팬앤스타

'과징금 151억원' 처분 받은 카카오 "임시ID는 개인정보 아냐"…행정소송 예고

  • 경제 | 2024-05-23 14:55

개인정보위, 카카오톡 '오픈채팅' 이용자 유출에 과징금 151억원 부과
카카오 "행정소송 포함 조치 및 대응 검토"


개인정보위원회가 카카오에 이용자 개인정보 관리 소홀을 이유로 과징금과 과태료 처분에 나선 가운데, 카카오가 행정소송 등을 포함한 적극적인 방식으로 대응에 나서겠다고 예고했다. /더팩트 DB
개인정보위원회가 카카오에 이용자 개인정보 관리 소홀을 이유로 과징금과 과태료 처분에 나선 가운데, 카카오가 행정소송 등을 포함한 적극적인 방식으로 대응에 나서겠다고 예고했다. /더팩트 DB

[더팩트|최문정 기자] 개인정보위원회(이하 개인정보위)가 이용자 개인정보 관리 소홀을 이유로 카카오에 역대급 과징금과 과태료를 부과한 가운데, 카카오가 반박에 나섰다. 향후 카카오는 행정소송을 포함한 다양한 조치와 대응을 적극 검토할 예정이다.

카카오는 10일 "(이번 사태에 대해) 개인정보위에 적극 소명했지만, 이 같은 결과가 나오게 돼 매우 아쉽다"며 "위 결정에 대해 카카오는 행정소송을 포함한 다양한 조치와 대응을 적극적으로 검토할 예정"이라고 밝혔다.

개인정보위는 전날 전체회의를 통해 카카오에 과징금 151억4196만원과 과태료 780만원을 각각 부과하고, 시정명령과 처분결과를 공표하도록 의결했다. 이는 국내 업체 중 역대 최대 규모 과징금이다.

개인정보위는 지난해 3월 카카오의 메신저 서비스 카카오톡의 익명 대화 서비스 '오픈채팅' 이용자의 개인정보가 불법 거래되고 있다는 사실을 인지하고 개인정보 보호법 위반 여부를 조사했다. 개인정보위 조사 결과, 해커는 오픈채팅방의 취약점을 이용해 대화 참여자 정보를 획득했고, 카카오톡의 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보했다. 또한 이를 '회원일련번호'를 기준으로 규합해 개인정보 파일을 생성해 판매한 것으로 드러났다.

개인정보위는 현재 개인정보 유츨 규모는 경찰과 협력해 조사하고 있지마, 약 700명의 개인정보가 특정 사이트에 올라온 것으로 파악했다. 전체 유출 건수는 약 6만5000여건으로 추정된다.

개인정보위는 카카오가 오픈채팅 서비스를 운영하면서 일반 채팅방과 동일한 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시 ID를 만들어 암호화 없이 그대로 사용했다는 점을 들어 '안전조치의무'를 위반했다고 판단했다.

카카오 측은 이에 대해 적극 반박했다. 카카오는 입장문을 통해 "회원일련번호와 임시ID는 메신저를 포함한 모든 온라인과 모바일 서비스 제공을 위해 반드시 필요한 정보"라며 "이는 숫자로 구성된 문자열로 그 자체로는 어떠한 개인정보도 포함하고 있지 않아 이것만으로는 개인 식별이 불가능하다"고 밝혔다.

이어 "서비스가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없다"고 밝혔다.

개인정보위는 또한 카카오가 2020년 8월부터 오픈채팅방 임시ID를 암호화했지만, 기존에 개설됐던 일부 오픈채팅방은 암호화되지 않은 임시 ID가 그대로 사용돼 해당 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면, 암호화를 해제한 평문 임시ID로 응답하는 취약점을 발견했다고 밝혔다.

이에 대해 카카오는 "카카오는 오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영·관리했다"며 "이에 더해 2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용했다"고 말했다.

아울러 카카오는 해커가 불법적인 방법으로 접근해 정보를 빼낸 것이 카카오의 위법성을 판단하는 근거가 돼서는 안 된다고 밝혔다.

개인정보위는 "해커가 오픈채팅의 암호화 여부와 상관없이 임시ID와 회원일련번호를 알아낼 수 있었다"라며 "회원일련번호로 다른 정보와 결합해 이를 판매했다"고 언급했다.

카카오는 "해거가 결합해 사용한 '다른 정보'는 카카오에서 유출된 것이 아니다"라며 "이는 해커가 불법적인 방법을 통해 자체 수집한 것으로, 카카오의 위법성을 판단할 때 고려돼서는 안 된다"고 지적했다.

마지막으로 카카오는 사전에 오픈채팅을 통한 개인정보 유출을 인지했음에도 이용자 대상 통지를 하지 않아 개인정보 보호법을 위반했다는 개인정보위의 지적 내용도 사실이 아니라고 밝혔다.

카카오는 "당사는 해당 건을 개인정보보호법 위반으로 보기 어렵다고 판단했지만, 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 한국인터넷진흥원(KISA)과 과학기술정보통신부에도 신고를 했다"고 밝혔다.

이어 "카카오는 경찰 조사에 적극적으로 협조하고 관계 기관에도 소명을 진행해 왔다"며 "이 밖에도 지난해 3월 13일에는 전체 이용자 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재했다"고 말했다.

카카오는 개인정보위와 이처럼 입장이 엇갈린 만큼, 향후 적극적인 소명에 나선다는 계획이다.

카카오는 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정"이라며 "앞으로도 이용자들이 안전하게 카카오톡을 이용할 수 있도록 최선을 다하겠다"고 밝혔다.

munn09@tf.co.kr

발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
▶카카오톡: '더팩트제보' 검색
▶이메일: jebo@tf.co.kr
▶뉴스 홈페이지: http://talk.tf.co.kr/bbs/report/write

- 네이버 메인 더팩트 구독하고 [특종보자▶]
- 그곳이 알고싶냐? [영상보기▶]
[인기기사]