[이코노믹데일리] 개인정보보호위원회(개인정보위)는 23일 카카오가 카카오톡 오픈채팅방 이용자 6만5천여 명의 개인정보를 유출한 사건과 관련해 안전조치의무 위반으로 과징금 151억4천여원을 부과했다고 밝혔다.
개인정보위가 부과한 과징금 중 역대 최대 규모다. 이는 골프존이 2019년 개인정보 유출 사건으로 인해 부과받은 75억원보다 두 배 이상 많은 금액이다.
개인정보위 조사에 따르면, 카카오는 오픈채팅방 이용자의 임시 아이디(ID)를 암호화하지 않아 해커가 회원일련번호를 쉽게 확인할 수 있도록 했다. 회원일련번호는 카카오톡 내부에서만 관리를 목적으로 쓰이는 정보로, 주민등록번호나 사원증 번호처럼 개인에게 부여된 고유 번호와 유사한 개념이다. 이를 이용하면 개인의 실명, 전화번호, 프로필 사진 등을 알아낼 수 있다.
개인정보위 남석 조사조정국장은 "정확한 유출 규모는 경찰에서 조사 중"이라며 "특정 사이트에 카카오톡 오픈채팅방 이용자 696명의 정보가 올라와 있는 것을 확인했고, 해커가 최소 6만5천719건의 (개인정보를) 조회한 것으로 확인했다"고 밝혔다.
개인정보위는 또한 카카오가 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 불구하고 신고하지 않았을뿐더러, 이용자에게 이 사실을 알리지 않았다는 점도 문제로 지적했다.
개인정보위는 또한 카카오톡 API를 이용한 악성 행위 방법이 개발자 커뮤니티에서 공개되었음에도 불구하고 카카오가 이에 대한 점검과 조치를 제대로 하지 않았다는 점도 지적했다.
개인정보보호법 제2조 제6호에 따르면, '개인정보처리자는 개인정보의 처리에 있어서 발생할 수 있는 위험성을 분석하고, 이에 대한 대비책을 마련하여야 한다'고 규정하고 있다.
하지만 카카오는 개발자 커뮤니티에서 공개된 악성 행위 방법에 대한 경고에도 불구하고 이에 대한 점검과 조치를 제대로 하지 않았다. 결국 해커는 카카오톡 API를 악용하여 오픈채팅방 이용자의 개인정보를 유출할 수 있었다.
카카오는 이날 입장문을 통해 "회사는 개인정보 보호에 최선을 다하고 있으며, 관련 법령을 준수하기 위해 노력해 왔다"고 밝혔다. 하지만 과징금 부과에 대해서는 불복하며 행정소송을 포함한 다양한 법적 대응을 검토할 예정이라고 밝혔다.
카카오 측은 "회원일련번호와 임시 아이디는 그 자체로 개인정보를 포함하고 있지 않으며, 이를 통해 개인을 식별할 수 없다"고 주장하고 있다. 하지만 개인정보위는 회원일련번호가 개인정보보호법상 '개인정보'에 해당한다고 판단했다.
이번 카카오의 개인정보 유출 사건은 개인정보 보호의 중요성을 다시 한번 일깨워주는 사건이다. 개인정보는 개인의 성명, 주민등록번호, 전화번호, 이메일 주소 등 개인을 식별할 수 있는 정보를 말한다. 개인정보가 유출되면 피해자는 금전적 피해뿐만 아니라 정체성 도용, 명예훼손 등 심각한 피해를 입을 수 있다.
개인정보를 처리하기 전에 반드시 개인의 동의를 얻어야 하고, 처리된 개인정보는 암호화 등의 보안조치를 마련하여 안전하게 보관해야 한다. 또한, 개인정보 유출 사고가 발생했을 경우 신속하게 신고·통지하고, 피해자들에게 적극적인 피해 보상 및 구제책을 마련해야 한다.
개인정보 보호는 개인의 기본권을 보호하기 위한 필수적인 과제이다. 개인정보처리자는 개인정보 보호에 대한 인식을 개선하고, 관련 법령을 준수하기 위한 노력을 기울여야 한다. 또한, 정부는 개인정보 보호 강화를 위한 제도적 마련과 사회적 인식 개선을 위한 노력을 지속해야 할 것이다.