IT

역대급 최대 151억 과징금 맞은 카카오...최소 6만5천건 개인정보 유출 [종합]

선재관 2024-05-23 15:15:50
해커, 악성 프로그램으로 회원일련번호 추출 카카오, 암호화 소홀히…설계 단계부터 문제
개인정보위 남석 조사조정국장이 23일 종로구 정부서울청사에서 열린 전체회의결과 브리핑에서 (주)카카오에 과징금 및 과태료 부과 내용을 설명하고 있다. [사진=연합뉴스]

[이코노믹데일리] 4천500만 명이 이용하는 국민 메신저 카카오톡에서 최소 6만5천 명의 개인정보가 유출된 사실이 밝혀져 충격을 주고 있다. 개인정보보호위원회(개인정보위)는 카카오톡 오픈채팅방의 보안 취약성으로 인해 개인정보가 유출되었다는 입장이지만, 카카오 측은 이에 대해 무리한 제재라며 법적 대응을 검토하고 있다고 밝혔다.

개인정보위 조사에 따르면, 카카오톡은 오픈채팅방 참여자의 임시 아이디(ID)를 암호화하지 않아 해커들이 이를 통해 회원일련번호를 쉽게 추출할 수 있도록 했다는 사실이 밝혀졌다. '회원일련번호'는 카카오톡 내부에서만 관리를 목적으로 쓰이는 정보이지만, 주민등록번호나 사원증 번호처럼 개인에게 부여된 고유 번호와 유사한 개념이다. 이를 통해 해커들은 개인의 실명, 전화번호, 프로필 사진 등의 개인정보를 손쉽게 알아낼 수 있었다.

개인정보위 남석 조사조정국장은 "카카오톡은 2020년 8월부터 오픈채팅방 임시 아이디를 암호화하는 조치를 취했지만, 기존에 개설된 일부 오픈채팅방의 임시 아이디는 여전히 암호화가 되지 않은 채 그대로 사용되고 있었다"고 밝혔다.

특히, 해커들은 임시 아이디의 뒷자리 정보를 통해 회원일련번호를 쉽게 추출할 수 있었던 것으로 나타났다.

해커들은 이렇게 추출한 회원일련번호와 카카오톡의 '친구 추가' 기능을 이용해 일반 채팅방에서 알아낸 이용자 정보를 결합하여 개인정보 파일을 생성했다. 이후 해커들은 이 개인정보 파일을 텔레그램 등을 통해 불법으로 거래했다고 전해졌다. 이 과정에서 불법 해킹 프로그램도 이용됐던 것으로 알려졌다.
 
카카오톡 개인정보 유출 과정 [그래픽=개인정보보호위원회]

개인정보위는 이러한 수법으로 약 6만5천 건의 개인정보가 유출된 것으로 추정하고 있다.

보안 취약성 말고도 오픈채팅방이 해커들의 먹잇감이 된 또 다른 이유는 서비스의 특성에 있다. 남석 조사조정국장은 "오픈채팅방은 개인의 실명이나 전화번호는 들어 있지 않지만, 특정한 주제나 공통의 관심사를 공유하는 사람들이 모인 방이라는 특성이 있다"며 "이 특성이 마케팅 측면에서 매우 유리했기 때문에 해커들이 이곳의 이용자 데이터베이스(DB)를 판매하게 된 것"이라고 설명했다.

주식방, 부동산 투자 모임, 공부 모임, 유사한 정치적 성향을 가진 이들의 모임 등 동일한 관심사를 가진 이들이 모인 커뮤니티에서 각종 정보와 관련 사이트 주소 등이 오가기 때문에 정보의 밀집도가 높을 수밖에 없다는 의미다.

개인정보위는 또한 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 불구하고 신고하지 않았을 뿐만 아니라, 이용자들에게 이 사실을 알리지 않았다는 점도 문제로 지적했다. 개인정보보호법 제30조 제1항에 따르면, "개인정보처리자는 개인정보의 유출·누락·오남용 등을 인지하거나 이를 의심할 합리적 사유가 있는 경우 지체 없이 이를 신고하고, 피해자에게 조치를 취한 내용을 지체 없이 통지해야 한다"고 규정하고 있다.

하지만 카카오는 개인정보 유출 사실을 인지했음에도 불구하고, 이를 신고하지 않았을 뿐만 아니라, 이용자들에게 이 사실을 알리지 않았다. 개인정보위는 이러한 행위가 개인정보보호법 위반에 해당한다고 판단했다.

개인정보위는 이번 사건을 통해 개인정보처리자는 정보 유출 사고 발생 시 신속하게 신고·통지하는 것만큼이나 피해자들에게 적극적인 피해 보상 및 구제책을 마련해야 한다는 점을 강조했다.

개인정보위 남석 조사조정국장은 "개인정보처리자는 개인정보를 처리함에 있어 발생할 수 있는 위험성을 분석하고, 이에 대한 대비책을 마련해야 한다"고 밝혔다. 또한 "개인정보 유출 사고 발생 시 신속하게 신고·통지하고, 피해자들에게 적극적인 피해 보상 및 구제책을 마련해야 한다"고 강조했다.
 
◆ 카카오, 거액 과징금 부과에 불복…“법적 대응 적극 검토”
카카오가 개인정보 유출로 인해 국내업체 중 역대 최대 과징금인 약 151억원의 과징금을 물게 됐다. 서울 시내의 한 카카오프렌즈 매장 모습 [사진=연합뉴스]

카카오는 151억원의 과징금 부과 처분을 받은 것에 대해 강하게 반발하고 나섰다. 

카카오 측은 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정"이라고 밝혔다. 이날 입장문을 통해 "회원일련번호와 임시 아이디는 숫자로 구성된 문자열일 뿐, 그 자체로는 어떠한 개인정보도 포함하고 있지 않다"고 주장했다. 

카카오는 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니기에 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없다"며 "그 자체로는 개인 식별이 불가능하기에 개인정보라고 판단할 수 없다"고 반박했다.

또한 카카오는 "해커가 결합해 사용한 정보는 카카오에서 유출된 것이 아니다"며 "해커가 불법적인 방법을 통해 자체 수집한 것"이라고 강조했다.
 
◆ 연이어 터지는 악재에 개미들 눈물
연이어 터지고 있는 악재로 인해 카카오 주가가 또 다시 우하향 곡선을 그리면서 카카오에 투자한 개미(소액 개인 투자자)들의 눈물이 이어지고 있다.

23일 코스피 시장에서 카카오 주가는 오후 1시 57분 현재 전 거래일 대비 0.33% 하락한 4만5650원에 거래 중이다.

이날 카카오가 맞닥뜨린 악재는 이용자 정보에 대한 점검과 보호 조치 등을 소홀히 해 약 6만5000건의 개인정보를 유출했다는 이유로 국내업체 중 역대 최대 규모인 약 151억원 규모의 과징금을 물게 됐다는 점이다. 이제까지 역대 최대 과징금이었던 골프존의 약 75억원보다 두 배 이상 많은 금액이다.

한편, 카카오는 이달 들어서만 ‘국민 메신저’로 불리는 카카오톡이 세 번이나 ‘먹통’ 사태를 빚는 등 논란의 중심에 서고 있다.

카카오 역시 자신들을 향한 질타에 대해 적극적으로 해명에 나서고 있다. 카카오는 “서비스 안전성 강화를 위해 지난해 209억원 이상을 투자했고, 담당 인력도 61명에서 103명으로 늘렸다”면서 “올해 1분기부터는 기술적 조치와 재난 대응 설계를 기반으로 한 첫 자체 데이터센터인 ‘카카오 데이터센터 안산’을 운영하고 있다”고 설명했다.

하지만 증시에서 카카오를 향한 투심은 싸늘해지고 있는 상황이다. 전날 종가(4만5800원) 기준으로도 카카오 주가는 5월 들어서만 5.76% 하락했다. 올해로 범위를 넓히면 하락률은 15.65%로 더 커진다. 사상 최고가를 기록했던 지난 2021년 6월 23일 종가(16만9500원)와 비교하면 72.98%나 하락했다.

증권가에서는 카카오 주가의 반등 가능성이 낮아보고 있다. 특히, 외국인 투자자의 이탈세가 지속될 수 있다는 전망이 우세하다.

외국인 투자자는 올해 들어서만 3400억원 넘는 카카오 주식을 매도했다. 이는 지난 2021년 12월 말 기준 외국인 투자자 보유 비율인 24.5%의 1.4%에 해당하는 규모다.

증권가에서는 외국인 투자자들이 카카오의 연이어 터지는 악재와 서비스 장애에 대한 우려를 버리지 못하고 있다고 분석한다. 특히, 이번 과징금 부과는 카카오의 경영 체질에 대한 근본적인 문제를 드러낸 것으로 해석되고 있다.

한 증권사 애널리스트는 "카카오는 서비스 안전성 강화와 개인정보 보호에 대한 투자를 확대할 필요가 있다"면서 "또한, 투명한 경영과 책임 소재 명확화를 통해 투자자들의 신뢰를 회복해야 한다"고 지적했다.

또 다른 애널리스트는 "카카오톡의 시장 지배력이 강하기 때문에 단기간에 주가가 크게 폭락할 가능성은 낮지만, 투자자들의 회의적인 시선은 지속될 것으로 예상된다"고 말했다.

현재 카카오 주가는 4만5천원대에 머물러 있으며, 투자자들은 카카오가 어떤 변화를 보여줄지 지켜보고 있다.