(사진=카카오)
카카오가 카카오톡 오픈채팅(익명 대화방) 개인정보 유출로 개인정보보호위원회(개인정보위)로부터 역대급 과징금을 철퇴를 맞은 것과 관련, 행정 소송을 예고했다.
23일 개인정보위는 지난해 카카오톡 오픈채팅방 이용자들의 개인정보가 유출돼 시중에 불법 유통된 사건을 조사한 후, 카카오에 과징금 151억4196만원과 과태료 780만원을 부과하기로 했다고 밝혔다.
그러자 카카오는 “해당 건에 대해 개인정보위에 적극적으로 소명했으나 이 같은 결과가 나오게 되어 매우 아쉽다”며 “위 결정에 대해 카카오는 행정소송을 포함한 다양한 조치 및 대응을 적극적으로 검토할 예정”이라고 밝혔다.
개인정보위는 카카오가 “익명의 오픈채팅방을 운영하면서 일반채팅에서 사용하는 회원일련번호와 오픈채팅방 정보를 단순히 연결한 임시ID를 만들어 암호화 없이 그대로 사용했으므로 ‘안전조치의무 위반’에 해당한다”고 언급했다.
이에 대해 카카오는 “회원일련번호와 임시ID는 메신저를 포함한 모든 온라인 및 모바일 서비스 제공을 위해 반드시 필요한 정보”라며 “이는 숫자로 구성된 문자열로서, 그 자체로는 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다”고 반박했다. 또한, 사업자가 생성한 서비스 일련번호는 관련법상 암호화 대상이 아니므로 이를 암호화하지 않은 것은 법령 위반으로 볼 수 없다는 것이 카카오의 주장이다.
또 개인정보위는 “(카카오가) 2020년 8월부터는 오픈채팅방 임시ID를 암호화하였지만 기존에 개설되었던 일부 오픈채팅방은 암호화가 되지 않은 임시ID가 그대로 사용됐고, 이 오픈채팅방에서 암호화된 임시ID로 게시글을 작성하면 암호화를 해제한 평문 임시ID로 응답하는 취약점도 확인되었다”고 전했다.
카카오는 이에 대해 “임시 ID는 숫자로 구성된 문자열이자 난수로서 여기에는 어떠한 개인정보도 포함되어 있지 않고 그 자체로는 개인 식별이 불가능하여 개인정보라고 판단할 수 없다”며 “그럼에도 불구하고 당사는 오픈채팅 서비스 개시 당시부터 해당 임시 ID를 난독화해 운영 및 관리했고, 이에 더해 2020년 8월 이후 생성된 오픈채팅방에는 더욱 보안을 강화한 암호화를 적용했다”고 반박했다.
개인정보위는 해커가 카카오 오픈채팅의 암호화 여부와 상관없이 임시ID와 회원일련번호를 알아낼 수 있었고, 회원일련번호로 다른 정보와 결합해서 판매했다고 전했다.
카카오는 “해커가 결합하여 사용한 ‘다른 정보’란 당사에서 유출된 것이 아니며 이는 해커가 불법적인 방법을 통해 자체 수집한 것”이라며 “당사의 위법성을 판단할 때 고려되어서는 안 된다”고 주장했다.
“2023년 3월 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 카카오가 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반했다”는 주장에 대해서도 반박했다.
카카오는 “당사는 해당 건을 개인정보보호법 위반으로 보기 어렵다고 판단하였음에도 지난해 상황을 인지한 즉시 경찰에 선제적으로 고발하고 KISA와 과학기술정보통신부에도 신고를 했다”며 “경찰 조사에 적극적으로 협조하고 관계 기관에도 소명을 진행해 왔다”고 전했다.
카카오는 “당사는 행정소송을 포함한 다양한 법적 조치 및 대응을 적극 검토할 예정”이라며 “앞으로도 이용자들이 안전하게 카카오톡을 이용할 수 있도록 최선을 다하겠다”고 덧붙였다.