개인정보보호위원회(이하 개인정보위)는 카카오톡 오픈채팅 이용자의 개인정보 불법 거래와 관련한 법 위반을 이유로 카카오에 151억4196만원의 과징금과 780만원의 과태료를 부과했다. 해당 위원회가 국내에서 부과한 과징금으로는 역대 최고다.

개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래된다는 언론보도를 근거로 개인정보 보호법 위반 여부를 조사한 후 22일 전체회의를 열어 이같이 결정했다고 23일 밝혔다.

이번 과징금은 개인정보위가 국내 업체에 부과한 역대 최고액이다. 이전까지는 지난 9일 개인정보위가 골프존에 부과한 75억여원이 역대 최고였다.

조사 결과 해커는 카카오톡 오픈채팅방의 취약점을 악용해 채팅방 참여자 정보를 알아냈다. 카카오톡 친구 추가 기능을 통해 일반채팅 이용자 정보를 알아낸 후 이들 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성한 후 판매한 것으로 나타났다.

개인정보위에 따르면 카카오는 익명 채팅을 표방한 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 사용하면서 이 같은 문제가 발생한 것으로 조사됐다. 카카오는 2020년 8월부터 임시ID를 암호화했지만, 기존에 개설된 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐다. 또 해당 오픈채팅방에서 암호화된 임시ID로 글을 쓰면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다.

카카오톡 화면.연합뉴스

해커들은 이 같은 점을 노려 암호화 여부와 상관없이 모든 오픈채팅방의 임시ID와 회원일련번호를 알아내 다른 정보와 결합해 판매했다. 특히 개발자 커뮤니티 등에 카카오톡 API(애플리케이션이 서로 정보를 주고받을 때 사용하는 메시지) 등을 이용한 각종 악성 행위 방법이 공개돼있었지만 회사가 점검과 조치를 제대로 하지 않은 사실도 드러났다.

카카오는 지난해 3월 언론보도 및 개인정보위 조사 과정에서 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지하고도 신고 및 대상 유출 통지를 하지 않아 개인정보보호법도 위반했다. 개인정보위는 안전조치의무 위반에 대해선 과징금을 부과하고, 안전조치의무와 유출 신고·통지 의무 위반에 대해선 과태료를 부과했다. 개인정보위는 홈페이지를 통해 처분 결과도 공표하기로 했다.

카카오는 지난해 관련 문제가 언론에 보도된 후에도 “기술적으로 불가능하다”며 “다른 방식으로 개인정보를 수집해 금전 거래에 악용했다”고 반박했다. 오픈채팅에서 참여자의 전화번호, 이메일, 대화내용을 확인하는 것이 불가능하고 일련번호에 복잡한 알고리즘을 적용해 역추적이 불가능하다는 이유를 댔다.

국민일보

김현길 기자([email protected])