카카오에 151억 과징금… 6만5000건 개인정보 털려

오픈채팅방 통해 새어나가
국내 기업 과징금으론 최대

카카오가 최소 6만5000건이 넘는 개인 정보 유출과 관련해 151억원의 과징금을 물게 됐다.

개인정보보호위원회는 전체회의를 열고 개인정보보호법을 위반한 카카오에 151억4196만원의 과징금을 부과하기로 의결했다고 23일 밝혔다. 이는 위원회가 개인정보보호법 위반으로 국내 기업에 부과한 과징금 중 가장 큰 규모다. 지금까지 가장 많은 과징금을 물었던 국내 기업은 골프존(75억원)이다. 해외 기업까지 포함하면 구글(692억원), 메타(308억원)에 이어 셋째로 큰 규모다.

그래픽=양인성

위원회는 작년 3월 카카오톡 오픈채팅방(익명으로 자유롭게 참여할 수 있는 공개 채팅방) 참여자의 개인 정보가 유출됐다는 언론 보도가 나오자 카카오의 개인정보보호법 위반 여부를 조사해 왔다. 위원회에 따르면, 해커는 오픈채팅방에서 숫자로 된 참여자의 회원 일련번호를 알아냈다. 일련번호는 카카오가 이용자에게 임의로 부여하는 숫자로, 그 자체로는 어떤 정보도 담겨 있지 않다. 이후 해커는 무작위로 전화번호를 입력해 카카오톡에서 ‘친구’로 추가했다. 친구로 추가된 경우에도 일련번호를 알 수 있다. 이런 방식으로 오픈채팅방과 친구 추가의 일련번호를 대조해, 특정 오픈채팅방에 참여하는 사람들의 전화번호를 추렸다. 이렇게 수집한 개인 정보를 텔레그램 등 SNS(소셜미디어)를 통해 판매한 것으로 조사됐다. 위원회는 최소 6만5000건의 개인 정보가 유출된 것으로 추정하고 있다.

위원회는 “카카오는 2020년 8월 오픈채팅방의 임시ID를 암호화했으나 그 이전에 개설된 오픈채팅방은 암호화되지 않아 해커가 참여자들의 정보를 쉽게 수집할 수 있었다”며 “카카오는 프로그램 개발자 커뮤니티에 이러한 악성 행위 방법이 공개됐는데도 개인 정보 유출 가능성을 제대로 점검하거나 조치하지 않았다”고 지적했다.

카카오는 이날 과징금 부과에 받아들일 수 없다며 “행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정”이라고 밝혔다. 회원일련번호 형식은 카카오톡 말고도 다른 플랫폼에서도 사용되고 있으며, 이 자체로는 어떤 개인 정보도 알 수 없다는 것이다. 회원일련번호로 개인 식별이 불가능한 만큼 관련법상 암호화 할 필요가 없다는 게 카카오의 주장이다. 카카오는 지난해 사건이 불거진 뒤 경찰 고발과 함께 한국인터넷진흥원(KISA)과 과학기술정보통신부에 신고했다.