안전조치 의무위반 및 유출 신고·피해자 통지 소홀 등에 대해 제재
카카오 “결과 아쉬워, 소송 검토”
[보안뉴스 박은주 기자] 카카오가 국내 기업 중 역대 최대 금액인 151억 4,196만 원의 과징금을 물게 됐다. 2023년 3월 발생한 카카오톡 오픈채팅 이용자 개인정보 유출과 관련해 개인정보보호 법규를 위반해서다.
▲카카오가 오픈채팅 이용자 개인정보 유출사고로 인해 과징금 151억을 물게 됐다[이미지=카카오톡]
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 5월 22일 제9회 전체회의를 열고, 개인정보보호 법규를 위반한 카카오에 대해 의결했다. 역대 최대 과징금과 함께 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표했다.
▲개인정보 유출 과정[자료=개인정보위]
개인정보위는 2023년 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사했다. 조사 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했다. 카카오톡 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보했으며, 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인됐다.
개인정보위는 카카오가 카카오톡 서비스를 제공하는 과정에서 ‘안전조치 의무’, ‘유출 신고·통지 의무’ 위반 사실을 확인했다. 먼저, 카카오는 익명 채팅이라고 홍보하며 오픈채팅 서비스를 운영했다. 일반채팅과 오픈채팅을 이용하는 이용자를 동일한 회원 일련번호로 식별할 수 있게 이용자 식별체계를 구현했다. 오픈채팅 참여자는 오픈채팅방 정보(오픈채팅방 ID)와 회원일련번호로 구성한 임시ID를 메시지 송수신 시 사용했다.
이때 2020년 8월 이전에 생성된 오픈채팅방은 참여자 임시ID를 암호화하지 않았고, 임시ID에서 회원일련번호를 확인해 회원정보를 알아낼 수 있었다.
2020년 8월 이후에 생성된 오픈채팅방은 임시ID를 암호화했지만, 오픈채팅방 게시판에 암호화된 임시ID를 입력하면 암호화를 해제하고 평문으로 임시ID를 노출하는 취약점이 발견됐다. 참여자의 암호화된 임시ID도 쉽게 회원일련번호를 확인할 수 있었다.
이처럼 카카오는 카카오톡 서비스 설계‧운영 과정에서 회원일련번호와 임시ID가 연계돼 오픈채팅의 익명성이 훼손 또는 개인정보 노출될 가능성이 있음에도 그에 대한 검토와 개선조치를 소홀히 했다. 이와 마찬가지로, 오픈채팅방 게시판에 있던 보안 취약점에 대한 점검과 개선조치도 소홀히 한 것으로 드러났다.
회원일련번호 연계에 따른 익명성 훼손을 방지하려면 오픈채팅 이용자는 일반채팅과 다른 식별체계로 구성하거나, 임시ID를 암호화해 회원일련번호가 노출되지 않도록 하는 방법 등이 있다. 카카오는 지난해 사고 발생 이후 모든 오픈채팅방 참여자의 임시ID를 뒤늦게 암호화했다.
또한, 카카오톡 전송방식을 분석한 공개된 API를 이용하면 이용자 정보 추출 등이 가능하다는 지적이 개발자 커뮤니티 등에 제기돼 왔다. 그러나 카카오는 관련 내용이 서비스에 미치는 영향, 개인정보 유출 등 피해 가능성에 대한 검토와 개선 조치에 미흡했다.
카카오는 △오픈채팅 서비스 설계‧구현 과정에서의 과실 △카카오톡 전송방식을 분석해서 만든 해킹 프로그램을 이용한 악성행위에 대한 대응조치 미흡 등으로 인해서 개인정보가 해커에게 공개‧유출됐다. 따라서 카카오는 개인정보 보호법의 안전조치 의무를 위반했다고 개인정보위는 결정했다.
또한, 카카오는 유출 신고·통지 의무에 관한 개인정보 보호법을 위반했다. 2023년 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않은 것.
개인정보위는 이용자 개인정보가 유출된 카카오에 대해 안전조치 의무 위반으로 과징금을 부과하고, 유출 신고·통지의무 위반 등에 대해서는 과태료 부과를 결정했다. 또한, 카카오에 이용자 대상 유출 통지를 해야 한다는 점을 시정명령하는 동시에, 개인정보위 홈페이지에 처분 결과를 공표하기로 했다.
이번 처분과 관련해 개인정보위는 “카카오톡과 같이 대다수 국민이 이용하는 서비스의 경우 보안 취약점을 상시 점검‧개선해야 한다”며, “설계‧개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대해서도 지속적인 점검과 노력이 필수적이라는 인식이 자리잡기를 기대한다”고 밝혔다.
반면 카카오는 개인정보위 결정에 아쉬움을 표하며, 행정소송 등 다양한 조치 및 대응을 적극적으로 검토하겠다는 입장을 밝혔다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>