개인정보 유출 '과징금 151억' 폭탄...카카오 "임시ID, 일련번호 식별 불가능" 행정소송

개인정보위, '개인정보 유출'로 역대최대 과징금
카카오, "개인정보로 볼수 없어" 행정소송 예고

카카오프렌즈 캐릭터 이미지. 카카오 제공

개인정보위 결정에 대한 카카오 입장

개인정보위 판단	카카오 입장
카카오가 익명채팅 서비스 ‘오픈채팅‘ 참여자의 임시ID를 암호화하지 않아, 임시ID에서 회원일련번호를 쉽게 확인할 수 있도록 하는 등 안전조치 의무 위반 (2020년 8월 이전)	회원일련번호와 임시ID는 모든 온라인 및 사회관계망서비스(SNS) 서비스 제공을 위해 반드시 필요한 정보. 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능. 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없음.
2020년 8월부터는 오픈채팅방 임시ID를 암호화했지만 기존에 개설됐던 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐고, 이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID를 노출하는 취약점도 확인.	임시 ID는 숫자로 구성된 문자열이자 난수로서 개인정보도 포함돼 있지 않고, 그 자체로는 개인 식별이 불가능하여 개인정보라고 판단할 수 없음. 그럼에도 오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영 및 관리했고, 2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용한 상황.
해커가 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보 획득, 카카오톡의 친구추가 기능이나 불법 프로그램 등을 이용해 이용자 정보를 확보. 이들 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성, 판매함	해커가 결합해 사용한 ‘다른 정보’는 카카오를 통해 유출된 것이 아님. 해커가 불법적인 방법을 통해 자체 수집한 것으로 당사의 위법성을 판단할 때 고려돼서는 안 됨.
언론보도 및 개보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 카카오가 유출 신고와 이용자 대상 유출 통지를 하지 않은 것은 개인정보 보호법 위반	지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 KISA와 과학기술정보통신부에도 신고 조치. 전담 조직을 통해 외부 커뮤니티 및 SNS 등을 상시 모니터링해 보안 이슈 점검.

(카카오)

[파이낸셜뉴스] 개인정보보호위원회(개인정보위)가 지난해 발생한 '카카오톡 오픈채팅방 개인정보 유출' 논란과 관련 카카오에 역대 최대인 150억 규모의 과징금을 부과했다. 하지만 카카오는 개인정보위가 문제 삼은 임시 ID 및 회원일련번호에 대해 "그 자체로 개인 식별이 불가능해 개인정보라고 판단할 수 없다"며 행정소송을 포함한 다양한 조치를 검토하겠다고 밝혀 법적 공방을 예고했다.

역대 최대 과징금 부과

개인정보위는 23일 개인정보보호 법규를 위반한 카카오에 총 151억4196만원의 과징금과 780만원의 과태료를 부과하고, 시정명령을 내렸다. 이는 기존 최대 과징금이었던 골프존의 75억여원보다 두 배 이상 많은 금액으로 역대 최대 규모다.

앞서 개인정보위는 오픈채팅방 관련 카카오의 개인정보에 관한 기술·관리적 보호조치 등에 대한 조사를 진행했다. 그 결과 카카오가 '안전조치의무' 및 '유출 신고·통지 의무'를 위반했다고 봤다.

개인정보위에 따르면 오픈채팅방의 취약점을 악용해 해커는 최소 6만5719건의 개인정보를 조회한 것으로 추정된다. 개인정보위는 카카오가 익명 오픈채팅방을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용해 ‘안전조치의무'를 위반한 것으로 봤다.

하지만 카카오는 "사실과 다르다"며 반박에 나섰다.

카카오는 '회원일련번호'나 '임시ID'가 카카오톡 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보라고 설명했다. 이는 숫자로 구성된 문자열로, 다른 사회관계망서비스(SNS)에서도 누구나 쉽게 얻을 수 있게 돼 있다는 것이다. 결국 그 자체로는 어떤 개인정보도 포함하고 있지 않고, 이것만으론 개인 식별이 불가능하다는 입장이다. 카카오 측은 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니기 때문에 이를 암호화하지 않은 것도 법령 위반으로 볼 수 없다"고 부연했다.

개인정보위는 또 카카오가 2020년 8월부터는 오픈채팅방 임시ID를 암호화했지만, 기존 개설됐던 일부 오픈채팅방은 암호화되지 않아 임시ID가 그대로 사용되고 있던 부분도 허점으로 지적했다. 해커가 이 같은 취약점을 이용해 암호화 여부와 상관없이 모든 오픈채팅방의 임시ID와 회원일련번호를 알아낼 수 있었고, 회원일련번호로 다른정보와 결합해서 판매했다는 것이다. 이에 대해 카카오 측은 "임시 ID는 그 자체로는 개인 식별이 불가능해 개인정보라고 판단할 수 없다"고 해명했다.

카카오, 행정소송 불사

카카오는 해커의 독자적 불법행위까지 카카오 과실로 판단한 부분에 대해서도 억울함을 호소했다. 카카오 측은 "해커가 결합해 사용한 다른 정보는 카카오에서 유출된 것이 아니다"라고 선을 그었다. 해커가 불법적인 방법을 통해 자체 수집했기 때문에 카카오의 위법성을 판단할 때 고려돼서는 안 된다는 점도 명확히 했다.

아울러 개인정보위가 '유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보보호법을 위반했다'고 판단한 부분에 대해선 "상황을 인지한 즉시 경찰에 선제적으로 고발하고 한국인터넷진흥원(KISA)과 과학기술정보통신부에도 신고를 했다. 경찰 조사에 적극 협조하고 관계 기관에도 소명을 진행해 왔다"고 설명했다.

이어 "전담 조직을 통해 외부 커뮤니티 및 SNS 등을 상시 모니터링해 보안 이슈를 점검하고 진위 확인 시 적절한 조치를 취하는 등의 활동을 적극적으로 하고 있다"며 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정"이라고 부연했다.

soup@fnnews.com 임수빈 기자