'151억 과징금' 법정공방 예고…카카오 "개인정보 유출 아냐"(종합)

해커, 오픈채팅 비밀 일련번호로 개인정보 파악해 판매
'직접 유출' 아닌 개인정보 피해 두고 '개보위 vs 카카오'
"카카오 안전조치 위반"vs"해커 독자행위도 카카오 탓?"

등록 2024-05-23 오후 5:28:51

수정 2024-05-23 오후 7:15:45
가 가

[이데일리 한광범 기자] 카카오톡 오픈채팅방 관련 비식별 정보를 활용해 한 해커가 이용자 개인정보를 수집한 사건과 관련해, 개인정보보호위원회가 카카오에 국내 기업 중 역대 최대의 과징금을 부과했다. 이에 대해 카카오는 해커가 오픈채팅방의 비식별 정보를 불법 수집된 정보와 결합해 개인정보를 확보한 것이어서 개인정보 유출이 아니라고 주장하며 법적 대응을 예고했다.

개인정보위는 22일 전체회의를 열어, 카카오톡 오픈채팅방을 통한 해킹 피해와 관련하여 카카오에게 안전조치 의무 위반을 이유로 151억4196만원의 과징금을 부과하고, 유출 신고 및 통지 의무 위반을 이유로 과태료 780만원을 부과했다.

카카오톡 오픈채팅방 관련 개인정보 유출 사건은 지난해 3월 처음으로 언론에 공개됐다. 해커가 오픈채팅방의 보안 허점을 이용하여 참가자들의 개인정보를 수집하고 이를 판매하고 있다는 사실이 밝혀졌다. 이번 사건은 서버 해킹이나 내부정보 관리 부실 등으로 인한 전형적인 개인정보 유출과는 달리, 오픈채팅방용 서비스 일련번호를 이용하여 개인정보를 획득한 점에서 다르다.

서비스 일련번호는 온라인 서비스를 제공하는 사업자가 회원 관리를 위해 필수적으로 사용하는 요소다. 이 번호는 소스코드를 통해 어디서나 쉽게 확인할 수 있으며, 별도의 법적 암호화 대상이 아니다. 실제로 개인정보위가 발표한 ‘개인정보의 안전성 확보 조치 기준’에서도 이 번호는 암호화 대상으로 명시돼 있지 않다.

개보위 “해커, 최소 6만5000건 개인정보 유출”

오픈채팅방 운영은 사실상 익명 채팅방과 유사하다. 카카오톡 이용자들은 하나의 아이디로 일반 채팅과 오픈채팅을 모두 이용할 수 있지만, 두 채팅방은 각기 다른 서비스 일련번호를 사용한다. 카카오톡은 일반 채팅에 사용되는 고유ID와 오픈채팅에 사용되는 임시ID를 분리해 관리한다.

2020년 8월 이전까지는 오픈채팅방의 임시ID와 고유ID 간에 일정한 ‘난독화’과정이 이뤄졌다. 그러나 2020년 8월부터 생성된 오픈채팅방에서는 난독화보다 더 강력한 ‘암호화’가 적용됐다.

해당 해커는 난독화 과정을 우회하여 고유ID를 파악했다. 이는 해커가 별도의 방법으로 수집한 휴대전화 번호를 활용하여 대량으로 카카오톡 친구를 추가하고, 실명으로 등록된 프로필명을 악용하여 실명을 확인한 결과다.

아직 해당 해커의 실체가 드러나지 않은 상황이어서 그가 고유ID와 프로필 정보를 동일 인물로 확인하는 방법은 명확히 알려지지 않았다.

해당 해커는 특정 오픈채팅방 이름을 알려줄 경우 이용자 정보를 판매할 의사를 밝히고, 이를 실제로 실행했다. 조사 결과 최소 6만5719건의 피해가 확인됐으며, 실제 피해규모는 이보다 훨씬 크다는 것이 개인정보위 분석이다.

카카오 “유출된 식별정보는 개인정보 아냐”

개인정보위는 사건 발생 이전부터 카카오톡 응용프로그램인터페이스(API) 등을 통한 다양한 악성행위 방법이 이미 공개돼 있었음에도 카카오가 개인정보 유출 가능성에 대한 점검과 조치를 제대로 하지 않았다고 지적했다. 안전조치 의무 위반을 이유로 카카오에 과징금을 부과한 것이다. 개인정보보호법에 따르면 이러한 위반의 경우 전체 매출의 3% 이내에서 과징금을 부과하도록 규정하고 있다.

카카오는 이에 강하게 반발했다. 카카오 측은 “적극적인 소명이 받아들여지지 않아 매우 아쉽다”며 “행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정”이라고 밝혔다.

구체적으로는 “서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법률 위반이 아니다”라고 주장했으며 “(유출된) 임시ID 그 자체에는 어떠한 개인정보도 포함되지 않고, 개인 식별이 불가능하기 때문에 개인정보로 판단할 수 없다”고 덧붙였다.

또한, “해커가 고유ID를 ‘다른 정보’와 결합하여 판매한 것은 카카오톡에서 유출된 것이 아니라 해커가 불법적인 방법으로 직접 수집한 것”이라며, “해커의 독립적인 불법행위까지 카카오의 과실로 판단하는 것은 부당하다”고 반박했다.

카카오 측은 과징금 규모에 대해서도 이견을 제기했다. 기존 국내 기업 중 최대 과징금은 골프존이 서버 침투로 인해 수백만 명의 고객 개인정보를 유출한 75억원이다. 하지만 카카오는 직접적인 개인정보 유출이 없으며 피해 규모도 훨씬 적은데, 이보다 두 배나 큰 과징금을 부과하는 것은 불합리하다는 것이다.