개인정보위원회는 22일 전체회의를 열고 개인정보보호 법규를 위반한 카카오에 대해 총 151억4196만원의 과징금과 780만원의 과태료를 부과하고 시정명령과 처분결과를 공표하기로 의결했다고 23일 밝혔습니다.

 

개인정보위는 지난해 3월 카카오가 운영하는 플랫폼 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사했는데요.

조사결과 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아냈고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 취득한 것으로 나타났습니다. 또한 해커는 이들 정보를 ‘회원 일련번호’를 기준으로 결합해 개인정보 파일을 생성하고 판매한 것으로 확인됐습니다. 이에 개인정보위는 카카오가 카카오톡 서비스를 제공하는 과정에서 안전조치 의무와 유출 신고·통지 의무를 위반한 것으로 판단했습니다.

개인정보위에 따르면 카카오는 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원 일련번호와 오픈채팅방 정보를 단순히 연결한 임시 ID를 만들어 암호화없이 사용했는데요. 지난 2020년 8월부터는 오픈채팅방 임시 ID를 암호화했지만, 기존에 개설됐던 오픈채팅방은 암호화가 되지 않은 임시 ID가 사용됐습니다. 이에 예전 오픈채팅방에서 암호화된 임시 ID로 게시글을 작성하면 암호화가 안된 임시 ID로 응답하는 취약점이 확인됐습니다.

개인정보위는 “해커는 이러한 취약점 등을 이용해 암호화 여부와 상관없이 오픈채팅방의 임시 ID와 회원 일련번호를 알아낼 수 있었고, 이를 다른 정보와 결합해서 판매한 것”이라고 설명했습니다. 다만, 개인정보위는 유출 및 피해 규모에 대해서 언급은 하지 않았습니다.

또한 개발자 커뮤니티 등에 카카오톡 API(응용프로그래밍 인터페이스) 등을 이용한 각종 악성 행위 방법이 공개돼 있었지만 카카오가 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았다고 개인정보위는 판단했습니다.

개인정보위는 또 카카오가 언론보도와 개인정보위 조사과정에서 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했지만, 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반했다고 봤습니다.

이에 개인정보위는 이용자 개인정보가 유출된 카카오에 대해 안전조치의무 위반으로 과징금을, 안전조치의무와 유출 신고·통지의무 위반에 대해 과태료를 각각 부과하기로 결정했습니다. 또 카카오에 이용자 대상 유출 통지를 할 것을 시정명령하고, 개인정보위 홈페이지에 처분 결과를 공표하기로 했습니다.

개인정보위는 “이번 처분으로 카카오톡 같이 대다수 국민이 이용하는 서비스는 잘 알려진 보안 취약점을 점검·개선하는 것도 중요하지만 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리잡는 계기가 되기를 바란다”라고 밝혔습니다.