개인정보위 “오픈채팅방 보안 취약점 소홀” vs 카카오 “해커 잘못을 왜?”

By이대호

개인정보보호위원회(위원장 고학수, 개인정보위)가 지난 22일 전체회의를 열어 카카오에 151억4196억원의 과징금과 780만원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결했다. 개인정보 유출사고로는 국내 기업 기준 역대 최대 과징금으로 파악된다.

카카오는 개인정보 유출사고가 아니라고 정면 반박했다. 회사 측은 “개인정보위에 적극적으로 소명했으나 이 같은 결과가 나오게 되어 매우 아쉽다”며 “행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정”이라고 밝혔다.

개인정보위 입장

개인정보위에 따르면 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 보도에 따라 개인정보보호법 위반 여부를 조사했다.

조사 결과, 해커가 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했고, 카카오톡의 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보했다. 이들 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인했다는 게 개인정보위 설명이다.

즉, 카카오가 오픈채팅방 회원일련번호와 임시ID 연계로 개인정보가 노출될 가능성이 있음에도 그에 대한 검토와 개선 조치를 소홀히 했다고 봤다. 임시ID까지 암호화해 회원일련번호가 노출되지 않도록 하는 등 조치를 했어야 한다는 것이다.

카카오톡 전송방식을 분석한 공개 API를 이용하면, 이용자 정보 추출 등이 가능하다는 지적이 개발자 커뮤니티 등에 공개돼 왔음에도 불구하고 피해 가능성에 대한 검토와 개선 조치가 미흡하다고도 봤다.

카카오 입장

카카오는 익명의 오픈채팅방의 회원일련번호와 임시ID는 개인정보가 아니라는 입장이다. 개인 식별이 불가능하다는 것이다. 이 일련번호는 암호화 대상이 아니므로 법령 위반이 아니라고 했다. 이 때문에 임시ID 암호화 조치는 자체적인 보안 강화이지, 법령 위반에 따른 조치가 아니라는 설명이다.

회사는 조 바이든 미국 대통령 페이스북 페이지를 예로 들었다. 웹페이지 소스코드 보기를 하면 임시ID(숫자값)을 볼 수 있다고 전했다. 프로필 페이지에서도 소스코드 보기를 할 경우 회원일련번호를 볼 수 있다고 했다. 이를 악용하려는 어뷰저가 회원일련번호를 확인해도 ‘유출’로는 볼 수 없다는 입장이다.

“임시 ID는 숫자로 구성된 문자열이자 난수로서 여기에는 어떠한 개인정보도 포함되어 있지 않고 그 자체로는 개인 식별이 불가능하여 개인정보라고 판단할 수 없습니다. 그럼에도 불구하고 당사는 오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영 및 관리하였고, 이에 더해 2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용한 바 있습니다.”

정보 유출은 뭔가

개인정보위는 오픈채팅 서비스 설계·구현 과정에서의 과실과 카카오톡 전송방식을 분석해서 만든 해킹 프로그램을 이용한 악성행위에 대한 대응조치 미흡 등으로 인해서 카카오가 처리 중인 개인정보가 해커에게 공개·유출됐고, 카카오가 개인정보보호법의 안전조치 의무를 위반한 것으로 판단했다.

카카오는 해커가 오픈채팅의 암호화 여부와 상관없이 임시ID와 회원일련번호를 알아낼 수 있었고, 회원일련번호로 다른 정보와 결합해서 판매했다고 언급한 것에 대해 “해커가 결합하여 사용한 ‘다른 정보’란 당사에서 유출된 것이 아니”라며 “이는 해커가 불법적인 방법을 통해 자체 수집한 것으로 당사의 위법성을 판단할 때 고려되어서는 안 된다고 생각된다”고 밝혔다.

거액 과징금 두고 다툼 전망

개인정보위는 과징금 산출 근거에 대해 “밝힐 수 없다”고 했다. 이전에도 밝힌 적 없다는 것이다. ‘관련 매출 3%’ 추측이 필요하다. 카카오도 산출 근거에 대해 “들은 바 없고, 모른다”고 했다.

카카오에 따르면 오픈채팅방은 무료 서비스다. 광고와 같은 간접 매출은 일어난다. 이를 감안하면 플랫폼 부문에서 톡비즈 매출을 근거했다고 추정할 수 있으나, 물론 확실하지 않다.

이러한 계산을 떠나 카카오는 ‘개인정보 유출’이 아니므로 거액의 과징금을 맞을 이유가 없다는 입장이다. 해커가 회원일련번호인 개인 비식별 정보에 불법 프로그램 등을 이용해 자체 확보한 이용자 정보로 개인을 특정할 수 있는 정보를 만들고 이를 거래한 것으로 위법성 판단 시 고려 대상이 아니라는 주장이다. 즉, 카카오가 아닌 해커 잘못이라는 강경한 입장이다.

개인정보위는 해커 공격으로 전체 회원의 44%인 221만명의 이름과 전화번호, 이메일 등 개인정보가 유출된 골프존(약 75억원)보다도 카카오 과징금을 더욱 무겁게 매겼다.

개인정보위는 “카카오톡과 같이 대다수 국민이 이용하는 서비스의 경우 보안 취약점을 상시적으로 점검·개선하는 한편 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대해서도 지속적인 점검과 노력이 필수적이라는 인식이 자리잡기를 기대한다”고 밝혔다.

글. 바이라인네트워크
<이대호 기자>ldhdd@byline.network

저랑 노래방 가실 분?

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다