개인정보보호위원회가 약 6만5000건의 개인정보를 유출한 카카오에 151억4196만원의 과징금과 780만원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결했습니다. 지난해 3월, 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 보도가 나온 것이 처분의 발단이 됐는데요. 개보위가 카카오의 개인정보보호법 위반 여부를 조사한 결과, 개인정보보호 법률을 위반했다고 판단한 결과입니다.
개보위에 따르면, 해커는 카카오톡 오픈채팅의 취약점을 이용해 참여자 정보를 획득했습니다. 그리곤 카카오톡 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보하였습니다. 해커는 이 이용자들의 정보를 '회원일련번호'를 기준으로 결합하여 개인정보 파일을 생성 및 판매해왔는데요.
개보위는 카카오가 카카오톡 서비스의 설계와 운영 과정에서 회원일련번호와 임시ID가 연계돼 오픈채팅의 익명성이 훼손되거나 개인정보가 노출될 가능성이 있음에도 그에 대한 검토화 개선 조치를 소홀히 했다고 봤습니다.
개보위에 따르면 카카오는 지난해 사고가 벌어진 이후에야 모든 오픈채팅방 참여자의 임시ID를 암호화했습니다. 또 카카오톡 전송방식을 분석한 공개 API를 이용하면 정보 추출 등이 가능하다는 지적이 개발자 커뮤니티 등에 공개돼 왔음에도 불구하고, 개인정보 유출 등의 피해 가능성에 대한 검토화 개선 조치도 미흡하다고 본 거죠. 개인정보보호법상 안전조치의무 위반이라는 것입니다.
뿐만 아니라 지난해 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 대상 유출 통지를 하지 않았다고 개보위 측은 지적했습니다.
이에 개보위는 개인정보보호법상 유출 신고·통지의무 위반으로 과태료 부과를 결정했습니다. 아울러 카카오에 이용자 대상 유출 통지를 할 것을 시정명령하는 동시에, 개인정보위 홈페이지에 처분 결과를 공표하기로 결정했습니다.
이번에 카카오에 부과되는 과징금 규모는 개인정보 유출사고로 그동안 국내 기업에 부과된 과정금으로 역대 최대 규모입니다. 개인정보가 담긴 파일서버를 제대로 관리하지 않아 221만여명의 이름과 전화번호 등을 유출한 골프존에 개인정보위가 지난 8일 부과한 75억400만원의 과징금에 이어, 한 달도 채 안돼 과징금 규모가 더 불어난 것인데요. 지난해 7월까지만 해도 2022년 1월 알려진 고객 개인정보 대량 유출로 인해 LG유플러스에 부과된 68억원이 가장 큰 규모의 과징금이었습니다.
이처럼 과징금 규모가 커지는 이유는 지난해 9월, 개정된 개인정보보호법이 시행된 영향입니다. 이전에는 과징금 상한액을 정보통신망법상 '위반행위 관련 매출액의 3%이하'로 했지만, 과징금 규정을 통합되며 글로벌 수준에 맞춰 '전체 매출액의 3% 이하'로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했기 때문입니다.
카카오에 따르면 오픈채팅방은 무료 서비스입니다. 직접적으로 오픈채팅방으로 돈을 벌진 않죠. 그러면 과징금 추산은 어떻게 했을까요? 오픈채팅방에서 광고와 같은 간접 매출이 일어나기 때문에, 플랫폼 부문에서 톡비즈 매출을 근거했다고 추정해볼 수 있으나 확실치는 않습니다. 2023년 카카오의 연결기준 매출액은 8조1058억원, 별도기준 매출액은 2조6262억원인데요. 2023년 연결기준 플랫폼 부문 매출액은 4조960억원, 이 가운데 톡비즈 매출액은 2조1090억원입니다. 카카오 측은 과징금 산출 근거에 대해 "들은 바 없고 모른다."고 답했습니다.
이런 상황에 카카오의 입장은 어떨까요?
이날 개보위의 결정이 발표되자, 카카오는 즉각 입장을 내어 "해당 건에 대하여 개인정보위에 적극적으로 소명했으나 이 같은 결과가 나오게 되어 매우 아쉽다. 위 결정에 대해 카카오는 행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정"이라고 밝혔습니다. 카카오는 익명의 오픈채팅방의 회원일련번호와 임시ID는 개인정보가 아니어서 법 위반이 아니라고 반박했는데요. 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보이지만 숫자로 구성된 문자열로 그 자체로 어떠한 개인정보도 포함하고 있지 않고, 개인 식별도 불가능하다는 이유를 들었습니다. 또 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니어서 법 위반으로 볼 수 없다고 설명했습니다. 이에 더해 해커가 불법적인 방법으로 자체 수집하고 결합해 사용한 행위까지 카카오의 과실로 판단핸서는 안된다고 강조했습니다.
카카오가 이번 개인정보위 결정에 대해 행정소송을 포함해 다양한 법적 조치와 대응 방침을 내놓은만큼, 이후 카카오의 행보와 더불어 행정처분 결과가 달라질 수 있을지 주목됩니다.
콘텐츠 제공 : 바이라인네트워크(byline.network)
