개인정보위, 카카오에 과징금 151억원…"오픈채팅 이용자 정보 유출 책임"
https://www.hankyung.com/article/202405237982i
개인정보위, 카카오에 과징금 151억원…"오픈채팅 이용자 정보 유출 책임"
개인정보위, 카카오에 과징금 151억원…"오픈채팅 이용자 정보 유출 책임", 국내 업체 역대 최고 금액 "해커가 오픈채팅 취약점 악용해 정보 유출" 반박 나선 카카오 "임시 ID는 개인정보로 볼 수
www.hankyung.com
한국경제 2024.05.23 이승우 기자
- 개인정보보호위원회가 오픈채팅 이용자의 개인정보 유출 책임을 물어 개인정보 보호법을 위반한 카카오에 대해 과징금 151억 4196만원과 과태료 780만원을 부과
- 개인정보보호위원회는 작년 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부 조사
- 조사결과 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보 탈취 후 친구추가 기능 등을 통해 일반채팅 이용자 정보를 파악함. '회원일련번호'를 매개로 두 가지 정보를 결합해 개인정보 파일을 생성, 판매한 것으로 확인
- 카카오는 오픈채팅을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순 연결한 임시ID를 만들어 암호화 없이 사용함. 때문에 임시ID를 알면 카카오톡 회원일련번호를 쉽게 알수 있음
- 해커는 친구추가 기능 등을 통해 휴대폰번호, 프로필명, 회원일련번호를 정리한 데이터베이스 확보 => 이후 오픈 채팅방 참여자의 회원일련번호와 대조하여 특정 채팅방 참여자들의 휴대폰번호와 프로필명을 생성
- 카카오는 2020년 8월부터 오픈채팅방 임시ID를 암호화했지만 기존에 개설된 오픈채팅방은 암호화되지 않은 상태로 사용함. 또한 이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인
- 카카오 입장 : 회원일련번호와 임시ID는 메신저를 포함하는 서비스 제공을 위해 꼭 필요한 정보이며, 이것들은 숫자로 구성된 문자열로 어떠한 개인정보도 포함하고 있지 않아 개인식별이 불가능함. 해커가 임시ID와 회원일련번호를 알아내 다른정보와 결합하여 판매한 것에 대해서는 해커가 불법적인 방법을 통해 자체 수집한 것으로 카카오에서 유출한 것은 아니며 카카오의 위법성을 판단할 때 고려되서는 안된다고 반박함.
- 개인정보보호위원회는 과태료의 근거로 카카오가 유출 신고와 이용자 대상 유출 통지를 하지 않았다고 하였으나 카카오는 해당 건에 대해서는 개인정보 보호법 위반으로 보기 어렵다고 판단했음에도 상황을 인지한 즉시 경찰에 선제적으로 고발하고 KISA와 과학기술정보통신부에 신고했으며 작년 3월 13일 전체 이용자를 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재했음을 강조함. 카카오 측은 개인정보보호위원회에 적극적으로 소명했지만, 이 같은 결과가 나와 매우 아쉽다며 행정소송을 포함한 다양한 조치와 대응을 적극적으로 검토할 예정이라고 말했다.