카카오톡 오픈채팅, ‘임시 ID 취약점’ 통해 개인정보 유출돼

[산업일보]
‘카카오톡’의 익명채팅 기능, ‘오픈채팅’을 통해 이용자의 개인정보가 유출됐다.

개인정보보호위원회(이하 개인정보위) 남석 조사조정국장은 개인정보위 전체회의에서 진행된 (주)카카오의 처분 결과를 23일 정부서울청사에서 발표했다.

개인정보위는 작년 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법으로 거래되고 있다는 언론보도에 따라 카카오의 ‘개인정보보호법’ 위반 여부 조사에 착수했다.

그 결과로 개인정보위는 카카오가 ‘안전조치의무’와 ‘유출 신고·통지 의무’를 위반한 것으로 판단하고, 151억 4천196만 원의 과징금과 780만 원의 과태료를 부과하기로 의결했다.

카카오는 일반채팅과 오픈채팅 이용자들에 대해 동일한 회원 일련번호를 부여했다. 그러면서, 오픈채팅 참여자의 경우 오픈채팅방 ID와 회원 일련번호로 구성된 임시 ID를 메시지 송수신 시 사용했다.

그런데, 2020년 8월 이전에 생성된 오픈채팅방은 참여자의 임시 ID를 암호화하지 않아 회원 일련번호를 해커가 확인할 수 있었다. 그 이후에 생성된 오픈채팅방에서는 임시 ID의 암호화는 적용됐지만, 오픈채팅방의 게시판에 임시 ID를 입력하면 암호화가 해제되고 평문으로 노출되는 취약점이 있었다.

이런 방식으로 취득된 회원 일련번호를, 해커가 카카오톡 친구추가 기능과 해킹 프로그램에 이용함으로써 개인정보를 알아낼 수 있었다는 것이 개인정보위의 설명이다.

남석 조사조정국장은 이를 두고 “카카오는 설계·운영 과정에서 회원 일련번호와 임시 ID 연계에 따른 익명성 훼손 가능성에 대한 검토와 개선, 보안 취약점 점검 등의 조치를 소홀히 했다”라고 말했다.

더불어, “개발자 커뮤니티 등을 통해 카카오톡 전송방식을 분석한 해킹 프로그램의 위험이 지적돼 왔음에도, 카카오는 서비스 영향이나 개인정보 유출 가능성 검토 등의 조치를 소홀히 했다고 판단한다”라고 언급했다.

이어, “2023년 3월 언론보도와 개인정보위의 조사과정을 통해 카카오는 오픈채팅 이용자의 개인정보 유출을 인지했음에도 신고와 이용자 대상 통지를 하지 않아 유출 신고 및 통지 의무를 위반했다”라고 전했다.

카카오톡 오픈채팅을 통한 정확한 유출규모는 현재 경찰에서 조사하고 있다. 다만, 개인정보위는 특정 사이트에 이용자 약 696명의 정보가 업로드된 것을 확인했다.

이와 함께, 해커가 텔레그램 등에서 특정 오픈채팅방의 이용자 정보를 제공하겠다는 게시글이 올라왔다는 점을 고려해 상당수의 정보가 유출된 것으로 보고 있다.

이렇게 유출된 개인정보는 오픈채팅방에서 공유되는 정보의 주제와 결합돼 스팸문자 발송 등의 2차 피해로도 이어질 가능성이 있었다고 개인정보위는 진단했다.

남석 조사조정국장은 “이번 처분을 계기로 카카오톡과 같이 대다수 국민이 이용하는 서비스에서는 보안 취약점을 상시로 점검 및 개선이 필요"하다며 “설계·개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대해 지속적인 점검과 노력이 필수적이라는 인식이 자리 잡기 바란다”라고 밝혔다.