오픈채팅 임시 ID=개인정보?…카카오 제재안 소송전 갈 듯

송혜리 기자 2024. 5. 23. 16:16
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

개인정보보호위원회(이하 개인정보위)가 개인정보보호 법규 위반을 이유로 카카오에 역대금 과징금을 부과했다.

개인정보위 조사결과, 불법 거래자는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보도 빼냈다.

개인정보위에 따르면, 카카오는 오픈채팅 서비스를 운영하면서 일반 채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용했다.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
개인정보위, 카카오에 역대금 과징금 151억 제재
카카오 "소명 적극적으로 했는데…" 행정소송 예고
카카오 "오픈채팅 임시 ID 개인정보 아냐" VS 개보위 "각각의 정보들이 모여 개인정보 도출이 더 심각"

(사진=유토이미지) *재판매 및 DB 금지

(사진=유토이미지) *재판매 및 DB 금지


[서울=뉴시스]송혜리 최은수 기자 = 개인정보보호위원회(이하 개인정보위)가 개인정보보호 법규 위반을 이유로 카카오에 역대금 과징금을 부과했다. 지난해 카카오톡 오픈채팅방 이용자들의 개인정보가 유출된 데 따른 제재다.

개인정보보호위원회는 카카오에 과징금 151억4196만원과 과태료 780만원을 각각 부과하기로 의결했다고 23일 밝혔다. 국내 기업이 받은 과징금 규모로는 가장 크다.

카카오는 많이 억울하다는 입장이다. 제재를 앞두고 개보위에 적극 소명했는데, 상당부분 받아들여지지 않았다는 이유다. 당장 행정소송도 불사하겠다고 밝혀, 의결된 제재안의 집행 여부는 법정에서 가려질 공산이 커졌다.

지난해 오픈채팅 이용자 정보 불법거래 사실이었다


이번 제재의 발단은 지난해 3월 언론에서 시작된 카카오톡 오픈채팅방 개인정보 불법 거래 보도다. 오픈채팅방 이용자들의 정보가 암암리에 판매된다는 사실이 언론에 보도되면서 개인정보위가 조사에 착수했다.

개인정보위 조사결과, 불법 거래자는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보도 빼냈다.

해커는 이들 정보들을 회원일련번호를 기준으로 다른 정보와 결합해 6만5000건 이상의 개인정보 파일을 생성해 판매한 것으로 확인됐다. 해당 정보는 주식·투자 관련 스팸문자 발송 등에 사용돼 2차 피해로 이어졌을 것이라는 게 개인정보위측의 설명이다.

개보위 "임시ID 암호화 조치도 없다" VS 카카오 "숫자열에 불과, 개인정보법 대상 아냐"

개인정보위 제재가 법정 소송으로 비화될 경우 최대 쟁점은 카카오가 오픈채팅 서비스 운영과정에서 개인정보 안전조치 의무를 다했느냐의 여부가 될 전망이다.

개인정보위는 해커가 오픈채팅방에서 임시ID나 회원 일렬번호 등을 쉽게 빼갔으며, 이를 통해 개인정보 파일을 만들었다고 판단하고 있다.

개인정보위에 따르면, 카카오는 오픈채팅 서비스를 운영하면서 일반 채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용했다. 임시ID는 카카오톡 버전+오픈채팅방ID+회원일련번호를 붙이는 형태로 사용자들에게 발급됐고, 이를 암호화되지 않았기 때문에 보안 취약점을 뚫은 해커는 쉽게 회원일련번호를 유추할 수 있었다는 것이다.

카카오의 입장은 다르다. 임시ID는 메신저를 포함해 모든 모바일 서비스 제공을 위해 필요한 정보로, 단순히 숫자로 구성된 문자열이기 때문에 그 자체가 개인정보가 아니며, 이것으로 개인 식별이 불가능하다는 설명이다.

또 사업자가 생성한 서비스 회원 일련번호 역시 관련법상 암호화 대상이 아니라는 주장이다. 즉, 임시ID나 서비스 일렬번호가 암호화 대상이 아니며, 즉, 법령 위반으로도 볼 수 없다고 반박한다.

특히 카카오는 해커가 회원 일렬정보와 결합해 사용한 다른 정보가 카카오에서 유출된 정보가 아닌 해커가 불법적인 방법을 통해 자체 수집한 정보이기 때문에 회사의 위법성을 판단할 때 고려해서는 안된다는 입장이다.

이에 대해 개인정보위는 "각각의 정보로는 개인을 특정할 순 없다해도 이 정보들이 연계돼 공개되면서 개인정보를 도출할 수 있는 것과 익명 서비스를 이용했음에도 결국 개인정보인 휴대전화번호가 노출됐다는 건 심각한 문제"라고 반박했다.

피해자에 대한 고지 적절성 여부도 쟁점

지난해 사고 당시 피해 당사자들에게 신속하게 통보했느냐의 여부도 쟁점이 될 전망이다.

개인정보위는 카카오가 지난해 3월 언론보도·개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않았던 점을 꼬집었다.

이에 대해서도 카카오는 반박한다. 상황 인지 즉시 경찰에 선제적으로 고발하고 주무부처인 과학기술정보통신부와 한국인터넷진흥원(KISA)에 신고했다는 것. 특히 지난해 3월 13일에는 전체 이용자를 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재했다고 해명했다.


☞공감언론 뉴시스 chewoo@newsis.com, eschoi@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
뉴시스에서 직접 확인하세요. 해당 언론사로 이동합니다.