"해커가 가져간 건데"…150억 과징금 폭탄에 카카오 '발끈'

카카오, 오픈채팅 개인정보 유출에
"해커가 가져간 것, 위법 아냐" 반박
행정소송 등 법적 조치 적극 검토

사진=카카오 제공

카카오가 카카오톡 오픈채팅 서비스 개인정보 유출과 관련한 개인정보보호위원회 과징금 처분을 놓고 법적 조치 검토 등 강경한 입장을 보였다. 

카카오는 23일 입장문을 내고 "개인정보위에 적극적으로 소명했으나 이 같은 결과(과징금 처분)가 나와 매우 아쉽다"며 "행정소송을 포함한 다양한 조치·대응을 적극적으로 검토할 예정"이라고 밝혔다. 

개인정보위는 전날 전체회의를 열어 카카오톡 오픈채팅 사용자의 개인정보가 유출됐는데도 카카오가 제대로 된 조치를 취하지 않았다고 판단했다. 그러면서 역대 최대 과징금인 약 151억원을 부과했다.

개인정보위는 해커가 오픈채팅방 취약점을 이용해 임시ID 등 사용자 정보를 알아낸 다음 '친구추가' 기능으로 일반채팅 사용자 정보를 확보했다고 설명했다. 해당 정보들을 회원일련번호를 토대로 결합하는 방식으로 개인정보 파일을 생성한 뒤 이를 텔레그램 등에 판매했다는 것. 

남석 개인정보위 조사조정국장은 "카카오는 설계·운영 과정에서 회원 일련번호와 임시ID 연계에 따른 익명성 훼손 가능성에 대한 검토·개선과 보안 취약점에 대한 점검·개선 등의 조치를 소홀히 한 것으로 확인됐다"고 했다. 

카카오는 자사 과실이 아니라고 반박했다. 회원일련번호와 임시ID는 메신저를 포함한 모든 온라인·모바일 서비스 제공을 위해 반드시 필요한 정보인데 이는 숫자로 구성된 문자열일 뿐 어떠한 개인정보도 포함하지 않고 있다는 설명이다. 

카카오는 "이것으로 개인 식별이 불가능하고 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니다"라며 "이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 주장했다. 

해당 정보를 개인정보로 볼 수 없는데도 오픈채팅 서비스 개시 당시부터 임시ID를 난독화해 운영·관리해 왔다는 주장도 펼쳤다. 2020년 8월 이후 생성된 오픈채팅방엔 보안을 더 강화한 암호화를 적용하기도 했다. 

해커가 회원일련번호로 다른 정보와 결합한 것과 관련해선 "해커가 결합해 사용한 '다른 정보'란 카카오에서 유출된 것이 아니다"라며 "해커가 불법적 방법을 통해 자체 수집한 것으로 카카오의 위법성을 판단할 때 고려해선 안 된다고 생각된다"고 했다. 

또 법 위반으로 보기 어려운 상황에서도 한국인터넷진흥원(KISA)과 과학기술정보통신부에 신고한 뒤 경찰 조사에도 협조해 왔다고 해명했다. 

카카오는 "전담 조직을 통해 외부 커뮤니티·SNS 등을 상시 모니터링해 보안 이슈를 점검하고 진위 확인 시 적절한 조치를 취하는 등의 활동을 적극적으로 하고 있다"며 "카카오는 행정소송을 포함한 다양한 법적 조치·대응을 적극 검토할 예정"이라고 강조했다. 

김대영 한경닷컴 기자 kdy@hankyung.com