역대 최대 과징금···앞선 기록은 골프존의 75억원카카오 "다양한 법적 조치 및 대응 적극 검토할 것"
23일 정보기술(IT) 업계에 따르면 개인정보위는 22일 제9회 전체회의에서 이러한 내용을 의결했다.
지난해 3월 개인정보위는 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 보도에 따라 개인정보보호법 위반 여부 조사에 착수했다.
개인정보위에 따르면 해커는 오픈 채팅방의 취약점을 이용해 이곳에 참여한 이용자 정보(임시ID)를 알아내고, 카카오톡의 '친구 추가' 기능 등을 통해 일반채팅 이용자 정보(회원일련번호)를 파악했다.
이들 정보를 회원일련번호를 기준으로 결합해 개인정보 파일로 생성했고, 이를 텔레그램 등에 판매한 것으로 알려진다.
회원일련번호는 카카오톡 내부에서만 관리를 목적으로 쓰이는 정보다. 주민등록번호나 사원증 번호처럼 개인에게 부여된 고유 번호와 유사한 개념이다.
개인정보위는 카카오가 오픈채팅 서비스를 운영하면서 참여자의 임시 아이디(ID)를 암호화하지 않아, 임시 아이디에서 회원일련번호를 쉽게 확인할 수 있었다고 판단했다. 즉 카카오가 이용자 정보에 대한 보호 조치에 미흡한 점이 있었다고 여겼다.
취약점을 파고든 해커는 암호화 여부와 상관없이 모든 오픈 채팅방의 임시아이디와 회원일련번호를 알아냈고, 회원일련번호로 다른 정보와 결합해서 판매할 수 있었다.
개발자 커뮤니티에서 카카오톡 API(응용프로그램 인터페이스)를 이용한 각종 악성 행위 방법이 공개됐음에도, 카카오는 개인정보 유출 가능성에 대한 점검과 조치를 제대로 하지 않았다고 개인정보위는 지적했다.
개인정보위는 카카오가 정보 유출이 있다는 사실을 인지했음에도 신고하지 않았을뿐더러, 이용자에게 이 사실을 알리지도 않았다고 봤다.
이에 개인정보위는 카카오에 대해 안전조치의무 위반으로 과징금 151억4196만원을, 안전조치의무와 유출 신고·통지의무 위반으로 과태료 780만원을 부과했다.
아울러 카카오가 이용자에게 유출 통지를 할 것을 시정명령하고, 개인정보위 홈페이지에 이러한 처분 결과를 공표하기로 했다.
이에 카카오는 이날 입장문을 내고 "회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보"라며 "이는 숫자로 구성된 문자열로서, 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다"고 해명했다.
또 "언급된 해커가 결합해 사용한 '다른 정보'란 당사에서 유출된 것이 아니다"라며 "이는 해커가 불법적인 방법을 통해 자체 수집한 것인 만큼 당사의 위법성을 판단할 때 고려되어서는 안 된다고 생각한다"고 밝혔다.
마지막으로 "당사는 행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정"이라며 "앞으로도 이용자들이 안전하게 카카오톡을 이용할 수 있도록 최선을 다할 것"이라고 강조했다.
뉴스웨이 강준혁 기자
junhuk210@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글