개인정보위, 카카오에 151억4600만원 부과
오픈채팅 이용자 개인정보 6만5000여건 유출
이용자 보호 소홀 등 지적…“안전조치의무 위반”
카카오 “일련번호는 암호화 대상 아냐…법적 대응”
카카오가 개인정보 유출 및 이용자 보호 조치 소홀로 개인정보보호위원회(개인정보위)로부터 역대급 과징금을 부과받은 데 불복했다.
개인정보위는 23일 제9회 전체회의에서 개인정보 보호법을 위반한 카카오에 대해 총 151억4196만 원의 과징금과 780만원의 과태료를 부과하고, 시정명령과 처분결과를 공표하도록 의결했다. 기존 역대 최대 과징금인 골프존의 약 75억원보다 두 배 이상 많은 금액이다.
이는 지난해 3월 카카오톡 오픈채팅 이용자들의 개인정보 유출 사실이 알려진 데 따른 것이다. 개인정보위가 이와 관련해 개인정보 보호법 위반 여부를 조사한 결과, 해커가 카카오톡 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고 일반채팅 이용자 정보도 빼낸 것으로 드러났다.
카카오는 2020년 8월부터 오픈 채팅방 임시 아이디를 암호화했지만, 기존에 개설됐던 일부 오픈 채팅방의 임시 아이디는 여전히 암호화가 되지 않은 채 그대로 쓰였던 것으로 확인됐다.
해커는 이들 정보들을 회원일련번호를 기준으로 결합해 6만5000건 이상의 개인정보 파일을 생성해 판매한 것으로 확인됐다. 개인정보위는 카카오가 안전조치의무를 위반했다고 판단했다. 오픈채팅 운영 과정에서 임시ID를 일반채팅에서 사용하는 회원일련번호와 큰 차이를 두지 않았다는 점에서다.
이에 대해 카카오는 입장문을 내고 “회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보"라며 “이는 숫자로 구성된 문자열로서, 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다"고 설명했다.
이어 “사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없다"고 주장했다.
개인정보위는 개발자 커뮤니티에서 카카오톡 응용프로그램 인터페이스(API)를 이용한 각종 악성 행위 방법이 공개됐음에도 카카오가 개인정보 유출 가능성에 대한 점검과 조치를 제대로 하지 않았다고 지적했다.
이에 대해 카카오 측은 “오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영 및 관리했고, 이에 더해 2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용한 바 있다"고 해명했다.
그러면서 “해커가 결합해 사용한 '다른 정보'란 당사에서 유출된 것이 아니다"라며 “해커가 불법적인 방법을 통해 자체 수집한 것이기 때문에 당사의 위법성을 판단할 때 고려되어서는 안 된다"고 주장했다.
카카오는 지난해 3월 개인정보 유출 신고와 이용자 대상 유출 통지를 하지 않았다는 지적도 받고 있다.
이에 대해 카카오 측은 “해당 건을 개인정보보호법 위반으로 보기 어렵다고 판단했음에도 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 한국인터넷진흥원(KISA)과 과학기술정보통신부에도 신고했다"고 반박했다.
또 “경찰 조사에 적극적으로 협조하고 관계 기관에도 소명을 진행해 왔다"며 “이 밖에도 지난해 3월 13일에는 전체 이용자 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재한 바 있다"고 해명했다.
카카오는 이에 대해 행정소송을 포함한 대응을 예고했다. 카카오 측은 “개인정보위에 적극 소명했으나 이 같은 결과가 나와 매우 아쉽다. 행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정"이라며 “앞으로도 이용자들이 안전하게 카카오톡을 이용할 수 있도록 최선을 다하겠다"고 말했다.