‘서울페스타 2024’가 개막한 1일 서울 종로구 광화문 광장에 마련된 카카오프렌즈 포토존에서 시민들이 대형 캐릭터 인형 라이언, 춘식이와 사진을 찍기 위해 줄을 서 있다. 2024.5.1 연합뉴스
개인정보보호위원회는 22일 열린 제9회 전체회의에서 이러한 내용을 의결했다고 23일 밝혔다.
개인정보위는 지난해 3월 카카오톡 오픈 채팅 이용자의 개인정보가 불법 거래되고 있다는 보도에 따라 개인정보보호법 위반 여부 조사에 착수했다. 오픈 채팅방은 익명으로 자유롭게 입장할 수 있는 공개된 채팅방이다. 당시 온라인 마케팅 프로그램을 거래하는 한 사이트에서는 카카오톡 오픈 채팅방 참여자의 실명과 전화번호 등 정보를 추출해준다는 업체의 광고 글이 잇달아 올라왔던 것으로 알려졌다.
카카오는 2020년 8월부터 오픈 채팅방 임시 아이디를 암호화하는 조처를 했으나 기존에 개설된 일부 오픈 채팅방의 임시 아이디는 여전히 암호화가 되지 않은 채 그대로 쓰였던 것으로 확인됐다. 해커는 이러한 취약점을 파고들었고 암호화 여부와 상관없이 모든 오픈 채팅방의 임시아이디와 회원일련번호를 알아내 카카오톡의 ‘친구 추가’ 기능 등을 통해 일반채팅 이용자 정보(회원일련번호)를 파악했다.
해커는 이들 정보를 회원일련번호를 기준으로 결합해 개인정보 파일로 생성했고 이를 텔레그램 등에 판매했다. 회원일련번호는 카카오톡 내부에서만 관리를 목적으로 쓰이는 정보로, 주민등록번호나 사원증 번호처럼 개인에게 부여된 고유 번호와 유사한 개념이다. 개인정보위는 정확한 유출 규모는 조사 중이지만 해커가 최소 6만 5719건을 조회한 것으로 파악하고 있다.
개인정보위는 개발자 커뮤니티에서 카카오톡 API(응용프로그램 인터페이스)를 이용한 각종 악성 행위 방법이 공개됐음에도 카카오가 개인정보 유출 가능성에 대한 점검과 조치를 제대로 하지 않았다고 지적했다. 카카오는 개인정보 유출 사실을 알고서도 신고하지 않고 이용자에게 알리지도 않았다.
개인정보위는 카카오에 대해 안전조치의무 위반으로 과징금 151억 4196만원을, 안전조치의무와 유출 신고·통지의무 위반으로 과태료 780만원을 부과했다. 아울러 카카오가 이용자에게 유출 통지를 할 것을 시정명령하고, 개인정보위 홈페이지에 이러한 처분 결과를 공표하기로 했다.
카카오는 이날 입장문을 내고 “회원일련번호와 임시 아이디는 그 자체로 어떠한 개인정보도 포함하고 있지 않으며 이것으로 개인 식별이 불가능하다”며 “사업자가 생성한 서비스 일련번호를 암호화하지 않은 것은 법령 위반으로 볼 수 없을 것”이라고 반박했다. 이어 “전담 조직을 통해 외부 커뮤니티 및 소셜미디어(SNS) 등을 상시 모니터링하고 보안 이슈를 점검하고 있다”며 “행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정”이라고 밝혔다.