(사진= 연합뉴스)

 

개인정보보호위원회(개인정보위)는 22일 열린 제9회 전체회의에서 개인정보 보호법을 위반한 ㈜카카오에 대해 151억 4,196만 원의 과징금과 780만 원의 과태료를 부과하기로 결정했다. 이에 더해 시정명령과 처분결과 공표도 함께 의결했다.

개인정보위는 지난해 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론 보도에 따라 조사를 실시했다.

조사 결과 해커가 오픈채팅방의 취약점을 이용해 참여자 정보를 획득하고, 이를 바탕으로 불법 프로그램 등을 통해 사용자 정보를 확보하여 판매한 것으로 확인됐다. 

 

(사진= 개인정보위)

카카오는 오픈채팅 서비스를 제공하면서 익명성을 강조했으나, 회원일련번호와 임시ID를 연계하여 오픈채팅 이용자를 식별할 수 있는 구조로 설계되어 있었다.

2020년 8월 이전에 생성된 오픈채팅방에서는 임시ID가 암호화하지 않아 쉽게 회원일련번호를 확인할 수 있었다.

이후 생성된 채팅방에서도 암호화된 임시ID를 입력하면 평문으로 노출되는 취약점이 존재했다.

카카오는 이러한 문제에도 불구하고 개선 조치를 소홀히 했으며, 카카오톡 전송 방식을 분석한 공개 API를 통해 사용자 정보가 추출될 수 있다는 지적에도 충분한 대응을 하지 않았다.

카카오는 이런 이유로 개인정보 보호법의 안전조치 의무를 위반한 것으로 판명됐다.

또 올해 초 언론 보도와 개인정보위 조사 과정에서 개인정보 유출 사실을 인지했음에도 이를 신고하거나 사용자에게 통지하지 않아 법을 위반하였다.

이에 따라 개인정보위는 안전조치 의무 위반으로 과징금을 부과하고, 유출 신고·통지 의무 위반에 대해서는 과태료를 부과하기로 결정했다.

또한 카카오에 대해 사용자 대상 유출 통지를 명령하고, 이 결과를 개인정보위 홈페이지에 공표하기로 했다.

(사진= 개인정보위)

개인정보위는 "이번 처분을 통해 대다수 국민이 이용하는 서비스의 경우 보안 취약점을 지속적으로 점검하고 개선하는 것이 중요하다는 인식이 자리잡기를 기대한다"고 밝혔다.

(사진= 연합뉴스)

이에 카카오는 입장문을 통해 "회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보다" 라며 "이는 어떠한 개인정보도 포함하지 않으며 개인 식별이 불가능하다. 또 ​​사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없다"라고 주장했다.

카카오는 오픈채팅방 개인정보유출을 인지했음에도 충분한 대응적 조치가 없었다는 것에대해 "인지한 즉시 경찰과 KISA등 관계기관에 고발하고 신고를 했고 경찰 조사에 협조하며 관계 기관에도 소명을 진행해 왔다" 며 "지난해 3월 13일에는 전체 이용자 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재한 바 있다"라고 반박했다.

이어 "전담 조직을 통해 외부 커뮤니티 및 SNS 등을 상시 모니터링하여 보안 이슈를 점검하고 진위 확인 시 적절한 조치를 취하는 등의 활동을 적극적으로 하고 있다" 며 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정이다"라고 말했다.