'익명정보+정보=개인정보'…6만5천명 정보 털린 카카오 내막은

개인 특정 못하는 정보와 타 정보 결합해 '맞춤형 스팸' 전송 카카오 "개인정보 유출 아니다"…"정보 결합기준 명확히 세워야" 지적도

'익명정보+정보=개인정보'…6만5천명 정보 털린 카카오 내막은
개인 특정 못하는 정보와 타 정보 결합해 '맞춤형 스팸' 전송
카카오 "개인정보 유출 아니다"…"정보 결합기준 명확히 세워야" 지적도

개인정보위. 오픈채팅방 개인정보 유출 카카오에 과징금 151억원 의결 개인정보위. 오픈채팅방 개인정보 유출 카카오에 과징금 151억원 의결 (서울=연합뉴스) 김도훈 기자 = 카카오가 개인정보 유출로 인해 국내업체 중 역대 최대 과징금인 약 151억원의 과징금을 물게 됐다. 개인정보보호위원회는 22일 전체 회의를 열고 이용자 정보에 대한 점검과 보호 조치 등을 소홀히 해 약 6만5천건의 개인정보가 유출된 카카오에 151억원의 과징금 조치를 의결했다. 사진은 23일 오후 서울 시내의 한 카카오프렌즈 매장 모습. 2024.5.23 superdoo82@yna.co.kr (끝)

(서울=연합뉴스) 이상서 기자 = 4천500만명이 사용하는 '국민 메신저' 카카오톡에서 최소 6만5천명의 개인정보가 유출된 것을 두고 그 경위와 배경에 관심이 쏠린다.

개인정보보호위원회는 카카오톡의 보안 취약성으로 인해 다수의 개인정보가 유출됐다는 입장이지만, 카카오 측은 무리한 제재라며 법적 대응을 예고했다.

개인정보위는 22일 전체회의를 열어 카카오에 국내업체 중 역대 최대 과징금인 151억여원을 부과했다.

개보위, 카카오에 과징금 부과 개보위, 카카오에 과징금 부과 (서울=연합뉴스) 최재구 기자 = 개인정보위 남석 조사조정국장이 23일 종로구 정부서울청사에서 열린 전체회의결과 브리핑에서 (주)카카오에 과징금 및 과태료 부과 내용을 설명하고 있다. 2024.5.23 jjaeck9@yna.co.kr (끝)

◇ 개인정보위 "카카오, 암호화 소홀히 해 개인정보 유출 초래"
23일 개인정보위에 따르면 카카오는 오픈 채팅방 참여자의 임시 아이디(ID)를 암호화하지 않은 탓에 여기서 회원일련번호를 쉽게 확인할 수 있도록 했다.

'회원일련번호'는 카카오톡 내부에서만 관리를 목적으로 쓰이는 정보로, 주민등록번호나 사원증 번호처럼 개인에게 부여된 고유 번호와 유사한 개념이다.

카카오는 2020년 8월부터 오픈 채팅방 임시 아이디를 암호화하는 조처를 했으나, 기존에 개설된 일부 오픈 채팅방의 임시 아이디는 여전히 암호화가 되지 않은 채 그대로 쓰였던 것으로 개인정보위는 파악했다.

특히 여기서 쓰이는 임시 아이디의 뒷자리 정보로 회원일련번호를 쉽게 확인할 수 있었던 것으로 나타났다.

이 틈을 노린 해커는 오픈 채팅방에서 확보한 회원일련번호와 함께 카카오톡의 '친구 추가' 기능으로 일반채팅방에서 알아낸 이용자 정보를 결합해 개인정보 파일을 생성한 뒤, 이를 텔레그램 등을 통해 거래에 나선 것으로 조사됐다.

이 과정에서는 불법 해킹 프로그램이 이용됐다.

개인정보위는 이러한 수법으로 약 6만5천건의 개인정보가 유출된 것으로 추정했다.

보안 취약성 말고도 오픈 채팅방이 해커들의 먹잇감이 된 또 다른 이유는 서비스의 특성에 있다.

남석 개인정보위 조사조정국장은 "오픈 채팅방에 개인의 실명이나 전화번호는 들어 있지 않지만 특정한 주제나 공통의 관심사를 공유하는 사람들이 모인 방이라는 특성이 있다"며 "이것이 마케팅 측면에서 굉장히 유리했기 때문에( 해커들이) 이곳의 이용자 데이터베이스(DB)를 판매하게 된 것"이라고 설명했다.

주식방, 부동산 투자 모임, 공부 모임, 유사한 정치적 성향을 가진 이들의 모임 등 동일한 관심사를 가진 이들이 모인 커뮤니티에서 각종 정보와 관련 사이트 주소 등이 오가기 때문에 정보의 밀집도가 높을 수밖에 없다는 의미다.

이 정보를 바탕으로 이용자들에게 일종의 '맞춤형' 스팸 메시지 등이 전송됐던 것으로 알려졌다.

가령 주식방 이용자에게는 주식 시장 전망으로, 부동산 투자방 멤버에게는 주택 청약 정보나 상가 투자 등으로 유혹한 것이다.

카카오프렌즈 (출처=연합뉴스)

◇ 카카오 "개인정보 유출 아니다"…법적대응 예고
카카오는 거액의 과징금 부과에 대해 "행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정"이라며 강하게 반발하고 나섰다.

카카오는 회원일련번호와 임시 아이디는 숫자로 구성된 문자열일 뿐, 그 자체로는 어떠한 개인정보도 포함하고 있지 않다는 입장이다.

카카오는 "사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니기에 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없다"며 "그 자체로는 개인 식별이 불가능하기에 개인정보라고 판단할 수 없다"고 반박했다.

또한 "해커가 결합해 사용한 정보는 카카오에서 유출된 것이 아니다"며 "해커가 불법적인 방법을 통해 자체 수집한 것"이라고 강조했다.

예를 들어 한 개인이 자신의 블로그에 익명으로 게시물을 올렸다고 했을 때, 네티즌들이 검색 등 '신상털기'로 블로그 운영자의 정보를 특정했다면 이를 개인정보 유출로 규정하고 그 책임을 포털 사이트에 지울 수 있냐는 얘기다.

이 때문에 전문가들은 정보와 정보의 결합에 대한 명확한 기준선을 마련해야 한다고 지적한다.

김승주 고려대 정보보호대학원 교수는 "이번 카카오 사건은 기업 내부에서 개인정보가 유출된 일반적인 케이스와 다르다"며 "외부에서 불법 프로그램을 사용해 무작위로 많은 정보를 결합해 개인정보를 확보한 것"이라고 설명했다.

그는 "언제, 어디서, 얼마큼의 정보를 결합하는 것을 허용하는지 정부의 기준도 모호하지 않은가"라며 "이 문제가 명확히 해결되지 않는다면 결국 국내 개인정보 분야 사업은 위축될 수밖에 없다"고 우려했다.

shlamazel@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>

※ 저작권자 ⓒ 연합뉴스, 무단전재-재배포 금지