“회원번호로 개인식별 불가”…카카오 ‘150억 과징금’ 소송전 예고

[사진 = 연합뉴스]

이용자 정보에 대한 점검과 보호 조치에 소홀해 대규모 개인정보를 유출한 카카오가 역대급 과징금을 물게 됐다. 카카오는 과징금 처분을 놓고 법적 조치를 불사하겠다는 강경한 입장을 내놨다.

22일 개인정보보호위원회는 제9회 전체회의를 열고 카카오에 대해 안전조치의무 위반 과징금 151억4196만원과 안전조치의무와 유출 신고·통지의무 위반 과태료 780만원을 결정했다. 역대 최대 과징금이었던 골프존(약 75억원)의 두 배가 넘는 액수다.

개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 보도를 접하고 개인정보보호법 위반 여부 조사에 착수했다. 개인정보위는 해커가 익명으로 자유롭게 입장할 수 있는 오픈 채팅방의 취약점을 이용해 오픈채팅에 참여한 이용자의 임시 아이디(ID)를 알아내고, 카카오톡의 친구 추가 기능 등을 통해 일반채팅 이용자 정보인 회원일련번호를 도출한 것으로 파악했다.

정확한 유출 규모는 아직 알려지지 않았지만, 개인정보위는 해커가 최소 6만5719건의 임시 ID를 조회한 것으로 추정하고 있다. 회원일련번호는 카카오톡 내부에서만 관리를 목적으로 쓰이는 정보다. 개인정보위는 카카오가 오픈채팅 서비스를 운영하면서 참여자의 임시 ID를 암호화하지 않아 회원일련번호를 쉽게 확인할 수 있었다고 지적했다.

이에 카카오는 입장문을 내고 반박했다. 임시 ID는 모든 온라인·모바일 서비스 제공을 위해 반드시 필요한 정보인데 이는 어떠한 개인정보도 포함하지 않는 숫자로 구성된 문자열에 불과하다는 것이다.

카카오는 “(임시 ID로) 개인 식별이 불가능하고 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니다”라며 “개인정보위에 적극적으로 소명했으나 이 같은 결과가 나와 매우 아쉽다”라고 밝혔다.

임시 ID를 개인정보로 분류할 수 없음에도 카카오는 오픈채팅 서비스 개시 당시부터 임시 ID를 난독화해 운영·관리해 왔다고 설명했다. 지난 2020년 8월 이후 생성된 오픈 채팅방에는 보안을 더 강화한 암호화를 적용하기도 했다.

해커가 회원일련번호를 이용해 다른 개인 정보를 알아낸 것은 카카오부터 유출된 것이 아니라 해커가 불법적 방법을 통해 수집한 것이기에 카카오가 개인정보를 유출하는 위법을 저지른 것이 아니라고 주장했다.

카카오는 “전담 조직을 통해 외부 커뮤니티·사회관계망서비스(SNS) 등을 상시 모니터링해 보안 이슈를 점검하고 진위 확인 시 적절한 조치를 취하는 등의 활동을 적극적으로 하고 있다”며 “행정소송을 포함한 다양한 법적 조치·대응을 적극 검토할 예정”이라고 강조했다.