카카오톡 개인정보 유출에 과징금 151억...국내기업 역대 최다액

최소 6만5000건 유출...텔레그램 통해 개인정보 판매
판매된 개인정보는 스팸메시지 등에 활용

정부가 개인정보 유출 사고가 발생한 (주)카카오에 과징금 151억원을 부과하기로 했다. 이는 국내 기업이 개인정보 보호 위반으로 부과 받은 과징금 중 역대 최다액이다.

카카오톡 로고.

개인정보위원회는 22일 전체회의를 열고 개인정보보호 법규를 위반한 (주)카카오에 대해 151억4196만원의 과징금과 780만원의 과태료를 부과하기로 했다고 23일 밝혔다.

개인정보위는 작년 3월 카카오톡 오픈채팅방 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 위반 여부를 조사해왔다.

유출 규모는 최소 6만5000건으로 추정된다. 개인정보위 관계자는 “정확한 유출 규모는 경찰에서 수사 중”이라며 “유출된 개인정보는 텔레그램 등을 통해 판매돼 스팸 메세지 전송에 활용됐다”고 말했다.

조사 결과 해커는 오픈채팅방의 보안 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 알아냈다. 이들 정보들을 대조하고 결합해 만든 개인정보 파일을 판매한 것이다.

그래픽=조선디자인랩 이연주

먼저, 카카오는 이용자들의 주민등록번호 역할을 하는 ‘회원일련번호’를 쉽게 알 수 있게 오픈채팅방 임시ID를 써왔다.

2020년 8월부터는 오픈채팅방 임시ID를 암호화했지만, 기존에 개설되었던 일부 오픈채팅방은 암호화 하지 않은 임시ID가 그대로 사용됐다. 이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다.

해커는 이러한 취약점 등을 이용해 암호화 여부와 상관없이 모든 오픈채팅방의 임시ID와 회원일련번호를 알아낼 수 있었고, 회원일련번호로 다른 정보와 결합해서 판매했다.

또, 개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성행위 방법이 이미 공개되어 있었는데도, 카카오는 이를 통한 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았던 사실도 확인됐다.

카카오는 2023년 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반했다.

개인정보위는 이용자 개인정보가 유출된 카카오에 대해 안전조치의무 위반으로 과징금을 부과하고, 안전조치의무와 유출 신고·통지의무 위반에 대해 과태료를 부과하기로 결정했다.

또 카카오에 이용자 대상 유출 통지를 할 것을 시정명령하는 동시에, 개인정보위 홈페이지에 처분 결과를 공표하기로 결정했다.

개인정보위 관계자는 “이번 처분으로 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리잡는 계기가 되기를 바란다”고 말했다.