카카오 CI(카카오 제공) / 연합뉴스
이용자 정보 암호화를 소홀히 하는 등 개인정보 보호 조치를 소홀히 해 약 6만5천건의 개인정보를 유출한 카카오가 151억여원의 과징금을 물게 됐다. 이는 국내업체 가운데 역대 최대로, 기존에 가장 높았던 과징금인 골프존의 75억여원의 두 배 이상이다.
개인정보보호위원회는 지난 22일 제9회 전체회의에서 이같은 내용을 의결했다고 23일 밝혔다.
지난해 3월 개인정보위는 카카오톡 오픈채팅 이용자의 개인정보가 불법적으로 거래되고 있다는 보도에 따라 개인정보보호법 위반 여부 조사를 시작했다. 오픈 채팅방은 누구든 익명으로 자유롭게 들어갈 수 있는 공개된 채팅방이다.
당시 온라인 마케팅 프로그램을 파는 한 사이트에서 '카카오톡 오픈 채팅방 참여자의 실명과 전화번호 등 정보를 추출해준다'는 업체의 광고 글이 올라왔던 것으로 전해졌다.
개인정보위에 따르면 해커는 오픈 채팅방의 약점을 파악해 이곳에 접속한 이용자 정보(임시 ID)를 알아낸 뒤, 카카오톡의 '친구 추가' 기능 등을 이용해 일반채팅 이용자 정보(회원일련번호)까지 파악했다.
이들의 정보는 '회원일련번호'를 기준으로 결합되어 개인정보 파일로 만들어졌고, 이 자료가 텔레그램 등을 통해 판매된 것으로 확인됐다.
회원일련번호는 카카오톡 내부에서 관리를 위해 사용하는 정보다. 주민등록번호처럼 개인이 지닌 고유 번호 같은 것이다.
남석 개인정보위 조사조정국장은 "정확한 유출 규모는 경찰에서 조사 중"이라고 밝히면서 "특정 사이트에 카카오톡 오픈채팅방 이용자 696명의 정보가 올라와 있는 것을 확인했고, 해커가 최소 6만5천719건의 (개인정보를) 조회한 것으로 확인했다"고 말했다.
개인정보위는 카카오가 오픈채팅에서 참여자의 임시 아이디(ID)를 암호화하지 않아, 임시 아이디에서 회원일련번호를 쉽게 확인할 수 있었다는 점을 알아냈다. 2020년 8월부터 카카오는 오픈 채팅방 임시 아이디를 암호화하는 조처를 했지만, 기존에 개설된 일부 오픈 채팅방의 임시 아이디는 여전히 암호화가 되지 않은 채 사용된 것으로 나타났다.
개인정보위는 카카오가 개발자 커뮤니티에 카카오톡 API(응용프로그램 인터페이스)를 사용한 각종 악성 행위 방법이 공유됐음에도, 개인정보 유출 가능성에 대한 점검과 조치를 제대로 하지 않았다고 지적했다.
또 카카오는 카카오톡 오픈채팅방 사용자의 개인정보가 유출되고 있다는 사실을 알고 있었음에도 신고하지 않았고, 이용자에게 이 사실을 알리지도 않았다.
개인정보위는 이같은 이유로 카카오에 대해 안전조치의무 위반 과징금 151억4천196만원을, 안전조치의무와 유출 신고·통지의무 위반으로 과태료 780만원을 부과했다. 아울러 카카오가 이용자에게 유출 통지를 할 것을 시정명령하고, 개인정보위 홈페이지에 이러한 처분 결과를 공표하기로 했다.
카카오는 이날 "회원일련번호와 임시 아이디는 그 자체로 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다"며 "사업자가 생성한 서비스 일련번호를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 반박하는 입장문을 냈다.
이어 "전담 조직을 통해 외부 커뮤니티 및 사회관계망서비스(SNS) 등을 상시 모니터링하고 보안 이슈를 점검하고 있다"며 행정소송 등 적극적인 법적 조치를 검토할 예정이라고 밝혔다.
김주미 키즈맘 기자 mikim@kizmom.com