151억4196만원… ‘개인정보 유출’ 카카오에 역대최대 과징금 폭탄

■ 개인정보위, 과태료 등 부과
작년 오픈채팅 정보유출 조사
해킹 취약·조치 미비 드러나
개인정보 파일 판매도 확인
최대 6만5000명 피해 추정
카카오 “행정소송” 강력 반발

개인정보보호위원회가 카카오의 개인정보 유출 건에 대해 151억 원에 달하는 과징금을 부과키로 했다. 해당 위원회가 국내 업체에 부과한 과징금으로는 역대 최고액이다. 카카오는 즉각 강력 반발하며 행정소송 방침을 시사했다.

개인정보위는 22일 제9회 전체회의를 열고 개인정보보호 법규를 위반한 카카오에 과징금 151억4196만 원과 과태료 780만 원을 부과하고 시정 및 결과 공표 명령을 의결했다고 23일 밝혔다.

이번 제재는 지난해 3월 ‘오픈 채팅’ 이용자의 개인정보 유출 및 불법 거래에 관해 내려졌다. 개인정보위 조사 결과 해커는 카카오톡 오픈 채팅방의 취약점과 카카오톡 ‘친구추가’ 기능 등을 이용해 오픈 채팅방 참여자 정보와 일반채팅 이용자 정보를 알아낸 것으로 드러났다. 해커는 이렇게 알아낸 정보를 ‘회원 일련번호’를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인됐다.

개인정보위에 따르면 카카오는 익명 채팅인 오픈 채팅을 운영하는 과정에서 별도의 암호화 없이 일반채팅의 회원 일련번호와 오픈 채팅방 정보를 단순 연결한 임시 ID를 사용했다. 카카오는 2020년 8월부터 임시 ID를 암호화했으나 기존에 개설된 일부 오픈 채팅방은 암호화되지 않은 임시 ID가 그대로 사용돼 해커가 이를 이용할 수 있었던 것으로 드러났다. 또 카카오톡의 이런 취약점 등과 각종 악성 행위 방법이 개발자 커뮤니티 등에 이미 공개돼 있었음에도 카카오는 이와 관련한 개인정보 유출 가능성 등에 대한 점검·조치를 제대로 하지 않았던 사실까지 밝혀졌다. 개인정보위 관계자는 “실제 유출 건수는 약 696명으로 확인되나 해커가 들여다본 로그 기록은 최소 6만5000여 명으로 파악됐다”고 말했다.

이번 과징금 규모는 개인정보위가 국내 업체에 부과한 금액 중 역대 최대치다. 개인정보위는 지난 9일 골프존에 75억여 원의 과징금을 부과하면서 국내 업체 중 최대 규모라 밝힌 바 있다.

카카오는 이에 대해 “당사가 파악한 사실과 상이한 점이 있다”며 “행정 소송을 포함한 다양한 조치·대응을 적극 검토할 예정”이라고 밝혔다. 카카오 측은 우선 개인정보위가 ‘안전조치의무 위반’에 해당한다고 언급한 오픈 채팅방에 사용된 회원일련번호 및 임시 ID에 대해 “숫자로 구성된 문자열”이라며 “그 자체로 어떤 개인정보도 포함하지 않으며, 이것으로 개인 식별은 불가하다”고 반박했다. 또 해커가 회원일련번호와 결합한 정보는 카카오에서 유출된 것이 아니고, 해커가 불법적인 방법을 통해 자체 수집한 것이라고 강조했다. 카카오는 이처럼 해당 건을 개인정보보호법 위반으로 보기 어렵다고 판단했지만, 지난해 상황을 인지한 즉시 경찰에 고발하고 한국인터넷진흥원(KISA)과 과학기술정보통신부에도 신고한 바 있다. 또, 경찰 조사에 협조하고 관계 기관에도 소명을 진행해 왔다.

구혁·이예린 기자