카카오가 지난해 발생했던 카카오톡 오픈채팅 이용자 '개인정보 유출' 건으로 과징금 151억원을 부과받았다. 현재는 관련 문제에 대한 조치가 이뤄진 상태다. 카카오는 향후 행정소송을 포함한 다양한 대응에 나서겠다는 입장을 예고했다.
개인정보보호위원회는 지난 22일 제9회 전체회의를 열고 카카오에 과징금 151억4196만원, 과태료 780만원을 각각 부과하고 시정명령과 처분 결과를 공표하기로 의결했다고 23일 밝혔다. 개인정보위가 그간 국내기업에 부과했던 과징금 중 최대 규모다.
남석 개인정보위 조사조정국장은 "정확한 유출 규모는 현재 경찰 조사가 진행 중"이라며 "우선 특정 사이트에 오픈 채팅방 이용자 약 696명의 정보가 올라와 있는 것과 해커가 약 6만5719건을 조회한 사실을 확인했다"고 설명했다.
개인정보위는 카카오가 이 과정에서 안전조치 의무와 유출‧신고 의무를 위반했다고 판단했다.
특히 오픈채팅방 정보를 암호화 없이 그대로 사용한 과실이 크다고 봤다. 카카오는 오픈채팅방 임시 ID(개인 계정)를 일반채팅에서 사용하는 회원 일련번호와 단순 연결해 사용했다. 2020년 8월부터는 오픈채팅방 임시ID를 암호화했지만, 그전에 개설된 오픈채팅방은 암호화되지 않은 임시ID가 그대로 사용됐다. 이 방에서 암호화된 임시ID로 글을 작성하면, 이용자 실명과 개인번호 등을 유추할 수 있다.
남 국장은 "오픈채팅방은 특정 주제에 관심 있는 이들이 모여있다는 특징이 있다"며 "이는 관련 스팸·문자메시지 등 2차 피해로 이어졌다"고 설명했다.
카카오 대응 방식도 지적했다. 개발자 커뮤니티 등에 이미 카카오톡 응용프로그램 인터페이스(API) 등을 이용한 각종 악성 행위 방법이 공개돼 있었지만, 제대로 된 점검과 조치를 취하지 않았다는 것이다. 카카오가 오픈채팅방 이용자의 개인정보 유출 사실을 인지한 이후에도 즉각적인 통보를 하지 않았다고도 봤다. 이는 개인정보 보호법 위반에 포함되는 사안이다.
카카오는 이후 입장자료를 내고 임시ID로 개인정보를 식별하는 것은 불가능하다고 반박했다. 회원 일련번호와 임시ID는 어떠한 개인정보도 포함하고 있지 않은 만큼, 개인 식별이 불가능하다는 주장이다. 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아닌 점도 상기시켰다. 따라서 법령 위반으로는 볼 수 없다고 설명했다.
오픈채팅방 보안 강화를 위해 선제적 난독화 등 적극적인 정책을 펼쳤다는 입장도 명확히 했다. 사건 인지 즉시 경찰에 고발하고 한국인터넷진흥원(KISA)과 과학기술정보통신부에 신고했다는 사실도 밝혔다. 이번 사안에서 해커의 독자적 불법 행위까지 카카오 과실로 치부된 측면이 있다고 봤다.
카카오 관계자는 "해당 건에 대해 개인정보위에 적극적으로 소명했으나 이러한 결과가 나오게 돼 매우 아쉽다"며 "향후 행정소송을 포함한 다양한 조치와 대응을 적극 검토할 예정"이라고 밝혔다.