카카오 오픈채팅방 개인정보 털렸다... 카카오에 151억 과징금

개인정보위, 카카오 오픈채팅방 임시ID 취약점 해킹에 이용돼 개인정보법 위반 판단

[미디어오늘 금준경 기자]

▲ 카카오 서비스 이모티콘

카카오의 취약점이 드러나 해커가 카카오 오픈채팅방 개인정보를 입수해 판매한 사건에 개인정보보호위원회가 카카오에 국내기업 대상 역대 최대 규모의 과징금을 부과했다. 카카오는 불복하며 법적 대응을 시사했다.

개인정보보호위원회는 22일 회의를 열고 카카오에 151억4196만 원의 과징금과 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결했다.

발단은 지난해 3월 언론에 보도된 카카오톡 채팅방의 개인정보 불법거래 사건이다. 해커가 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고, 카카오톡 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 알아냈다. 이후 이들 정보를 '회원일련번호'를 기준으로 결합해 개인정보 파일을 생성해 판매했다.

개인정보위는 카카오가 암호화 등 보안조치에 소홀했고, 유출 사실 인지 후에도 제대로 후속조치를 하지 않아 개인정보보호법 등을 위반했다고 판단했다.

개인정보위는 “익명채팅을 표방하며 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화없이 그대로 사용했다”고 했다. 개인정보 유추가 가능한 단순한 임시ID를 만들어 해킹에 무방비였다는 지적이다. 2020년 8월 이전에 개설된 오픈채팅방은 암호화가 되지 않은 임시ID가 사용된 문제도 있다.

또한 개인정보위는 “개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성행위 방법이 이미 공개되어 있었는데도 카카오는 이를 통한 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았던 사실도 확인했다”고 했다.

카카오는 '불복'했다. 카카오는 23일 “이 같은 결과가 나오게 돼 매우 아쉽다”며 “행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정”이라고 밝혔다. 카카오는 임시ID는 개인식별이 불가능하고 암호화 대상도 아니라 법령 위반이 아니라는 입장이다.

또한 카카오는 해커가 카카오 서비스와 무관한 다른 정보와 결합해 개인정보를 식별한 것까지 책임을 묻는 것은 부적절하다고 했다. 카카오는 개인정보보호법 위반이 아님에도 신고 등 대응을 했다고 밝혔다.