카카오톡 오픈채팅방 ID 암호화 안 해 정보 유출
유출 사실 인지 후에도 신고 및 이용자 통지 없어
경기도 성남시 카카오 판교아지트 모습. 성남=임세준 기자 |
[헤럴드경제=권제인 기자] 카카오가 지난해 발생한 오픈채팅 이용자 개인정보 유출 사고로 과징금 151억원, 과태료 780만원을 물게 됐다. 국내 기업 중 역대 최대 과징금 규모다.
카카오는 익명채팅을 표방한 오픈채팅을 운영하며 ID를 암호화하지 않았고 개인정보 유출을 인지한 이후에도 이용자에게 이를 알리지 않은 것으로 조사됐다.
개인정보위는 22일 전체회의에서 카카오에 대해 안전조치의무 위반과 개인정보 유출 신고 및 피해자 통지 의무 위반으로 과징금 총 151억4196만원과 과태료 780만원을 부과하기로 의결했다. 또한, 카카오에 이용자 대상 유출 통지를 할 것을 시정명령하는 동시에 개인정보위 홈페이지에 처분 결과를 공표하기로 했다.
고학수 개인정보보호위원회 위원장이 3일 정부서울청사에서 열린 AI 프라이버시 민·관 정책협의회 전체회의에서 모두발언을 하고 있다. [연합] |
이번 과징금은 국내 기업 기준 역대 최대 금액이다. 이전 최대액은 골프존 75억원이다.
개인정보위 조사 결과 카카오는 익명채팅을 표방한 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용한 것으로 나타났다.
2020년 8월부터는 오픈채팅방 임시ID를 암호화했지만, 기존에 개설되었던 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐다. 이 오픈 채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인됐다.
해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 알아내고 카카오톡의 친구추가 기능 등을 이용해 일반채팅 이용자 정보를 알아냈다. 이후 이들 정보들을 회원일련번호를 기준으로 결합해 개인정보 파일을 생성·판매한 것으로 확인됐다.
또한, 카카오는 개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성행위 방법이 이미 공개돼 있었는데도 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았다.
오전 경기도 성남시 카카오 판교아지트 모습. 성남=임세준 기자 |
더불어 카카오는 지난해 언론보도 및 개인정보위 조사 과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출됐다는 사실이 확인됐지만, 유출신고와 이용자 대상 유출 통지를 하지 않았다.
개인정보위는 “이번 처분으로 카카오톡 같이 대다수 국민이 이용하는 서비스는 잘 알려진 보안 취약점을 점검·개선하는 것도 중요하지만, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대한 지속적인 점검과 노력도 중요하다는 인식이 자리 잡는 계기가 되기를 바란다”고 밝혔다.
이번 개인정보위 조치와 관련해 카카오 측은 “개인정보위에 적극적으로 소명했으나 이같은 결과나 나와 매우 아쉽다”며 “위 결정에 대해 행정소송을 포함한 다양한 조치 및 대응을 검토할 것”이라고 밝혔다.
eyre@heraldcorp.com