개인정보 유출한 카카오에 ‘과징금 151억’... 역대 최대 금액

2024-05-23 15:55
  • 카카오톡
  • 네이버 블로그
  • url
2023년 카카오 오픈채팅 이용자 개인정보 유출사고, 과징금 151억 과태료 780만원 부과
안전조치 의무위반 및 유출 신고·피해자 통지 소홀 등에 대해 제재
카카오 “결과 아쉬워, 소송 검토”


[보안뉴스 박은주 기자] 카카오가 국내 기업 중 역대 최대 금액인 151억 4,196만 원의 과징금을 물게 됐다. 2023년 3월 발생한 카카오톡 오픈채팅 이용자 개인정보 유출과 관련해 개인정보보호 법규를 위반해서다.


▲카카오가 오픈채팅 이용자 개인정보 유출사고로 인해 과징금 151억을 물게 됐다[이미지=카카오톡]

개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 5월 22일 제9회 전체회의를 열고, 개인정보보호 법규를 위반한 카카오에 대해 의결했다. 역대 최대 과징금과 함께 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표했다.


▲개인정보 유출 과정[자료=개인정보위]

개인정보위는 2023년 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사했다. 조사 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했다. 카카오톡 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보했으며, 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인됐다.

개인정보위는 카카오가 카카오톡 서비스를 제공하는 과정에서 ‘안전조치 의무’, ‘유출 신고·통지 의무’ 위반 사실을 확인했다. 먼저, 카카오는 익명 채팅이라고 홍보하며 오픈채팅 서비스를 운영했다. 일반채팅과 오픈채팅을 이용하는 이용자를 동일한 회원 일련번호로 식별할 수 있게 이용자 식별체계를 구현했다. 오픈채팅 참여자는 오픈채팅방 정보(오픈채팅방 ID)와 회원일련번호로 구성한 임시ID를 메시지 송수신 시 사용했다.

이때 2020년 8월 이전에 생성된 오픈채팅방은 참여자 임시ID를 암호화하지 않았고, 임시ID에서 회원일련번호를 확인해 회원정보를 알아낼 수 있었다.

2020년 8월 이후에 생성된 오픈채팅방은 임시ID를 암호화했지만, 오픈채팅방 게시판에 암호화된 임시ID를 입력하면 암호화를 해제하고 평문으로 임시ID를 노출하는 취약점이 발견됐다. 참여자의 암호화된 임시ID도 쉽게 회원일련번호를 확인할 수 있었다.

이처럼 카카오는 카카오톡 서비스 설계‧운영 과정에서 회원일련번호와 임시ID가 연계돼 오픈채팅의 익명성이 훼손 또는 개인정보 노출될 가능성이 있음에도 그에 대한 검토와 개선조치를 소홀히 했다. 이와 마찬가지로, 오픈채팅방 게시판에 있던 보안 취약점에 대한 점검과 개선조치도 소홀히 한 것으로 드러났다.

회원일련번호 연계에 따른 익명성 훼손을 방지하려면 오픈채팅 이용자는 일반채팅과 다른 식별체계로 구성하거나, 임시ID를 암호화해 회원일련번호가 노출되지 않도록 하는 방법 등이 있다. 카카오는 지난해 사고 발생 이후 모든 오픈채팅방 참여자의 임시ID를 뒤늦게 암호화했다.

또한, 카카오톡 전송방식을 분석한 공개된 API를 이용하면 이용자 정보 추출 등이 가능하다는 지적이 개발자 커뮤니티 등에 제기돼 왔다. 그러나 카카오는 관련 내용이 서비스에 미치는 영향, 개인정보 유출 등 피해 가능성에 대한 검토와 개선 조치에 미흡했다.

카카오는 △오픈채팅 서비스 설계‧구현 과정에서의 과실 △카카오톡 전송방식을 분석해서 만든 해킹 프로그램을 이용한 악성행위에 대한 대응조치 미흡 등으로 인해서 개인정보가 해커에게 공개‧유출됐다. 따라서 카카오는 개인정보 보호법의 안전조치 의무를 위반했다고 개인정보위는 결정했다.

또한, 카카오는 유출 신고·통지 의무에 관한 개인정보 보호법을 위반했다. 2023년 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않은 것.

개인정보위는 이용자 개인정보가 유출된 카카오에 대해 안전조치 의무 위반으로 과징금을 부과하고, 유출 신고·통지의무 위반 등에 대해서는 과태료 부과를 결정했다. 또한, 카카오에 이용자 대상 유출 통지를 해야 한다는 점을 시정명령하는 동시에, 개인정보위 홈페이지에 처분 결과를 공표하기로 했다.

이번 처분과 관련해 개인정보위는 “카카오톡과 같이 대다수 국민이 이용하는 서비스의 경우 보안 취약점을 상시 점검‧개선해야 한다”며, “설계‧개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대해서도 지속적인 점검과 노력이 필수적이라는 인식이 자리잡기를 기대한다”고 밝혔다.

반면 카카오는 개인정보위 결정에 아쉬움을 표하며, 행정소송 등 다양한 조치 및 대응을 적극적으로 검토하겠다는 입장을 밝혔다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 프로브디지털

    • 인텔리빅스

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 세연테크

    • 비전정보통신

    • 디비시스

    • 동양유니텍

    • 스피어AX

    • 투윈스컴

    • 아이리스아이디

    • 한결피아이에프

    • 유에치디프로

    • 위트콘

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 이글루코퍼레이션

    • 엔피코어

    • 시만텍

    • 트렐릭스

    • 스텔라사이버

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 미래시그널

    • 케이제이테크

    • 알에프코리아

    • 유투에스알

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 구네보코리아주식회사

    • 티에스아이솔루션

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 이오씨

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기