사진=한경DB
사진=한경DB
개인정보보호위원회가 오픈채팅 이용자의 개인정보 유출 책임을 물어 카카오에 과징금 151억원을 부과했다. 국내 업체에 매겨진 개인정보 유출 관련 과징금 가운데 역대 최대 금액이다. 카카오는 행정소송 등 대응에 나선다는 계획이다.

개인정보위는 지난 22일 제9회 전체 회의를 열고 개인정보 보호법을 위반한 카카오에 대해 총 151억4196만원의 과징금과 780만원의 과태료를 부과하고, 시정명령과 처분 결과를 공표하기로 의결했다고 23일 발표했다.

개인정보위는 작년 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사했다.

조사 결과 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 파악했다. ‘회원일련번호’를 매개로 두 가지 정보를 결합해 개인정보 파일을 생성, 판매한 것으로 확인됐다.

개인정보위에 따르면 카카오는 익명채팅을 표방한 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시 ID를 만들어 암호화 없이 그대로 사용했다. 남석 조사조정국장은 “임시 ID가 회원일련번호 앞에 일부 숫자를 붙여놓은 형태여서 임시 ID를 알면 카카오톡 회원일련번호를 쉽게 알 수 있었다”며 “해커는 휴대폰 번호로 친구 추가한 뒤 불법 프로그램으로 회원일련번호와 프로필명, 휴대폰 번호를 대량 추출해 양쪽 정보를 결합했다”고 설명했다.

해커는 다수의 휴대폰을 이용해 카카오톡에 무작위 번호를 입력해 친구를 추가하는 방식을 활용한 것으로 알려졌다. 친구를 추가해 휴대폰 번호, 프로필명, 회원일련번호를 정리한 데이터베이스를 확보했다. 이후 오픈채팅방 참여자의 회원일련번호와 대조해 특정 채팅방 참여자들의 휴대폰 번호와 프로필명을 만들어냈다. 상당수 이용자가 프로필명으로 실명을 쓰고 있는 것도 문제를 키웠다. 남 국장은 “정확한 유출 규모는 경찰이 조사 중”이라며 “로그 분석 등을 통해 해커가 6만5000여건을 조사한 것을 확인했다”고 말했다.

카카오는 2020년 8월부터 오픈채팅방 임시 ID를 암호화했지만 기존 개설된 오픈채팅방은 암호화되지 않은 임시 ID를 그대로 사용했다고 개인정보위는 지적했다. 이 오픈채팅방에서 암호화된 임시 ID로 게시글을 작성하면 암호화를 해제한 평문 임시 ID로 응답하는 취약점도 확인했다는 설명이다.

카카오는 개인정보위의 결정에 대해 반박하고 나섰다. 주어진 정보를 활용한 해커의 범죄일 뿐 카카오의 개인정보유출은 아니라는 얘기다.

카카오는 “회원일련번호와 임시 ID는 메신저를 포함한 서비스 제공을 위해 꼭 필요한 정보”라며 “이것들은 숫자로 구성된 문자열로 어떠한 개인정보도 포함하고 있지 않아 개인 식별이 불가능하다”고 설명했다. 개인정보위는 임시 ID를 암호화 없이 그대로 사용하지 않았기 때문에 안전조치 의무 위반에 해당한다고 했지만, 사업자가 생성한 서비스 일련번호는 관련 법상 암호화 대상이 아니기 때문에 이를 법령 위반으로 볼 수 없다는 논리다.

해커가 임시 ID와 회원일련번호를 알아내 다른 정보와 결합해서 판매한 것에 대해선 “해커가 불법적인 방법을 통해 자체 수집한 것으로 카카오에서 유출한 것이 아니다”라며 “카카오의 위법성을 판단할 때 고려돼선 안 된다”고 반박했다.

개인정보위는 과태료의 근거로 카카오가 유출 신고와 이용자 대상 유출 통지를 하지 않았다고 했지만 이에 대해서도 카카오는 “이 건은 개인정보 보호법 위반으로 보기 어렵다고 판단했음에도 상황을 인지한 즉시 경찰에 선제적으로 고발하고 KISA와 과학기술정보통신부에 신고했다”며 “작년 3월 13일에는 전체 이용자를 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재했다”고 강조했다.

카카오는 “개인정보위에 적극적으로 소명했지만, 이 같은 결과가 나와 매우 아쉽다”며 “행정소송을 포함한 다양한 조치와 대응을 적극적으로 검토할 예정”이라고 말했다.

이승우 기자 leeswoo@hankyung.com