카카오톡 오픈채팅방 관련 개인정보 유출 사건은 지난해 3월 처음으로 언론에 공개됐다. 해커가 오픈채팅방의 보안 허점을 이용하여 참가자들의 개인정보를 수집하고 이를 판매하고 있다는 사실이 밝혀졌다. 이번 사건은 서버 해킹이나 내부정보 관리 부실 등으로 인한 전형적인 개인정보 유출과는 달리, 오픈채팅방용 서비스 일련번호를 이용하여 개인정보를 획득한 점에서 다르다.
서비스 일련번호는 온라인 서비스를 제공하는 사업자가 회원 관리를 위해 필수적으로 사용하는 요소다. 이 번호는 소스코드를 통해 어디서나 쉽게 확인할 수 있으며, 별도의 법적 암호화 대상이 아니다. 실제로 개인정보위가 발표한 ‘개인정보의 안전성 확보 조치 기준’에서도 이 번호는 암호화 대상으로 명시돼 있지 않다.
개보위 “해커, 최소 6만5000건 개인정보 유출”
오픈채팅방 운영은 사실상 익명 채팅방과 유사하다. 카카오톡 이용자들은 하나의 아이디로 일반 채팅과 오픈채팅을 모두 이용할 수 있지만, 두 채팅방은 각기 다른 서비스 일련번호를 사용한다. 카카오톡은 일반 채팅에 사용되는 고유ID와 오픈채팅에 사용되는 임시ID를 분리해 관리한다.
해당 해커는 난독화 과정을 우회하여 고유ID를 파악했다. 이는 해커가 별도의 방법으로 수집한 휴대전화 번호를 활용하여 대량으로 카카오톡 친구를 추가하고, 실명으로 등록된 프로필명을 악용하여 실명을 확인한 결과다.
아직 해당 해커의 실체가 드러나지 않은 상황이어서 그가 고유ID와 프로필 정보를 동일 인물로 확인하는 방법은 명확히 알려지지 않았다.
해당 해커는 특정 오픈채팅방 이름을 알려줄 경우 이용자 정보를 판매할 의사를 밝히고, 이를 실제로 실행했다. 조사 결과 최소 6만5719건의 피해가 확인됐으며, 실제 피해규모는 이보다 훨씬 크다는 것이 개인정보위 분석이다.
카카오 “유출된 식별정보는 개인정보 아냐”
카카오는 이에 강하게 반발했다. 카카오 측은 “적극적인 소명이 받아들여지지 않아 매우 아쉽다”며 “행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정”이라고 밝혔다.
구체적으로는 “서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법률 위반이 아니다”라고 주장했으며 “(유출된) 임시ID 그 자체에는 어떠한 개인정보도 포함되지 않고, 개인 식별이 불가능하기 때문에 개인정보로 판단할 수 없다”고 덧붙였다.
또한, “해커가 고유ID를 ‘다른 정보’와 결합하여 판매한 것은 카카오톡에서 유출된 것이 아니라 해커가 불법적인 방법으로 직접 수집한 것”이라며, “해커의 독립적인 불법행위까지 카카오의 과실로 판단하는 것은 부당하다”고 반박했다.
카카오 측은 과징금 규모에 대해서도 이견을 제기했다. 기존 국내 기업 중 최대 과징금은 골프존이 서버 침투로 인해 수백만 명의 고객 개인정보를 유출한 75억원이다. 하지만 카카오는 직접적인 개인정보 유출이 없으며 피해 규모도 훨씬 적은데, 이보다 두 배나 큰 과징금을 부과하는 것은 불합리하다는 것이다.