카카오 “공개된 정보 취합, 유출 아니다” 주장
카카오 로고. 연합뉴스
지난해 카카오톡 오픈채팅방(익명 대화방) 이용자들의 개인정보가 유출돼 시중에 불법 유통된 사건을 조사해 온 개인정보보호위원회가 카카오에 과징금 151억4196만원과 과태료 780만원을 부과하기로 했다. 카카오가 이용자 개인정보 보호를 위한 안전 조치를 소홀히 하고, 신고·유출 통지 의무를 다하지 않았다고 판단했다.
23일 개인정보위는 “지난 22일 전체회의를 열고, 개인정보보호 법규를 위반한 카카오에 대해 총 151억4196만원의 과징금과 780만원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결했다”고 밝혔다.
지난해 3월 개인정보위는 한 업체가 카카오톡 오픈채팅방 이용자들의 아이디 정보를 추출한 뒤 다른 개인정보와 결합하는 방식으로 이름, 휴대전화번호 등 개인정보를 수집해 시중에 판매한 사건에 대해 조사에 나섰다. 당시 이들은 “원하는 오픈채팅방을 알려주면 그곳의 이용자 정보를 주겠다”고 직거래 방식으로 영업을 했다.
거래가 은밀하다보니 정확한 피해 규모조차 파악하기 쉽지 않다. 남석 개인정보위 조사조정국장은 “조사 중 직접 확인한 유출 정보는 특정 누리집에 올려져있던 오픈채팅방 이용자 696명의 것이었는데, 해당 업체의 로그기록을 분석해보니 이용자 정보 6만5719건을 조회한 사실이 확인됐다”며 “정확한 피해규모는 경찰이 조사 중”이라고 밝혔다.
개인정보보호위원회 보도자료 갈무리
이같은 행각이 가능했던 이유는 카카오가 취약하게 운영했던 ‘회원 일련번호와 임시 아이디(ID)’ 제도 때문이었던 것으로 드러났다. 개인정보위는 “카카오는 익명 대화방인 오픈채팅을 운영하면서 임시 아이디(ID)를 부여할 때 카카오톡 회원의 고유한 일련번호와 연계시켜 암호화 없이 사용했다”며 “임시 아이디를 회원 일련번호와 전혀 다르게 생성했거나 암호화했다면 문제가 일어나지 않았을 것”이라고 밝혔다. 또 개인정보위는 카카오가 2020년 8월 암호화를 도입한 뒤에도 기존에 개설된 오픈채팅방에서 이전 방식의 임시 아이디를 확인할 수 있는 취약점이 존재했다고 밝혔다.
결국 이런 취약성을 바탕으로 해커는 오픈채팅방 참여자 정보를 알아내고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 알아낸 것으로 드러났다. 개인정보보호위는 해커가 이 정보들을 ‘회원일련번호’를 기준으로 결합해 카카오톡 사용자이름, 전화번호 등의 개인정보를 생성하고, 판매한 것으로 파악했다. 이같이 판매된 개인정보는 스팸 발송 등에 쓰여 2차 피해로 이어졌다.
개인정보위는 조사 과정에서 카카오가 “오픈채팅방과 일반채팅방의 공개 정보이기 때문에 우리 쪽 개인정보 유출이 아니”라고 소명했다고 밝혔다. 이같은 이유로 카카오는 당시 유출 신고·이용자 대상 통지도 하지 않았다. 이에 대해 김해숙 조사2과장은 “두 정보가 연결되는 형태로 만들어져 익명 서비스인 이용자들의 이름과 휴대전화번호까지 알려진다는 것은 프라이버시 측면에서 심각한 문제로 이걸 개인정보 유출이 아니라고 보기는 어렵다”고 말했다.
개인정보보호위는 또한 “개발자 커뮤니티 등에 카카오톡 개발도구(API) 등을 이용한 각종 악성 행위 방법이 이미 공개되어 있었는데도, 카카오는 이를 통한 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았던 사실도 확인했다”고 밝혔다. 남석 조사조정국장은 “이번 처분으로 카카오톡같이 대다수 국민이 이용하는 서비스는 잘 알려진 보안 취약점을 점검‧개선하는 것도 중요하지만, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리 잡는 계기가 되기를 바란다”고 밝혔다.