카카오, 오픈채팅방 통한 개인정보 유출로 과징금 151억

개인정보보호위원회(개인정보위)가 개인정보 보호 위반으로 카카오에 과징금 151억원을 부과하기로 했다. 이에 카카오는 행정소송 등 법적 대응에 나선다.

개인정보위는 22일 제9회 전체회의를 열고 카카오에 대해 총 151억 4196만 원의 과징금과 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결했다고 23일 밝혔다.

개인정보위는 작년 3월 카카오톡 오픈채팅방 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 조사에 착수했다.

개인정보위에 따르면 카카오는 2020년 8월부터 오픈 채팅방 이용자의 임시 아이디를 암호화 했으나, 기존에 개설된 일부 오픈 채팅방의 임시 아이디는 여전히 암호화가 되지 않은 채 그대로 쓰였다. 해커는 암호화 되지 않은 임시 아이디 뒷자리 정보를 통해 회원일련번호를 쉽게 알아내 카카오톡의 ‘친구 추가’ 기능으로 일반채팅방에서 알아낸 이용자 정보를 결합해 개인정보 파일을 생성한 뒤, 이를 텔레그램 등을 통해 거래에 나섰다.

개인정보위는 카카오가 서비스 설계·운영 과정에서 ‘안전조치 의무’를 위반했다고 지적했다. 2020년 8월 이전 만들어진 오픈채팅방은 참여자의 임시 ID를 암호화하지 않아 회원일련번호를 쉽게 확인할 수 있었고, 오픈채팅방 공지 기능에서 편법으로 암호화된 ID의 일련번호 역시 확인할 수 있었다고 한다. 개인정보위는 또 카카오가 오픈채팅방 이용자의 개인정보가 유출된 사실을 인지하고도 신고와 이용자 통지를 하지 않아 ‘유출 신고·통지 의무’도 위반했다고 덧붙였다.

남석 개인정보위 조사조정국장은 “정확한 유출 규모는 경찰에서 조사 중”이라며 “특정 사이트에 카카오톡 오픈채팅방 이용자 696명의 정보가 올라와 있는 것을 확인했고, 해커가 최소 6만5719건의 (개인정보를) 조회한 것으로 확인했다”고 밝혔다.

카카오는 입장문을 내고 “회원일련번호와 임시 아이디는 그 자체로 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다”며 “사업자가 생성한 서비스 일련번호를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것”이라고 반박했다.

이어 “전담 조직을 통해 외부 커뮤니티 및 사회관계망서비스(SNS) 등을 상시 모니터링하고 보안 이슈를 점검하고 있다”며 “행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정”이라고 강조했다.