(조세금융신문=김필주 기자) 지난해 대량의 개인정보가 유출된 카카오가 정부로부터 151억여원의 과징금을 부과받았다.

23일 개인정보보호위원회(이하 ‘개인정보위’)는 전날인 22일 전체회의를 열고 개인정보보호 법규를 위반한 카카오에게 과징금 151억4196만원, 과태료 780만원을 각각 부과하고 시정명령 및 처분결과를 공표하기로 의결했다.

개인정보위는 지난 2023년 3월 카카오톡 오픈채팅방 이용자의 개인정보가 불법 거래되고 있다는 언론보도가 나오자 그간 개인정보법 위반 여부를 조사해왔다.

개인정보위에 따르면 카카오는 익명채팅이라고 홍보하며 오픈채팅 서비스를 운영했는데 일반채팅 및 오픈채팅 이용자를 동일한 회원일련번호로 식별할 수 있게 이용자 식별체계를 구현했다. 다만 오픈채팅 참여자는 오픈채팅방 정보(오픈채팅방 ID)와 회원일련번호로 구성한 임시ID를 메시지 송수신시 사용했다.  

2020년 8월 이전 생성된 오픈채팅방은 참여자의 임시ID를 암호화하지 않아 임시ID에서 회원일련번호를 쉽게 확인할 수 있었다. 아울러 2020년 8월 이후 생성된 오픈채팅방은 임시ID를 암호화했으나 오픈채팅방 게시판에 암호화된 임시ID를 입력하면 암호화를 해제하고 평문으로 임시ID를 노출하는 취약점이 발생했고 이로인해 채팅 참여자의 암호화된 임시ID도 쉽게 회원일련번호 확인이 가능했다. 

개인정보위 관계자는 “카카오는 카카오톡 서비스 설계‧운영 과정에서 회원일련번호와 임시ID가 연계되면 오픈채팅의 익명성 훼손 또는 개인정보 노출 가능성이 있음에도 이에 대한 검토와 개선 조치를 소홀히 했다”며 “이와함께 오픈채팅방 게시판에 있던 보안 취약점에 대해서도 점검과 개선조치를 소홀히 했다”고 설명했다. 

개인정보위에 의하면 회원일련번호 연계에 따른 익명성 훼손을 방지하려면 오픈채팅 이용자는 일반채팅과 다른 식별체계로 구성하거나 임시ID를 암호화해 회원일련번호가 노출되지 않도록 해야 한다. 그러나 카카오는 지난해 사고가 일어난 이후에서야 모든 오픈채팅방 참여자의 임시ID를 암호화했다.

또한 카카오는 카카오톡 전송방식을 분석한 공개된 API를 이용할 경우 이용자 정보 추출 등이 가능하다는 지적이 개발자 커뮤니티 등에 꾸준히 제기돼 왔음에도 피해 가능성 검토나 개선 조치에 나서지 않았던 것으로 나타났다.

결국 이처럼 미흡한 보안 조치로 인해 카카오가 처리한 개인정보는 해커에 의해 공개‧유출됐다.

이외에도 카카오는 작년 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자를 상대로 유출 통지를 하지 않는 등 개인정보 보호법을 위반한 것으로 밝혀졌다.

개인정보위측은 “이번 처분을 계기로 카카오톡처럼 대다수 국민이 이용하는 서비스의 경우 보안 취약점을 상시 점검‧개선하고 동시에 설계‧개발 과정에서 발생할 수 있는 개인정보 침해 가능성도 지속 점검‧개선하기를 기대한다”고 전했다.
 

[조세금융신문(tfmedia.co.kr), 무단전재 및 재배포 금지]