임시 아이디 암호화 않고 사용
개인정보위 "유출 규모 조사 중"
개인정보보호위원회가 카카오톡 오픈채팅방 개인정보 유출 사고의 책임을 물어 카카오에 국내 기업 중 역대 최대인 151억원의 과징금 부과를 결정했다. 앞서 스크린 골프업체 골프존이 221만명의 개인정보를 유출해 75억 상당의 과징금을 부과한 바 있다.
개인정보위는 전날인 22일 전체회의를 열고 개인정보보호법을 위반한 카카오에 대해 과징금 151억원과 과태료 780만원을 부과하기로 의결했다고 23일 밝혔다. 또 이용자에게 유출 통지를 하라고 시정명령을 하는 한편, 개인정보위 홈페이지에 처분 결과를 공표하기로 했다.
개인정보위는 지난 3월 카카오톡 오픈채팅방 이용자의 개인정보가 불법 거래되고 있다는 보도에 따라 개인정보 보호법 위반 여부를 조사해왔다.
조사 결과 카카오는 익명을 표방하는 오픈채팅방을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시 아이디를 만들었으나 이를 암호화하지 않고 그대로 사용한 것으로 확인됐다.
2020년 8월부터는 임시 아이디에 대해 암호화를 진행했지만 이전에 개설된 일부 오픈채팅방의 경우 해당 조치가 이뤄지지 않았다. 이전에 개설된 오픈채팅방에서는 암호화된 임시 아이디를 통해 게시글을 작성하더라도 정상적으로 암호화가 되지 않은 것으로도 파악됐다.
개인정보위에 따르면 해커는 해당 취약점을 통해 임시 아이디와 회원일련번호를 알아냈고, 회원일련번호와 다른 정보를 결합해 판매한 것으로 조사됐다.
개인정보위 관계자는 "정확한 유출 규모는 현재 경찰에서 조사 중"이라면서 "특정 사이트에 카카오톡 오픈채팅방 이용자 약 696명의 정보가 올라와 있는 것을 확인했고 로그 분석 등을 통해 해커가 최소 6만5719건을 조회한 것을 확인했다"라고 했다.
그러면서 "해커가 텔레그램 등을 통해 '특정 오픈채팅방을 알려주면 이용자에 대한 정보를 주겠다'라는 게시글이 올라와 있는 점 등을 종합적으로 고려해서 상당수의 정보가 유출됐다고 판단했다"라고 덧붙였다.
카카오는 개발자 커뮤니티 등을 통해 카카오톡 응용프로그램 인터페이스(API) 등을 이용한 불법 행위 방법이 이미 공개됐지만 개인정보 유출 가능성에 대한 점검과 조치를 제대로 하지 않은 것으로 드러났다.
또 지난해 3월 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했지만 유출 신고와 이용자에게 이를 통지를 하지 않은 사실도 적발됐다.
개인정보위는 "카카오톡과 같이 대다수 국민이 이용하는 서비스의 경우 보안 취약점을 점검·개선하고 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성을 지속적으로 확인하는 노력이 필요하다"고 말했다.
한편, 카카오는 개인정보위의 결정이 부당하다며 행정 소송 등 대응을 적극 검토하겠다는 입장이다. 카카오 측은 "회원일련번호와 임시 아이디는 숫자로 구성된 문자열로 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며 이것으로 개인 식별이 불가능하다"라며 "관련 법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것"이라고 설명했다.
이정윤 기자 leejuyoo@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>