

카카오는 향후 행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정이다.

이소연 기자 soyeon@kukinews.com 기사모아보기