카카오, ‘오픈채팅 개인정보 유출’ 과징금 151억

[시사저널e=김용수 기자] 카카오가 개인정보 관리 소홀로 국내 업체 중 역대 최대 금액인 151억4196만원의 과징금과 과태료 780만원을 부과받았다. 카카오톡 익명 채팅방인 ‘오픈채팅’에서 약 6만5000건의 이용자 개인정보가 유출된 데 따른 것이다. 카카오는 개인정보위의 조사 결과가 사실과 다르다며 행정소송에 나설 계획이다.

23일 개인정보위는 전날 제9회 전체회의를 열고 개인정보보호법을 위반한 카카오에 대해 총 151억4196만원의 과징금과 780만원의 과태료를 부과하고, 시정명령과 처분 결과를 공표하기로 의결했다고 밝혔다.

과징금은 골프존(약 75억원)의 2배가 넘는 규모로, 국내 기업 중 최고액이다. 글로벌 기업까지 포함하면 구글(692억원), 메타(308억원)에 이어 세 번째로 큰 규모다.

앞서 개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있단 언론보도에 따라 개인정보보호법 위반 여부를 조사했다.

개인정보위 조사 결과에 따르면 카카오는 안전조치의무와 유출 신고·통지의무를 위반했다. 카카오는 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순 연결한 임시 ID를 만들어 암호화 없이 그대로 사용했다.

남석 개인정보위 조사조정국장은 “임시 ID가 회원일련번호 앞에 일부 숫자를 붙여놓은 형태여서 임시 ID를 알면 카카오톡 회원일련번호를 쉽게 알 수 있었다”며 “해커는 휴대폰 번호로 친구 추가한 뒤 불법 프로그램으로 회원일련번호와 프로필명, 휴대폰 번호를 대량 추출해 양쪽 정보를 결합했다”고 설명했다.

카카오는 2020년 8월부터 오픈채팅방 임시 ID를 암호화했지만, 기존 개설했던 일부 오픈채팅방은 암호화가 되지 않은 임시 ID를 그대로 사용했다. 이 오픈채팅방에서 암호화된 임시 ID로 게시글을 작성하면 암호화를 해제한 평문 임시 ID로 응답하는 취약점도 확인했단 게 개인정보위의 설명이다.

카카오는 개인정보위의 결정에 조목조목 반박하고 나섰다. 카카오 관계자는 “회원일련번호와 임시 ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보”라며 “이는 숫자로 구성된 문자열로, 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다”고 설명했다.

개인정보위가 임시 ID를 암호화 없이 그대로 사용하지 않았기 때문에 안전조치 의무 위반에 해당한다고 판단했지만, 사업자가 생성한 서비스 일련번호는 관련 법상 암호화 대상이 아니기 때문에 이를 법령 위반으로 볼 수 없단 것이다.

또 해커가 임시 ID와 회원일련번호를 다른 정보와 결합해 판매한 것에 대해선 “해커가 결합해 사용한 ‘다른 정보’란 당사에서 유출된 것이 아니다”라며 “이는 해커가 불법적인 방법을 통해 자체 수집한 것이다. 따라서 당사의 위법성을 판단할 때 고려되어선 안 된다”고 밝혔다.

아울러 “해당 건을 개인정보보호법 위반으로 보기 어렵다고 판단했음에도 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 한국인터넷진흥원(KISA)과 과학기술정보통신부에도 신고했다. 경찰 조사에 적극 협조하고 관계 기관에도 소명했다”며 “전담 조직을 통해 외부 커뮤니티 및 SNS 등을 상시 모니터링해 보안 이슈를 점검하고 진위 확인 시 적절한 조치를 취하는 등의 활동을 적극적으로 하고 있다”고 강조했다.

카카오는 향후 행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 방침이다.