[이코노미스트 정두용 기자] 카카오가 개인정보보호위원회(개인정보위)로부터 국내업체 중 역대 최대 과징금인 151억4196만원을 부과받았다. 개인정보위는 카카오톡 오픈채팅(익명으로 입장할 수 있는 공개된 대화방) 관리 미흡으로 약 6만5000건의 개인정보가 유출된 점을 문제로 삼았다. 회사 측은 “행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정”이란 입장이다.

개인정보위는 카카오에 과징금 151억4196만원과 과태료 780만원을 부과하고 시정명령을 내렸다고 23일 밝혔다. 전일 열린 제9회 전체 회의 의결에 따라 이런 내용의 처분 결과가 공표됐다.

개인정보위 측은 “지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사했다”며 “해커는 오픈채팅방의 취약점을 이용해 참여자 정보를 획득했고, 카카오톡의 친구 추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보했다. 이들 정보를 ‘회원일련번호’를 기준으로 결합해 개인 정보 파일을 생성해 판매한 것으로 확인됐다”고 전했다.

카카오는 오픈채팅 서비스를 ‘익명 채팅’이라고 홍보했다. 오픈채팅방 ID와 회원 일련번호로 구성한 임시 계정을 통한 메시지 송수신이 이뤄졌기 때문이다. 그러나 일반채팅과 오픈채팅을 이용하는 이용자에 같은 회원 일련번호가 부여됐다. 특히 2020년 8월 이전에 생성된 오픈채팅방은 참여자 임시 ID의 암호화가 이뤄지지 않았다. 임시 계정을 통해 회원 일련번호를 확인할 수 있는 구조였던 셈이다.

카카오는 이에 대해 “회원 일련번호와 임시 ID는 메신저를 포함한 모든 온라인·모바일 서비스 제공을 위해 필요한 정보”라며 “숫자로 구성된 문자열로 그 자체로는 어떠한 개인정보도 포함하지 않아 개인 식별할 수 없다”고 해명했다. 이어 “​​사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것”이라고 반박했다.

“해킹 프로그램 대응 미흡” vs “해커 행위가 왜 우리 과실”

2020년 8월 이후엔 임시 계정에 대한 암호화가 이뤄졌지만, 취약점은 여전했다. 오픈채팅방 게시판에 암호화된 임시 ID를 입력하면 암호화가 해제됐기 때문이다. 평문으로 임시 ID가 노출되면서 회원 일련번호 확인이 가능했다.

개인정보위 측은 “카카오톡 서비스 설계·운영 과정에서 회원 일련번호와 임시 ID가 연계오픈채팅의팅의 익명성 훼손과 개인정보 노출될 가능성있었다”며”며 “카카오는 이에 대한 검토와 개선 조치를 소홀히 한 것”이라고 전했다. 이어 “오픈채팅방 게시판의 보안 취약점 점검과 개선소홀했다”고 지적했다.

카카오는 지난해 사고 발생 이후 모든 오픈채팅방 참여자의 임시 ID를 암호화했다. 그러나 개발자 온라인 커뮤니티 등에선 카카오톡 전송방식을 분석한 공개 응용프로그램 인터페이스(API)로 여전히 ‘이용자 정보 추출’이 가능하단 지적이 제기됐다. 회사는 그런데도 개인정보 유출 등 피해 가능성에 대한 검토와 개선 조치가 미흡했다는 게 개인정보위 판단이다.

카카오 측은 다만 “오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영 및 관리했다”며 “2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용한 바 있다”고 해명했다.

개인정보위는 카카오가 ▲오픈채팅 서비스 설계·구현 과정에서의 과실 ▲카카오톡 전송방식을 분석해서 만든 해킹 프로그램에 대한 대응조치 미흡 등의 사유로 개인정보 보호법의 안전조치 의무를 위반했다고 봤다.

개인정보위 측은 “회사는 지난해 3월 언론보도 및 개인정보위 조사 과정에서 카카오톡 오픈채팅방 이용자의 개인 정보가 유출되고 있다는 사실을 인지했다”며 “그런데도 유출 신고와 이용자 대상 유출 통지를 하지 않았고 이는 개인정보 보호법을 위반한 것”이라고 전했다. 개인정보위는 이에 따라 카카오에 시정 명령을 내리고 이용자를 대상으로 유출을 통지하라고 했다.

카카오 측은 이에 대해 “개인정보위에 적극적으로 소명했으나 이 같은 결과가 나오게 되어 매우 아쉽다”며 행정소송 등을 적극 검토한다는 입장이다. 또 “개인정보위가 지적한 ‘해커가 결합해 사용한 다른 정보’는 카카오에서 유출된 것이 아니다”라며 “해커가 불법적인 방법을 통해 자체 수집한 정보라 회사의 위법성을 판단할 때 고려돼선 안 된다고 본다”고 밝혔다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지