카카오톡 이용자의 정보 보호 조치를 소홀히 해 약 6만 5000 건의 개인정보를 유출한 카카오가 국내 업체 중 역대 최대 과징금인 151억여 원을 물게 됐다. 지금까지 역대 최대 과징금은 골프존의 75억여 원이었다.

개인정보보호위원회는 지난 22일 제9회 전체회의에서 이러한 내용을 의결했다고 23일 밝혔다. 부과 내용은 안전조치의무 위반 과징금 151억 4196만 원, 안전조치의무와 유출 신고·통지 의무 위반 과태료 780만 원이다. 또 이용자에게 유출 사실을 통지하고 개인정보위 홈페이지에 처분 결과를 공표하라고 했다.

카카오의 경기 성남 판교 사옥. 카카오

개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론 보도에 따라 개인정보보호법 위반 여부 조사에 나섰다.

오픈 채팅방은 익명으로 자유롭게 입장할 수 있는 공개된 채팅방이다.

당시 한 온라인 마케팅 프로그램 거래 사이트에 카카오톡 오픈채팅방 참여자의 실명과 전화번호 등 정보를 추출해준다는 업체의 광고 글이 잇달아 올라왔다.

개인정보위에 따르면 해커는 오픈채팅방의 취약점을 이용해 이곳에 참여한 이용자 정보(임시ID)를 알아내고, 카카오톡의 '친구 추가' 기능 등을 통해 일반채팅 이용자 정보(회원일련번호)를 파악했다.

이들 정보를 '회원일련번호' 기준으로 결합해 개인정보 파일로 생성했고, 이를 텔레그램 등에 판매했다.

회원일련번호는 카카오톡 내부 관리를 목적으로 쓰이는 정보로, 주민등록번호나 사원증 번호처럼 개인 고유 번호와 유사한 개념이다.

남석 개인정보위 조사조정국장은 "지금까지 특정 사이트에 카카오톡 오픈채팅방 이용자 696명의 정보가 올라와 있는 것을 확인했고, 해커가 최소 6만 5719건을 조회한 것으로 확인했다"고 밝혔다. 경찰에서 추가 수사를 한다고 덧붙였다.

개인정보위는 카카오가 오픈채팅 서비스를 운영하면서 참여자의 임시ID를 암호화 하지 않아 임시ID에서 회원일련번호를 쉽게 확인할 수 있었다고 설명했다. 개인정보위는 지난 2020년 8월부터 오픈채팅방 임시ID를 암호화하도록 조처했다.

개인정보보호위원회 제공

개인정보위는 "개발자 커뮤니티에서 카카오톡 API(응용프로그램 인터페이스)를 이용한 각종 악성 행위 방법이 공개됐지만 카카오는 이를 신고하지 않았고 이용자에게 이 사실을 알리지도 않았다"고 지적했다.

카카오는 이날 입장문을 내고 "회원일련번호와 임시ID는 그 자체로 어떠한 개인정보도 포함하고 있지 않으며 이것으로 개인 식별이 불가능하다"며 "사업자가 생성한 서비스 일련번호를 암호화하지 않은 것은 법령 위반으로 볼 수 없다"고 반박했다. 이어 "행정소송을 포함한 다양한 법적 대응을 검토할 예정"이라고 했다.

사이렌스 정기홍 jkhong4@naver.com 정기홍의 기사 더보기

저작권자 ⓒ 사이렌스. 무단 전재 및 재배포 금지