개인정보위 제9회 전체회의결과

조사조정국장입니다.

어제 전체회의에서 있었던 카카오 처분 건에 대해서 말씀드리도록 하겠습니다.

개인정보위원회는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론 보도에 따라 개인정보보호법 위반 여부를 조사하였습니다.

조사 결과 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자의 정보를 알아냈고 카카오톡 친구 추가 기능 등을 이용해 일반채팅 이용자 정보를 또한 확보하여 이들 정보들을 회원 일련번호를 기준으로 결합, 개인정보 파일을 생성·판매한 것으로 확인되었습니다.

구체적인 위반 사실에 대해 말씀드리도록 하겠습니다.

먼저, 카카오는 일반채팅과 오픈채팅 이용자들에 대해서 동일한 회원 일련번호로 식별할 수 있게 이용자 식별체계를 설계 및 구현하였습니다.

특히, 2020년 8월 이전에 생성된 오픈채팅방에서는 참여자의 임시 ID를 암호화하지 않아 임시 ID에서 회원 일련번호를 쉽게 추출할 수 있었고 2020년 8월 이후에 생성된 오픈채팅방 참여자에 대해서는 임시 ID에 암호화를 하였으나 게시판 취약점을 이용해 역시 쉽게 회원 일련번호가 식별될 수 있었습니다.

이처럼 카카오는 설계·운영 과정에서 회원 일련번호와 임시 ID 연계에 따른 익명성 훼손 가능성에 대한 검토 및 개선과 보안 취약점에 대한 점검 및 개선 등의 조치를 소홀히 한 것으로 확인되었습니다.

또한, 카카오톡 전송 방식을 분석한 해킹 프로그램을 통해 카카오톡 이용자의 정보 추출이 가능하다고 개발자 커뮤니티 등을 통해 지속적으로 지적되어 왔음에도 카카오는 그 관련 내용이 서비스 영향이라든지 개인정보 유출 등의 피해 가능성에 대한 검토와 개선 등의 조치를 소홀히 하였다고 판단하였습니다.

아울러, 지난 3월 언론 보도와 위원회 조사 과정에서 카카오톡 오픈채팅 이용자의 개인정보가 유출되고 있다는 사실을 인지하였음에도 유출 신고와 이용자 대상 통지를 하지 않은 보호법 위반 사항이 있다고 함께 판단하였습니다.

이처럼 안전조치 의무 위반에 대하여 과징금 151억 4,196만 원을 부과하고 유출 신고 통지 의무 위반 등에 대해서는 과태료 780만 원을 부과하는 것으로 결정하였습니다.

아울러, 카카오의 이용자 대상 유출 통지를 할 것을 시정명령 하는 동시에 개인정보위원회 홈페이지에 처분 결과를 공표하도록 의결하였습니다.

이번 처분을 계기로 카카오톡과 같이 대다수 국민이 이용하는 서비스의 경우 보안 취약점을 상시적으로 점검 및 개선하는 한편, 설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대해서도 지속적인 점검과 노력이 필수적이라는 인식이 자리 잡기를 기대합니다.

이상 보고 마치도록 하겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 이번 개인정보 유출 규모 관련해서는 언급이 없는데요. 궁금하고요. 그리고 이 개인정보가 지금 어떻게 흘러가서 어떻게 활용이 됐는지 그것도 좀 궁금합니다. 그리고 카카오는 이 과정에서 어떻게 소명을 했는지도 같이 설명 부탁드립니다.

<답변> 먼저, 유출 규모 관련해서는 정확한 유출 규모는 현재 경찰에서 조사 중에 있고요. 저희가 확인한 거는 일부 언론에도 공개된 바가 있는데 특정 사이트에 카카오톡 오픈채팅방 이용자 약 696명의 정보가 올라와 있는 것을 저희가 확인하였고, 또 로그 분석들, 한 달간 로그 분석 등을 통해 해커가 약 6만 5,719건을 조회한 것을 확인하였습니다.

그리고 또한, 그 해커가 텔레그램 등을 통해 특정 오픈채팅방을 알려주면 거기 이용자에 대한 정보를 주겠다, 라는 게시글이 올라와 있는 점 등을 저희가 종합적으로 고려해서 상당수의 정보가 유출되었다고 판단하였습니다.

다시 한번 말씀드리지만 정확한 유출 규모는 경찰에서 조사 중이고요. 그걸 참고하시면 될 것 같습니다.

그리고 두 번째로 개인정보가 어떻게 활용되었는지에 대해서 질문해 주셨는데 역시 일부 언론에서 발표된 바가 있는데 스팸 문자 발송이라든지 그런 2차 피해 발생 가능성도 있었던 것으로 확인되었습니다.

그리고 구체적인 흐름이나 이거에 대해서는 우리 담당 과장께서 추가적으로 설명드리도록 하겠습니다.

<답변> (관계자) 김해숙입니다. 2차 피해 말씀을 하셨는데 오픈채팅방은 이용해 보셔서 아시겠지만 특정 주제를 중심으로 거기에 관심 있는 사람들이 모여서 대화를 주고받는 그런 사이트, 그런 서비스입니다.

그래서 보시면 젊은 사람들끼리 오픈채팅을 해서 특정 중학생 무슨 모임방, 이런 경우도 있지만 어떤 정치적인 모임이라든지 주식이라든지 부동산 투자, 이런 식의 정보들을 가지고 있는 사이트들이 오픈채팅방으로 많이 운영을 하고 있어서 그 오픈채팅방 정보와 이번에 유출이 됐다, 라고 저희가 말씀드리는 휴대전화 번호, 그다음에 이름을 대부분... 네?

<답변> (관계자) ***

<답변> (관계자) 아, 네. 그 휴대전화 번호하고 같이 프로필명을 대부분 실명을 쓰고 있어서 이 정보들을 같이 조합을 하게 되면 어떤 사람이 휴대전화 번호가 A인데 이 사람이 관심 있는 주식 정보는 이런 것이다, 라는 이 정보가 만들어지면서 그걸 이용한 스팸이라든지 아니면 문자 메시지라든지 또는 카톡 메시지라든지 이런 것들이 많이 2차 피해로서 발생했다, 라고 저희도 파악하고 있습니다.

그다음에 세 번째 카카오의 소명에 대해서는 저희 카카오 측에서는 일단 이게 공개된 정보이기 때문에 저희 카카오톡에 들어가서 하다 보면 휴대전화 번호는 누구나 친구 추가할 수 있지 않습니까? 다 휴대전화 번호 입력해서 친구 추가하고 휴대전화 번호로 추가하게 되면 당연히 그 사람의 프로필명이나 이런 걸 볼 수 있고요.

그다음에 오픈채팅방도 익명이지만 익명으로 들어와서 실제 볼 수 있는 정보는 닉네임 이런 거밖에 없기 때문에 양쪽 다 공개된 정보라 이걸 개인정보 유출로 보기는 어렵다, 라는 입장을 저희한테 어쨌든 설명을 했었고요.

그래서 그거에 대해서 일단 저희는 오픈채팅방과 일반채팅방이 양쪽에서 각각 공개되는 것에 대해서는 문제가 없다, 라고 하겠지만 이게 연결되는 형태로 공개되는 거에 대해서는 누구도 생각하지 못했던 것이고 익명 서비스를 이용하면서 오픈채팅방에 익명이 아닌 휴대전화 번호까지 다 알 수 있게 된다, 라고 하면 이건 굉장히 프라이버시 측면에서 심각한 문제가 있을 수 있기 때문에 이걸 개인정보 유출이 아니라고 보기는 어렵다, 저희는 그렇게 판단했었습니다.

<질문> 이전에 이번 달 초에 발표하신 골프존이 75억으로는 국내 기업 최고액이라고 하셨는데 이번에는 카카오가 경신이 된 건지, 그리고 또 이번 같은 경우는 개정된 법이 아니라 국법이 적용된 건데 그럼에도 이 중대한 위반이라고 보고 어떤 게 골프존과 비교해서 위반 규모가 더 중대하고 그렇다고 보셨는지 설명 부탁드립니다.

<답변> 저희가 과징금 산정은 그 관련 법령하고 과징금 규정 등에 따라서 하고 있고요. 기본적으로 저희 과징금이 매출액의 3% 이내에서 부과하게 되기 때문에 그런 측면이 반영됐다, 라고 봐 주시면 좋을 것 같습니다.

<질문> 유출 과정과 결합 아까 설명하신 부분이 정확하게 이해가 안 돼서 그러는데 그것 좀 다시 좀 쉽게 설명해 주실 수 있을까 하고요.

그다음에 아까 6만 5,000명이 추정된다고 했는데 개인정보 유출 추정 건수가 6만 5,000건이라고 봐도 되는 건지, 그러면. 그러니까 개인정보위가 추정하는 유출 건수는 6만 5,000건이다, 이렇게 봐도 될까요?

<답변> 최소 그거라고 보고 있고요. 그 이상으로 저희는 파악하고 있습니다. 말씀드렸듯이 해커가 특정 오픈채팅방의 이름을 알려주면 거기 이용자 정보를 주겠다, 라고 텔레그램을 통해서 판매를 시도했기 때문에 상당수의 정보를 가지고 있다고 저희는 판단했고요.

말씀드린 대로 저희한 확인한 거는 특정 사이트에 올라와 있는 약 700명의 오픈채팅방 이용자 그리고 또 해커 로그 기록을 분석했을 때 약 한 달간 해커가 6만 5,000건의 가까운 조회를 한 이런 점들을 종합적으로 고려했다, 라고 다시 한번 말씀드리겠습니다.

그리고 개인정보 유출 과정에 대해서 저희가 보도자료에 그림을 하나 넣어 놨는데요. 이걸 가지고 잠깐만 설명드리도록 하겠습니다.

잘 아시겠지만 오픈채팅은 익명 채팅이라고 하고 있기 때문에 이 부분에는 개인의 실명이나 전화번호는 들어 있지 않습니다. 그런데 다만, 오픈채팅방 이용자 DB를 해커가 판매한 거는 아까 과장이 잠깐 설명드렸지만 오픈채팅방이라는 게 특정한 주제, 그러니까 관심사들을 공유하는 사람들이 있는 방이다 보니까 공통된 성격을 갖고 있다, 라는 거거든요.

예를 들어서 주식방 같은 경우에는 주식에 관심이 많은 사람들이라든지 이렇다 보니까 마케팅 측면에서는 오픈채팅방 이용자가 굉장히 유리한 측면이 있었기 때문에 오픈채팅방의 이용자 DB를 판매하게 된 거고요.

말씀드린 대로 다만 오픈채팅에는 이용자, 익명 채팅이기 때문에 실명과 전화번호가 없기 때문에 다른 DB와 결합이 필요했던 거고 그래서 일반채팅의 정보가 결합됐던 건데, 거기 보시면 오픈채팅의 보안 취약점을 이용해서 회원 일련번호, 그러니까 임시 ID, 오픈채팅에서 쓰는 임시 ID, Virtual ID라고 하는데 이거를 획득할 수가 있었던 겁니다, 해커가.

그런데 이 임시 ID라는 게 여기 보시면 회원 일련번호, 카카오톡에서 일반적으로 쓰는 회원 일련번호 앞에 일부 숫자만 이렇게 붙여 놓은 거다 보니까 이 오픈채팅방의 임시 ID을 알게 되면 카카오톡을 전체 일반 채팅에서 쓰는 회원 일련번호를 쉽게 알 수 있었던 거고요.

여기 일반채팅에서 그림을 보시면 휴대전화 번호, 친구 추가를 통해서 여기에서는 친구로 추가한 다음에 불법 프로그램, 해킹 프로그램을 통해서 기본정보를 다 조회할 수가 있었고, 여기서 나오는 게 회원 일련번호, 프로필명, 실명을 많이 쓰시죠? 그리고 휴대전화 번호. 그리고 양쪽에서 정보가 나왔고 회원 일련번호를 매개로 해서 양 정보가 결합되면서 오픈채팅방 이용자의 실명과 휴대전화 번호까지 해커가 알 수 있게 되었던 이런 사항입니다.

<답변> (관계자) *** 잠깐만 부연 설명드리면, 회원 일련번호라는 것은 결국은 저희가 앱에서 통신을 할 때 사용자를 ID로 구분할 수도 있지만 ID보다는 숫자로 된 것이 훨씬 처리하기가 편하거든요. 그래서 이 ID 대신에 내부에서만 쓰는, 카톡 내부, 카카오톡 내부에서만 쓰는 고유, 개인별로 부여되는 고유정보다, 라고 이해하시면 될 것 같고요.

임시 ID라고 조금 전에 국장님께서 표현하셨는데 그거는 카카오톡의 오픈채팅방에서만 쓰는 똑같은 역할을, 회원 일련번호와 똑같은 역할을 하는 개인을 식별하는 정보다, 라고 생각하시면 되는데 이 임시 ID 안에 카카오톡 일반채팅에서 쓰고 있던 회원 일련번호가 같이 포함되어 있어서 문제가 발생한 것입니다.

<질문> ***

<답변> (관계자) 개인의 입장으로 보자면 주민등록번호 또는 저희 사원증 번호라든지 아니면 출입증 번호라든지, 이렇게 해서 그거... 출입증 번호는 아니겠네요. 그래서 개인별로 뭔가 고유하게 번호로 부여해서 그걸로 관리를 많이 하고 있지 않습니까? 그런 번호라고 생각하시면 될 것 같습니다.

<질문> 안녕하세요? 따로따로 보면 이게 공개된 정보이지만 이를 결합하면 문제가 될 수 있는 개인정보 유출에 대한 과징금을 부과한 게 이번이 처음인지 일단 궁금하고요.

그리고 이게 이런 해킹 방법이 공개되어 있었음에도 불구하고 제대로 된 점검과 조치를 하지 않았다고 되어 있는데 이 부분이 과징금 부과에서 어느 정도 주요했는지 여쭙고 싶습니다.

<답변> 저희 과징금은 일단 안전조치 의무를 적절히 했는지, 안 했는지를 보기 때문에요. 지금 말씀하신 그런 부분 포함해서 오픈채팅방 안에서 암호화를 하지 않았거나 그리고 또 쉽게 암호화가 해제될 수 있게 단순화했던 이런 보안 취약점들 그리고 일반채팅방에서도 친구 추가를 통해서 기본정보가 조회될 수 있도록 한 이런 불법적인 해킹 이런 안전조치 의무를 종합적으로 고려해서 저희가 과징금을 부과했다, 라고 보시면 될 것 같고요. 그렇게 봐 주시면 될 것 같습니다.

<질문> 혹시 처음에 질문한 이렇게 따로따로 되어 있던 정보들이 결합될 경우에 문제가 돼서 과징금이 부과된 경우는 이번이 처음인 건가요?

<답변> 저희가 개인정보 유출인지 아닌지를 중심으로 봤지, 결합을 해서 이게 된다, 라든지 이 부분에 초점을 맞추지는 않았습니다. 개인정보 유출이 있었다고 저희가 판단을 했고 안전조치 의무 위반이 확인되었기 때문에 저희 법령과 과징금 규정에 따라서 과징금을 부과하게 된 건이라고 봐주시면 좋을 것 같습니다.

<질문> 이번 처분은 개인정보보호법 개정안 이전에 사안을 갖고, 기준을 갖고 부과가 된 거죠?

<답변> 그렇습니다. 저희가 그 사건 발생 시점을 기준으로 하기 때문에 이거는 2023년 9월 이전이기 때문에 개정 전에 보호법을 적용한 사안입니다.

<질문> 유출 신고·통지 의무 위반 관련해서는 그 유출 신고와 이용자 대상 유출 통지를 하지 않았다는 건 오픈채팅을 이용하는 전체 공지를 하지 않았다, 이런 말일까요? 아니면 이게 유출을 한 정확한 건수가 아직 규모가 경찰에서 파악 중이라고 했는데 그들 대상에게 하지 않았다는 의미인지 궁금합니다.

<답변> 일단 좀 전에 어느 기자분이 질문 주셨는데 카카오 측에서는 유출이 아니다, 라고 주장하고 있고요. 그래서 위원회 쪽에 유출 신고라든지 말씀하신 홈페이지나 개인들한테 통지라든지 이런 절차를 하지 않은 사항이 있었고 저희는 그것이 보호법 위반이라고 판단했던 사안입니다.

<질문> ***

<답변> 그 부분은 우리 과장... 카카오 측은 일단 개선 조치를 취한 것으로 저희 쪽에 보고를 해 왔고요. 조금 더 구체적인 사항에 대해서는 우리 과장이, 담당 과장이 설명드리도록 하겠습니다.

<답변> (관계자) 일단 개선 조치는, 기본적인 개선 조치는 완료한 상태입니다. 그래서 여기서 개선 조치라는 것은 아까 설명드렸듯이 오픈채팅방에서만 쓰이는 임시 ID라는 것이 일반 회원 일련번호라는 것을 같이 가지고 있었는데 이 부분을 전혀 다르게 썼으면 문제가 되지 않았을 것이고 또는 이걸 암호화해서 누구든지 알아볼 수 없도록 했다면 문제가 해결될 수 있었는데 카카오는 일부만 2020년 8월부터 암호화를 했었습니다.

그런데 최근, 작년 사고가 나고 나서 작년 하반기, 5월쯤에 전체 오픈채팅방의 임시 ID를 모두 다 암호화하는 것으로 조치를 해서 현재는 지금과 같은 유출이 발생하지 않습니다.

<질문> (온라인 질의 대독) 추가 질문 없으시면 문자로 주신 질문들에 대해서 답변드리겠습니다. 그런데 그 부분은 현장 질문에서도 어느 정도 해소된 부분이 있어서 뉴스토마토 기자님이 주셨던 질문에 대해서는 현장 질의에서 답변으로 갈음하고요.

아시아경제 기자님께서 두 가지 질문 주셨는데 그중의 한 가지 질문은 2020년 8월부터 오픈채팅방 임시 ID를 암호화했지만 그 이전에 개설된 방에서 암호화된 임시 ID로 글을 작성했을 때 암호화가 해제된 평문 ID로 응답한다는 그 내용에 대해서 부연 설명을 부탁드린다고 질문 주셨습니다.

<답변> 그것도 우리 과장님께서 조금 더 설명드릴 수 있도록 하겠습니다.

<답변> (관계자) 이 부분은 조금 기술적인데 다, 일반채팅이든 오픈채팅이든 이용을 많이 하실 거라고 생각하고 쉽게 설명을 드리겠습니다.

일단 오픈채팅방에서 게시판에 글을 쓸 수가 있습니다. 공지사항으로 글을 쓸 수가 있는데 그 공지사항에 글을 쓸 때 멘션 기능을 이용하게 되면 멘션 기능을 이용한다, 라는 건 오픈채팅방 참여자 누군가를 확인... 같이 거기다 공지하는 내용이잖아요.

그런데 그 공지를 할 때 오픈채팅방에 참여하지 않은 다른 사람, 특히나 암호화가 안 된, 2020년 8월 이전에 생성된 오픈채팅방에서 암호화가 안 된 그러면 임시 ID만 써야 되는데 다른 방에서 해커가 획득한 암호화된 임시 ID를 여기다 집어넣는 겁니다, 멘션에다가.

그렇게 집어넣게 되면 이걸 카카오가 '여기는 원래 암호화가 안 된 방인데 암호화된 게 들어왔네? 뭔가 이상하네.' 하고 조치를 했어야 되는데 그런 조치 없이 이거를, 암호를 다 풀어서 정상적으로 게시글이 작성돼서 게시글이 올라가고 게시글이 작성이 됐어, 라는 사실을 다시 알려주면서 알려줄 때 그냥 '작성되었다.'라고만 했으면 되는데 거기 안에다가 그 글을 같이 포함해서 하면서 여기에, 그 멘션에 있던 참여자, 원래 암호화된 V ID를 다 풀어서 평문으로 바꿔서 멘션에 포함해서 답을 줬었던 상황입니다.

그러니까 조금 프로세스가 설계 과정에서 뭔가 오류가 있었던 게 아닌가, 저희는 그렇게 판단을 하고 있습니다.

<답변> 제가 조금만 더.

<답변> (관계자) 어렵죠?

<답변> 알기 쉽게 말씀드리면, 말씀드린 대로 2020년 8월 이후에는 암호화를 했다, 라고 하는데요. 2020년 8월 이후에 암호화된 임시 ID를 가지고도 그 이전에 만들었던 방의 게시판을 이용하게 되면 이 암호가 풀린 그게 보였다는 걸로 이해해 주시면 좋을 것 같습니다.

2020년 8월 이후부터는 암호화를 했지만 이걸 가지고 그 이전에 만들어진, 암호화가 안 돼 있던 그 방에 들어가서 사용을 하면 그대로 그 암호가 풀린 이런 숫자 형태의 ID가 보였다, 라고 보시면 될 것 같습니다.

<질문> (온라인 질의 대독) 질문 주신 것 중에 아시아경제 기자님 두 번째 질문 주셨는데 그 부분은 아까 현장 질문에서 답변드린 걸로 갈음하고요.

마지막으로, 이 기자님 질문 있으십니까?

<질문> 이게 제대로 한 건지 확인차 여쭤보는 건데요. 그러니까 채팅방에서 암호화된 임시 ID로 게시글을 작성했더라도 댓글이나 답변 같은 거는 이 암호화가 해제된 상태로 달린, 달렸다는 얘기인가요?

<답변> (관계자) 그 얘기는 아니고요. 저희가 앱하고 서버하고 통신을 할 때 앱이 리퀘스트를 하면, 뭔가 요청을 하면 그걸 처리를 서버에서 해서 다시 처리가 되었다, 라고 응답을 보내줍니다. 이 응답해 주는 메시지에 그런 내용들이 포함되어 있었던 겁니다.

<답변> (사회자) 더 이상 질문 없으시면 이상으로 금일 브리핑을 마치도록 하겠습니다. 참석해 주신 기자님들께 다시 한번 감사의 말씀드립니다. 고맙습니다.

<답변> 감사합니다.

<끝>