[프라임경제] 정부가 지난해 개인정보 유출 사고가 발생한 카카오(035720)에 과징금 151억원을 부과하기로 했다. 국내 기업이 개인정보 보호 위반으로 부과 받은 과징금 가운데 역대 최대 규모다. 

개인정보보호위원회(이하 개인정보위)는 지난 22일 제9회 전체회의를 열고 개인정보보호 법규를 위반한 카카오에 대해 총 151억4196만원의 과징금과 780만원의 과태료를 부과하기로 했다고 23일 밝혔다.

개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 보도에 따라 개인정보 보호법 위반 여부 조사에 착수했다.

개인정보위에 따르면 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 파악했다. 또 이들 정보들을 '회원일련번호'를 기준으로 결합해 개인정보 파일을 생성·판매한 사실이 확인됐다.

개인정보위 조사 결과, 카카오는 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화없이 그대로 사용했다.

2020년 8월부터는 오픈채팅방 임시ID를 암호화했지만, 기존에 개설됐던 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐다는 설명이다. 이 오픈 채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다.

해커는 이러한 취약점 등을 이용해 암호화 여부와 상관없이 모든 오픈 채팅방의 임시ID와 회원일련번호를 알아낼 수 있었고, 회원일련번호로 다른 정보와 결합해서 판매했다고 개인정보위는 밝혔다.

 

아울러 개발자 커뮤니티 등에 공개된 카카오톡 API(응용프로그램 인터페이스) 등을 이용한 각종 악성 행위 방법이 공개돼 있음에도, 카카오는 이를 통한 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았다고 지적했다.

카카오는 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고를 하지않았고, 이용자에게 이를 통지하지도 않았다. 

이에 개인정보위는 카카오에 대해 안전조치의무 위반으로 과징금 151억4196만원을, 안전조치의무와 유출 신고·통지의무 위반으로 과태료 780만원을 부과했다.

또 카카오에 이용자 대상 유출 통지를 할 것을 시정명령하고, 개인정보위 홈페이지에 이같은 처분 결과를 공표하기로 결정했다.

개인정보위 관계자는 "이번 처분으로 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리잡는 계기가 되기를 바란다"고 말했다.

카카오는 이와 관련, 행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정이라고 밝혔다.

카카오는 이날 입장 자료를 통해 "회원일련번호와 임시 아이디는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보로 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다"고 반박했다.

그러면서 "사업자가 생성한 서비스 일련번호를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 강조했다.

또 해커가 결합해 사용한 '다른 정보'는 카카오에서 유출된 것이 아니라 해커가 불법적인 방법을 통해 자체 수집한 것이기 때문에 위법성 판단에 고려돼서는 안 된다고 밝혔다.

카카오 측은 "해당 건을 개인정보 보호법 위반으로 보기 어렵다고 판단했음에도 지난해 상황을 인지한 즉시 경찰에 고발하고 KISA와 과학기술정보통신부에도 신고를 하는 등 관계 기관에도 소명을 진행해 왔다"며 "지난해 3월에는 전체 이용자 대상으로 주의를 환기하는 공지를 카카오톡 공지사항에 게재한 바 있다"고 강조했다.