카카오가 개인정보 유출 사고로 151억여원의 과징금을 물게 됐다. 국내 기업으로는 역대 최대 과징금이다. 카카오는 행정소송 등 법적 대응에 나서기로 했다.

개인정보보호위원회는 지난 22일 전체회의를 열고 개인정보 보호 법규를 위반한 카카오에 대해 151억4196만원의 과징금과 780만원의 과태료를 부과했다고 23일 밝혔다.

개인정보위는 지난해 3월 카카오톡 ‘오픈채팅’ 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 조사에 착수했다. 당시 익명채팅인 오픈채팅방을 통해 개인정보가 유출됐다는 점에서 논란이 됐다. 오픈채팅에선 일반채팅에 보이는 실명이나 전화번호가 뜨지 않고, 개인이 설정한 닉네임만 보인다. 다만 시스템에서 이용자를 식별하기 위한 고유 ID가 주어진다. 문제는 오픈채팅방의 ID 뒷자리가 일반채팅방에서 주어지는 회원일련번호 일부와 같았다는 점이다.

해커는 우선 카카오톡 오픈채팅방의 보안 취약점을 파고들어 오픈채팅 이용자들의 고유 ID를 확보했다. 다음으로 카카오톡 ‘친구추가’에서 휴대전화번호를 무작위 대량으로 등록해 일반채팅 이용자 정보도 확보했다. 이들 정보를 회원일련번호를 기준으로 대조해 서로 겹치는 이용자들을 찾아냈다. 불법 프로그램으로 이 과정을 반복해 카카오톡 이용자들의 개인정보를 생성·판매할 수 있었다.

개인정보위는 카카오가 서비스 설계·운영 과정에서 ‘안전조치 의무’를 위반했다고 지적했다. 2020년 8월 이전 만들어진 오픈채팅방은 참여자의 임시 ID를 암호화하지 않아 회원일련번호를 쉽게 확인할 수 있었고, 오픈채팅방 공지 기능에서 편법으로 암호화된 ID의 일련번호 역시 확인할 수 있었다고 한다. 개인정보위는 또 카카오가 오픈채팅방 이용자의 개인정보가 유출된 사실을 인지하고도 신고와 이용자 통지를 하지 않아 ‘유출 신고·통지 의무’도 위반했다고 덧붙였다.

오픈채팅방은 취미나 주식 등의 주제로 개설된 경우가 많다. 해당 이용자들의 정보를 빼돌리면 특정 주제에 맞는 스팸 발송, 개인적 접촉 등으로 악용될 가능성이 크다. 현재 경찰 조사 중인 이번 사건으로 6만5000명 이상의 개인정보가 유출된 것으로 추정된다.

이번 사고는 전체 매출액 기준이 아닌 위법행위 관련 매출의 3%를 부과하도록 한 기존 법이 적용됐음에도 한국 기업 역대 최대 과징금이 부과됐다. 개인정보위는 “카카오톡과 같이 대다수 국민이 이용하는 서비스는 보안 취약점을 상시적으로 점검·개선하는 한편, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대해서도 지속적인 점검과 노력이 필수적”이라고 밝혔다. 문제가 된 부분에 대한 시스템 개선 조치는 완료됐다.

카카오는 현재 모든 온라인 서비스에 이용되고 있는 회원일련번호 자체는 숫자로 된 문자열이어서 개인정보로 보기 어렵다는 입장이다. 그 자체로는 개인을 식별할 수 없기 때문이다. 따라서 해커가 불법적으로 자체 수집해 만든 정보가 문제가 된 것이지, 카카오에서 개인정보가 유출된 것은 아니라고 주장했다. 카카오는 “개인정보위에 적극적으로 소명했으나 이 같은 결과가 나오게 되어 매우 아쉽다”며 “행정소송을 포함한 다양한 조치 및 대응을 검토할 예정”이라고 밝혔다.