코인투자 어떻게 알고 스팸폭탄?…카톡서 내 정보 줄줄이 샜다

카카오톡 오픈채팅 [사진 카카오톡 캡쳐]

서울 마포구에 사는 회사원 A씨(33)는 지난해 암호화폐에 처음 투자한 이후 하루 평균 10개 안팎의 스팸 문자를 받고 있다. 특이한 건 스팸 문자 대부분이 암호화폐 투자를 권유하거나 고수익을 보장하겠다며 투자를 추천하는 ‘암호화폐리딩방’이라는 점이다.

A 씨는 “신기하게도 암호화폐에 투자한 시점을 계기로 암호화폐 관련 스팸·피싱 문자가 줄줄이 들어온다”며 “어디서 개인정보가 털렸는지 알 순 없지만, 최초 투자 시점을 전후로 여러 오카방에 가입한 것은 맞다”고 말했다. 오카방은 카카오톡에서 익명으로 참가자가 대화하는 오픈채팅방을 줄여서 부르는 말이다.

개인정보위, 카카오에 과징금·과태료 부과

카카오톡 오픈 채팅방의 '인기있는 오픈채팅.' [사진 카카오톡 캡쳐]

카카오톡이 A씨처럼 스팸 문자에 시달리는 일부 국민의 개인 정보가 유출되는 통로였다는 정부 조사 결과가 나왔다. 개인정보보호위원회는 “22일 제9회 전체회의서 (카카오톡을 운영하는) 카카오에 과징금(151억4196만원)·과태료(780만원)를 부과하고 시정명령·처분 결과를 공표하기로 의결했다”고 23일 발표했다. 151억4196만원은 역대 최고 규모 과징금이다.

개인정보위는 지난해 3월부터 카카오톡 이용자 개인정보가 불법적으로 거래된다는 의혹을 조사했다. 그 결과, 해커가 오카방 취약점을 이용해 개인정보를 획득한 사실을 확인했다. 오카방 이용자와 일반 채팅창 이용자에 대해서, 동일한 회원 일련번호로 식별할 수 있게 이용자 체계를 설계·구현한 게 문제였다. 오카방 참여자 정보를 획득한 뒤 이를 회원 일련번호와 비교하는 방식이다.

특정 집단의 개인정보를 유출하는 것도 가능했던 것으로 개인정보위는 파악하고 있다. 텔레그램을 통해 특정 카카오톡 대화방을 찍어주면, 해커가 이곳을 이용하는 가입자 정보를 제공했다고 한다. 예컨대 암호화폐에 투자한 투자자가 모인 방에서 오카방을 만든 뒤 이들의 개인정보를 추출하면, 코인 투자에 관심이 있는 사람들의 개인정보 리스트를 만들 수 있다는 뜻이다.

나아가 이렇게 생성한 개인정보는 2차 피해까지 이어졌다. 남석 개인정보위 조사조정국장은 “특정 주식에 투자한 사람이 모인 오카방에서 획득한 연락처로 문자·카카오톡 등을 통해 스팸 메시지를 발송했다”며 “특히 2020년 8월 이전까진 오카방 참여자의 임시 ID를 암호화하지도 않아 더 쉽게 회원 일련번호를 추출할 수 있었다”고 지적했다.

스팸문자 예시 [금융감독원]

카카오 “행정소송 등 법적 조치 검토”

리딩방 2차 피해 메시지. [중앙포도]

이 과정에서 카카오가 안전조치의무를 위반한 것으로 개인정보위는 판단했다. 오카방 게시판에 임시 ID를 입력하면 암호화를 해제한 ID를 확인하고 회원 일련번호를 볼 수 있는데도, 검토·개선 조치를 소홀히 했다고 한다. 또 오카방 게시판의 취약한 보안 문제 점검·개선에도 소홀했다고 개인정보위는 판단했다. 더불어 개발자 커뮤니티 등에서 카카오톡 이용자 정보 추출이 가능하다는 지적이 나왔는데도 카카오가 미흡하게 대처했다고 설명했다.

이에 대해 카카오 측은 “회원일련번호·임시ID는 모든 온라인·모바일 서비스 제공을 위해 필요한 숫자로 구성된 문자열일 뿐, 그 자체로는 개인정보를 포함하지 않는 데다 개인 식별도 불가능하다”며 “관련 법상 암호화 대상도 아니므로 법령 위반이 아니다”라고 반박했다.

개인정보위 남석 조사조정국장이 23일 종로구 정부서울청사에서 열린 전체회의결과 브리핑에서 (주)카카오에 과징금 및 과태료 부과 내용을 설명하고 있다. [연합뉴스]

개인정보위는 카카오가 유출 신고·통지 의무도 위반했다고 밝혔다. 2023년 3월 개인정보위 조사에서 오카방 개인정보 유출 건을 인지했지만, 카카오는 이를 신고하지 않고 이용자에게 유출 사실을 알리지 않았다고 한다.

이와 관련, 카카오는 적극적으로 반박했다. 카카오는 “(개인정보를 유출한) 상황을 인지하고 즉시 경찰에 고발했고 지난해 3월 13일 전체 이용자 대상으로 공지했다”며 “행정소송 등 다양한 법적 조치와 다른 대응 방안을 적극적으로 검토하겠다”고 발표했다.

한편 개인정보위에 따르면, 지금까지 해커가 최소 6만5719건의 개인정보를 조회했다. 정확한 개인정보 유출 규모는 경찰이 조사 중이다.

문희철·윤정민 기자 reporter@joongang.co.kr