X

카톡 오픈채팅방 해킹 피해에 과징금 151억…국내기업 역대 최대

한광범 기자I 2024.05.23 12:00:00

개인정보위 "개인정보 정보 최소 6만5000건 유출"
임시ID 통해 고유ID 유추해 개인정보 파악해 판매
카카오 "개인정보 유출 아냐…법적대응 검토" 반발

[이데일리 한광범 기자] 개인정보보호위원회가 지난해 발생한 카카오톡 오픈채팅방 개인정보 유출사고와 관련해 카카오에 국내 기업으로는 역대 최대인 151억원의 과징금을 부과했다. 카카오는 개인정보 유출이 아니라며 반박하며 법적대응을 예고했다.

개인정보위는 22일 전체회의를 열고 카카오에 대해 개인정보보호 법규 위반을 이유로 과징금 151억4196만원, 과태료 780만원을 부과하고 시정명령을 내렸다.

이번 사건은 카카오톡 오픈채팅방을 통해 발생했다. 카카오톡 오픈채팅방은 숫자로 구성된 임시ID를 통해 이용자 정보를 암호화한다. 해커는 오픈채팅방에서 임시ID를 알아낸 후 회원일련번호를 순차적으로 알아냈다. 일반채팅방에서 쓰이는 쓰이는 고유ID인 회원일련번호가 임시ID 뒷자리였기에 쉽게 유추가 가능했다.

◇암호화 안된 임시ID+친구추가로 개인정보 알아내

해커는 이를 불법적으로 자체 수집한 정보와 결합한 후, 고유ID를 이용해 카카오톡 친구추가를 하는 방식으로 주로 실명으로 사용하는 프로필명과 휴대전화번호를 파악했다. 해커는 특정 오픈채팅방 회원들에 대한 개인정보 수집을 의뢰받으면 이 같은 방법을 통해 개인정보를 알아낸 후 이를 파일로 만들어 판매했다.

개인정보위는 “카카오가 임시ID를 암호화없이 그대로 사용했고 해커는 이러한 취약점 등을 이용해 모든 오픈채팅방 임시ID와 회원일련번호를 알아낼 수 있었고 이를 다른 정보와 결합해서 판매했다”고 지적했다. 아울러 카카오가 개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성행위 방법이 이미 공개돼 있었음에도 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았다고 강조했다.

카카오톡 오픈채팅방 개인정보 유출과정. (자료=개인정보보호위원회)
카카오는 2020년 8월 이후 생성된 오픈채팅방에선 보안을 더욱 강화해 암화화를 적용했지만 기존 생성 오픈채팅방에 대해선 이를 적용하지 않았다. 결국 지난해 3월 관련 언론보도가 나온 후 개인정보위는 조사에 들어갔고, 카카오도 경찰 고발과 과학기술정보통신부·한국인터넷진흥원(KISA)에 관련 내용을 신고했다. 모든 오픈채팅방에 대한 암호화 조치도 지난해 5월에서야 마무리했다.

개인정보위가 파악한 피해규모는 최소 6만5000건 이상이다. 남석 개인정보위 조사조정국장은 피해규모에 대해 “특정사이트에 카카오톡 오픈채팅방 이용자 약 696명 정보가 올라가 있는 것을 확인했다. 해커가 6만5719건을 조회한 것을 확인했다”며 “6만5719건은 최소 수치고 저희는 그 이상인 것으로 파악하고 있다”고 밝혔다.

◇카카오 “유출된 임시ID엔 식별정보 없어…법령 위반 없다”

개인정보위는 카카오가 안전조치의무를 위반했다고 결론 내리고 이에 대해 국내기업으로선 사상 최대 규모인 151억4196만원의 과징금을 부과했다. 개인정보 유출 사건의 과징금 처분이 ‘매출액의 3% 이내’로 규정하도록 한 만큼, 카카오톡 관련 매출을 기준으로 삼았다는 설명이다.

이와 함께 카카오가 지난해 3월 언론보도와 개인정보위 조사가 시작된 이후에도 개인정보 유출 신고와 이용자 대상 유출 통지를 하지 않았다며 이에 대해선 780만원의 과태료를 별도로 부과했다.

개인정보위의 이번 처분에 대해 카카오는 강력 반발하며 “행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정”이라고 밝혀 법적 대응을 예고했다. 카카오는 개인정보 유출이 아니라는 입장이다, 카카오 측은 “(유출된) 임시ID엔 어떠한 개인정보도 포함하고 있지 않고 개인식별도 불가능하다”며 “일련번호는 법적으로 암화화 대상이 아니므로 법령 위반도 아니다”고 강조했다

이어 “해커가 알아낸 회원인련번호에 불법적인 방법으로 자체 수집한 ‘다른 정보’를 결합해 판매한 것”이라며 “해커의 독자적 불법행위까지 카카오 과실로 판단해선 안 된다”고 주장했다. 후속조치가 미흡했다는 지적에 대해서도 “선제적으로 경찰에 고발하고 관련 부처에 신고를 했다. 지난해 3월13일엔 전체 이용자를 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재하기도 했다”고 반박했다.

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지