23日 個人情報保護委員會는 第9回 全體會議를 통해 카카오에 對해 安全措置義務 違反으로 課徵金 151億4196萬원을, 安全措置義務와 流出 申告·通知義務 違反으로 過怠料 780萬원을 賦課했다고 밝혔다.

아울러 카카오가 利用者에게 流出 通知를 할 것을 是正命令하고, 個人情報委 홈페이지에 이러한 處分 結果를 公表하기로 했다.

카카오에게 賦課된 課徵金 151億원은 旣存까지 歷代 最大 課徵金이었던 골프존의 75億餘원보다 두 倍 以上 많은 金額이다.

지난해 3月 個人情報委는 카카오톡 오픈채팅 利用者의 個人情報가 不法 去來되고 있다는 報道에 따라 個人情報保護法 違反 與否 調査에 着手했다.

오픈 채팅房은 匿名으로 자유롭게 入場할 수 있는 公開된 채팅房이다. 當時 온라인 마케팅 프로그램을 去來하는 한 사이트에서는 카카오톡 오픈 채팅房 參與者의 實名과 電話番號 等 情報를 抽出해준다는 業體의 廣告 글이 잇달아 올라왔던 것으로 알려졌다.

個人情報委는 해커가 오픈 채팅房의 脆弱點을 利用해 이곳에 參與한 利用者 情報(臨時ID)를 알아내고, 카카오톡의 ‘親舊 追加’ 機能 等을 통해 一般채팅 利用者 情報(會員一連番號)를 把握한 것으로 分析했다.

이들 情報를 ‘會員一連番號’를 基準으로 結合해 個人情報 파일로 生成했고, 이를 텔레그램 等에 販賣한 것으로 確認됐다.

會員一連番號는 카카오톡 內部에서만 管理를 目的으로 쓰이는 情報로, 住民登錄番號나 社員證 番號처럼 個人에게 附與된 固有 番號와 類似한 槪念이다.

남석 個人情報委 調査調停局長은 “正確한 流出 規模는 警察에서 調査 中”이라며 “特定 사이트에 카카오톡 오픈채팅房 利用者 696名의 情報가 올라와 있는 것을 確認했고, 해커가 最小 6萬5719件의 (個人情報를) 照會한 것으로 確認했다”고 밝혔다.

個人情報委는 카카오가 오픈채팅 서비스를 運營하면서 參與者의 臨時 아이디(ID)를 暗號化하지 않아, 臨時 아이디에서 會員一連番號를 쉽게 確認할 수 있었다고 說明했다.

2020年 8月부터 오픈 채팅房 臨時 아이디를 暗號化하는 措處를 했으나, 旣存에 開設된 一部 오픈 채팅房의 臨時 아이디는 如前히 暗號化가 되지 않은 채 그대로 쓰였던 것으로 確認됐다.

이러한 脆弱點을 파고든 해커는 暗號化 與否와 相關없이 모든 오픈 채팅房의 臨時아이디와 會員一連番號를 알아냈고, 會員一連番號로 다른 情報와 結合해서 販賣할 수 있었다는 것이다.

開發者 커뮤니티에서 카카오톡 API(응용프로그램 인터페이스)를 利用한 各種 惡性 行爲 方法이 公開됐음에도, 카카오는 個人情報 流出 可能性에 對한 點檢과 措置를 제대로 하지 않았다고 個人情報委는 指摘했다.

카카오는 카카오톡 오픈채팅房 利用者의 個人情報가 流出되고 있다는 事實을 認知했음에도 申告하지 않았을뿐더러, 利用者에게 이 事實을 알리지도 않았다.

個人情報委는 “카카오톡처럼 大多數 國民이 利用하는 서비스는 保安 脆弱點을 改善하는 것만큼이나, 設計·開發 過程에서 發生할 수 있는 個人情報 侵害 可能性에 對한 持續的인 點檢과 努力도 重要하다는 認識이 자리 잡는 契機가 되기를 바란다”고 밝혔다.

카카오는 이날 立場門을 내고 “會員一連番號와 臨時 아이디는 그 自體로 어떠한 個人情報도 包含하고 있지 않으며, 이것으로 個人 識別이 不可能하다”며 “事業者가 生成한 서비스 一連番號를 暗號化하지 않은 것은 法令 違反으로 볼 수 없을 것”이라고 反駁했다.

이어 “專擔 組織을 통해 外部 커뮤니티 및 社會關係網서비스(SNS) 等을 常時 모니터링하고 保安 이슈를 點檢하고 있다”며 “行政訴訟을 包含한 다양한 法的 措置 및 對應을 積極 檢討할 豫定”이라고 强調했다.