• 페이스북
  • 트위터
  • 유튜브

'오픈채팅방 개인정보 유출' 카카오 151억 과징금 철퇴

등록 2024.05.23 12:00:00수정 2024.05.23 14:08:52

  • 이메일 보내기
  • 프린터
  • PDF

개인정보위, 카톡 오픈채팅 이용자 정보 유출사고 관련 역대급 과징금 제재

이용자 정보 암호화 조치 없어…피해자 대상 개인유출통지조차 미흡

[서울=뉴시스] 배훈식 기자 = 고학수 개인정보보호위원장이 22일 오후 서울 종로구 정부서울청사에서 열린 제9회 전체회의에서 발언하고 있다. 2024.05.22. dahora83@newsis.com

[서울=뉴시스] 배훈식 기자 = 고학수 개인정보보호위원장이 22일 오후 서울 종로구 정부서울청사에서 열린 제9회 전체회의에서 발언하고 있다. 2024.05.22. [email protected]


[서울=뉴시스]송혜리 기자 = 카카오가 개인정보보호법 위반 혐의로 역대급 과징금을 물게 됐다. 익명채팅방을 표방하는 '오픈채팅방'을 운영하면서 이용자 정보를 암호화하지 않는 등 개인정보 관리 소홀로 이용자들의 정보가 빠져나갈 수 있도록 했다는 이유다.

개인정보보호위원회는 지난 22일 열린 전체회의를 통해 카카오에 과징금 151억4196만원과 과태료 780만원을 각각 부과하기로 의결했다고 23일 밝혔다. 아울러 카카오에 문제점을 바로 잡도록 시정명령하는 동시에 이번 처분결과를 외부 공표하도록 했다.

개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자들의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사했다.

개인정보위 조사결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고, 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 빼냈다. 해커는 이들 정보들을 회원일련번호를 기준으로 결합해 6만5000건 이상의 개인정보 파일을 생성해 판매한 것으로 확인됐다.

오픈채팅방 임시ID 암호화 조치 없이…악용 가능성 커뮤니티 공유됐는데도 점검하지 않아

이 과정에서 개인정보위는 카카오가 관련 법규에 따른 개인정보 안전조치 의무와 유출 신고·통지 의무를 위반했다고 본다.

개인정보위에 따르면, 카카오는 익명채팅을 표방하는 오픈채팅을 운영하면서 일반 채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화없이 그대로 사용했다. 임시ID는 카카오톡 버전+오픈채팅방ID+회원일련번호를 붙이는 형태로 사용자들에게 발급 됐고, 이는 암호화되지 않았기 때문에 보안 취약점을 뚫은 해커는 쉽게 회원일련번호를 획득할 수 있었다.

카카오는 2020년 8월부터 오픈채팅방 임시ID를 암호화했지만, 기존에 개설됐던 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐다. 또 해당 방에서 암호화된 임시ID로 게시글을 작성하면, 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다.

결국 해커는 이러한 취약점 등을 이용해 암호화 여부와 상관없이 모든 오픈채팅방의 임시ID와 회원일련번호를 알아냈다. 동시에 무작위로 만들어낸 대량의 휴대전화번호로 일반채팅에서 친구추가 기능을 이용, 사용자의 실명과 회원일련번호 등을 알아냈다. 해커는 오픈채팅과 일반채팅에서 획득한 정보를 결합, 사용자 실명, 휴대전화번호, 오픈채팅방 닉네임들이 포함된 정보를 만들어 판매했다.

한편, 카카오톡 전송 방식을 분석한 해킹 프로그램으로 이용자 정보 추출 등이 가능하다고 공개·지적돼 왔음에도 카카오는 관련 내용의 서비스 영향도, 개인정보 유출 등 피해 가능성에 대한 검토·개선 등의 조치도 소홀히 했다는 게 개인정보위의 설명이다.

개인정보 유출 사실 알고도 통지 하지 않아…"설계·개발 과정에서의 개인정보 침해 점검 필요"

개인정보위는 카카오가 지난해 3월 언론보도·개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않았던 점도 지적했다.

개인정보위는 "이번 처분으로 카카오톡 같이 대다수 국민이 이용하는 서비스는 잘 알려진 보안 취약점을 점검·개선하는 것도 중요하지만, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리잡는 계기가 되기를 바란다"고 밝혔다.


◎공감언론 뉴시스 [email protected]

많이 본 기사