[디지털데일리 이나연기자] 카카오가 카카오톡 익명 채팅 서비스인 ‘오픈채팅’에서 발생한 이용자 개인정보 불법 거래 관련 역대 최대 과징금을 부과받은 데 대해 반발하며 행정소송을 예고했다.

23일 개인정보보호위원회(개인정보위)는 전체회의를 열고 카카오에 과징금 총 151억4196만원과 과태료 780만원을 부과하기로 했다. 이는 개인정보보호 법규를 위반한 국내 기업 중 역대 최대 규모 과징금이다.

이날 카카오는 오픈채팅 이슈 관련 개인정보위 결정에 대한 입장문을 통해 “개인정보위에 적극 소명했으나 이러한 결과가 나와 매우 아쉽다”며 “행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정”이라고 밝혔다.

개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자 개인정보가 불법 거래되고 있다는 언론 보도에 따라 카카오의 개인정보보호법 위반 여부를 조사했다. 그 결과, 해커는 카카오톡 오픈채팅의 취약점을 이용해 오픈채팅 참여자 정보를 알아냈고 카카오톡 친구추가 등 기능을 이용해 일반채팅 이용자 정보까지 빼낸 것으로 드러났다.

하지만 카카오는 개인정보위가 보도자료에서 발표한 내용들이 회사가 파악한 사실과 다른 측면이 있다며 조목조목 반박에 나섰다.

◆임시ID는 모든 온라인 서비스 공통…“개인 식별 불가”

먼저 개인정보위는 카카오가 카카오톡 서비스를 제공하는 과정에서 안전조치 의무를 위반했다고 판단했다. 익명의 오픈채팅을 운영하면서 일반채팅에 사용하는 회원 일련번호와 오픈채팅 정보를 단순 연결한 임시 아이디(ID)를 만들어 암호화 없이 사용했다는 이유에서다.

카카오는 “회원 일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보”라며 “이는 숫자로 구성된 문자열로서, 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며, 개인 식별이 불가능하다”라고 반박했다.

이어 “​​사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없다”고도 덧붙였다.

◆“오픈채팅 서비스 초기부터 보안 강화 지속”

개인정보위는 카카오가 지난 2020년 8월부터 오픈채팅 임시ID를 암호화했지만 기존 개설된 일부 채팅방에는 적용되지 않았고, 오픈채팅에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점이 있다는 점도 지적했다.

하지만 카카오는 오픈채팅 보안을 위해 선제적 난독화 등 보안 강화 노력을 지속했다는 입장이다. 카카오는 “오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영 및 관리했고, 2020년 8월 이후 생성된 오픈채팅방엔 더욱 보안을 강화한 암호화를 적용한 바 있다”라고 해명했다.

◆“해커의 독자적 불법행위까지 카카오 과실로 판단”

해커가 오픈채팅의 암호화 여부와 상관없이 임시ID와 회원 일련번호를 알아낼 수 있었고, 회원 일련번호로 다른 정보와 결합해서 판매했다는 내용에 대해선 개인정보위가 “해커의 독자적 불법행위까지 카카오 과실로 판단했다”라고 맞받아쳤다.

카카오는 “해커가 결합해 사용한 ‘다른 정보’란 당사에서 유출된 것이 아니다”라며 “이는 해커가 불법적인 방법을 통해 자체 수집한 것으로 당사의 위법성을 판단할 때 고려돼선 안 된다”라고 주장했다.

◆“사건 인지 즉시 신고하고 수사 협조해”

아울러 지난해 언론 보도 및 개인정보위 조사 과정에서 카카오톡 오픈채팅 이용자 개인정보가 유출되고 있다는 사실을 인지했음에도 부실한 대응 조치를 보였다는 것과 관련해 카카오는 사건 인지 즉시 신고하고, 수사에도 적극 협조했다고 강조했다.

카카오는 “해당 건을 개인정보보호법 위반으로 보기 어렵다고 판단했지만, 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 한국인터넷진흥원(KISA)과 과학기술정보통신부에도 신고했다”라고 말했다.

또 “경찰 조사에 적극적으로 협조하고 관계 기관에도 소명을 진행해 왔다”며 “지난해 3월13일엔 전체 이용자 대상으로 주의를 환기하는 서비스 공지를 카카오톡 공지사항에 게재한 바 있다”라고 전했다.

카카오 측은 “전담 조직을 통해 외부 커뮤니티와 사회관계망 서비스(SNS) 등을 상시 모니터링해 보안 이슈를 점검하고 진위 확인 시 적절한 조치를 취하는 등의 활동을 적극적으로 하고 있다”라고 덧붙였다.

한편, 업계는 이번 사건을 기업 서비스 자체에서 발생한 개인정보 유출과 다른 시각으로 봐야 한다며 정보 결합에 따른 개인정보화 문제 등에 명확한 기준 설정이 필요하다고 말했다.

한국인터넷기업협회 관계자는 “오픈채팅 이용자 개인정보 유출 건의 핵심은 해커가 외부에서 불법 프로그램을 사용함으로써 무작위로 정보를 결합해 개인정보를 확보한 것”이라며 “국내에선 정보 결합을 어디까지 허용하는지 명확한 기준이 없는 상태인데, 기업 내부에서 개인정보가 유출된 경우와 차이를 두지 않는다면 향후 개인정보 분야 사업은 위축될 수 있다”라고 우려했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -