국내 기업, 개인정보보호법 위반에 따른 과징금 및 제재 강화

1. 플랫폼•서비스 이용자 정보 유출, 안전 미비 등에 따른 과징금 상향 추세

○ 정부는 구글•메타 등 해외 빅테크 기업에 대한 제재뿐 아니라 최근 국내 기업의 개인정보 유출 여부 조사와 함께 대규모 과징금을 부과하는 등 강경하게 조치

• 개인정보보호위원회는 이용자 동의 없이 개인정보(이용자의 타사 행태정보)를 수집하여 온라인 맞춤형 굉고에 활용하는 등 개인정보 보호법을 위반한 구글메타에 시정명령과 함께 각각 과징금 부과

       *온라인 맞춤형 광고 플랫폼의 행태정보 수집•이용과 관련된 첫 번째 제재

• 국내 기업도 예와는 아니며 지난해 7월 약 30만 건의 고객 정보 등을 외부로 흘려보낸 LG유플러스에 68억원의 과징금 부과
• 5월 초에는 개인정보가 담긴 파일서버를 제대로 관리하지 않아 221만 여명의 이름과 전화번호 등을 유출한 골프존에 75억원 부과
  
• 이어 카카오의 오픈채팅방 관련 개인정보 유출 조사 결과를 발표(5.22)하면서 역대 최대 규모인 151억원의 과징금 공표
  
• 기업에 대한 과징금 부과 규모가 크게 불어난 이유는 지난해 9월 시행된 개인정보보호법 개정안의 영향으로 해석
  

* 이전까지는 과징금 상한액을 ‘위법행위와 관련된 매출액의 3%’로 했지만 개정 이후 ‘전체 매출액의 3%’로 조정하되 위반 행위와 관련 없는 매출액은 제외. 관련 없는 매출액을 증명해야 하는 책임이 기업에 주어졌기 때문에 결과적으로 과징금 부담이 무거워진 셈

 

2. 이용자 정보 유출 등 이유로 ‘역대 최대 과징금’ 직면한 카카오

○ 카카오 이용자의 이름, 휴대 전화번호 등 개인 정보가 해커에게 유출되어 시중에서 판매된 것으로 확인, 개인 정보위는 개인정보보호법 위반으로 판단하고 약 151억 원의 과징금 제재 결정

• 개인 정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인 정보가 불법 거래되고 있는지 검토에 착수해 개인정보보호법 위반 여부를 조사
• 조사 결과 해커가 카카오톡을 통해 최소 6만 5,719건의 개인 정보를 조회했으며 해커에게 유출된 개인 정보는 텔레그램에서 판매돼 스팸 문자메시지 발송 등에 활용된 것으로 파악
• 해커는 카카오톡 오픈채팅방의 취약점을 이용해 이곳에 참여한 이용자의 정보(임시 ID)를 알아내고 카카오톡 친구 추가 기능과 불법 해킹 프로그램 등을 활용해 두 정보를 결합
• 이용자의 이름, 휴대 전화번호 등 다섯 종류의 개인 정보를 파악해 파일을 생성하여 불법 판매한 것

* 임시 ID 뒷자리에는 주민등록번호처럼 개인에게 부여된 고유 번호인 회원 일련번호가 포함

• 개인 정보위는 이 과정에서 카카오가 이용자의 임시 ID를 암호화하지 않았고 회원 일련번호와 임시 ID를 연계해 보안 취약점이 발생한 것이 문제라고 지적

 

• 카카오는 2020년 8월부턴 오픈채팅방 임시 ID를 암호화했으나 기존에 개설한 오픈채팅방 임시 ID는 암호화되지 않아 일부 개발자들이 해킹 프로그램으로 이용자 정보 추출이 가능하다고 지적
• 조사 과정에서 카카오톡 오픈채팅 이용자의 개인 정보가 유출되고 있다는 사실을 카카오 측이 인지한 뒤에도 유출 신고와 이용자 대상 통지를 하지 않아 개인정보보호법을 위반했다고 판단
• 이에 개인 정보위는 제9회 전체 회의를 열고 개인정보보호 법규를 위반한 카카오에 대해 151억 4,196만 원의 과징금과 780만 원의 과태료를 부과하고 시정명령과 처분 결과 공표를 의결(5.22)

 

3. 카카오는 조사 사실과 다른 점이 있다며 법적 조치 등 강경한 입장

○ 카카오는 해커가 불법적인 방법을 통해 파악한 정보를 결합했을 뿐 카카오에서 빠져나간 개인정보는 없기 때문에 정보 유출이 아니라고 반박

• 오픈채팅을 운영하면서 일반채팅에서 사용하는 ‘회원 일련번호’와 오픈채팅방 정보를 단순히 연결한 임시 ID를 만들어 암호화 없이 그대로 사용했다는 데 상반된 입장
• 회원 일련번호는 카카오톡 작동 과정에서 사용자 식별을 위해 사용하는 일종의 고유 번호로 개인 정보위는 임시 ID를 알면 카카오톡 회원 일련번호를 쉽게 알 수 있었다는 판단

* 즉 회원 일련번호 자체는 산상 정보가 아니지만, 간단한 해킹 프로그램을 이용하면 쉽게 개인 정보로 연결시킬 수 있다는 의미

• 카카오는 “회원 일련번호와 임시 ID는 숫자로 구성된 문자열로 어떠한 개인 정보도 포함히고 있지 않아 개인 식별이 불가능하다”며 “이 같은 서비스 일련번호는 관련 법상 암호화 대상이 아니기 때문에 법을 위반하지 않았다”고 반박

○ 또한 해커가 개인 정보를 알아낸 방법을 두고 개인 정보위와 카카오 입장상이

• 해커는 카카오톡의 친구 추가 기능을 이용해 회원 일련번호와 휴대폰 번호, 프로필명을 확보
• 전화번호를 저장하면 자동으로 카카오톡에 친구를 추가할 수 있는 기능을 사용. 무작위 휴대폰 번호를 대량으로 저장해 휴대폰 번호-프로필명-회원 일련번호 데이터베이스 확보
• 이렇게 만든 데이터베이스를 앞서 수집한 오픈채팅방의 회원 일련번호와 대조하면 특정 오픈채팅방에 참여한 이용자의 휴대폰 번호와 프로필명을 알 수 있게 되는 것
• 카카오는 해커가 오픈채팅과 일반채팅을 통해 파악한 정보를 결합한 것을 두고 “해커가 불법적인 방법을 통해 자체 수집한 것”이라며 “카카오의 위법성을 판단할 때 고려돼선 안 된다”는 입장

○ 행정소송 등 강경 대응을 예고한 만큼 정보와 정보를 결합해 생성한 개인 정보 관련한 법정 공방도 이어질 전망

• 이번 사건은 기업 내부에서 개인 정보가 유출된 사례와 달리 해커가 플랫폼에서 얻은 정보를 조각조각 결합해 개인 정보를 확보하고 판매한 것
• 오픈채팅이라고 해서 쉽게 아이디나 회원 번호를 알 수 있도록 조치했다는 것은 결과적으로 개인 정보에 대한 기술적, 관리적 조치가 미비했다는 의미
• 전문가들은 오픈채팅방 ID에 들어가 단순 암호화된 오픈채팅방 ID를 풀어서 회원 일련번호를 조합하면 쉽게 개인 정보를 확보할 수 있는 구조적인 문제도 지적
• 아울러 기업의 자체적인 관리 결함이 아니라는 점에서 기업에 과도한 부담과 책임을 부과할 경우 과도한 규제로 산업이 위축될 수 있다는 우려도 제기

4. 개인정보유출에 대비한 철저한 대비와 사후 조치 강화 필요

○ 카카오의 개인정보 유출 배경을 두고 개인정보위와 사측의 입장이 엇갈리고 있지만 해커의 개인정보 확보가 가능했다는 것은 자명한 사실

• 카카오는 해커가 불법적인 방법을 통해 정보를 유출한 것이라고 주장하고 있지만, 개인정보보호 위원회는 카카오가 정보 관리에 소홀했다고 판단
• 최근 랜섬웨어 등 해킹에 의한 정보 유출뿐만 아니라 조각조각 정보를 조합해 개인 정보를 알아 내는 지능화·교묘화된 사고도 빈번히 발생하면서 이에 대한 제재 기준도 더욱 고민해 볼 필요

참고자료 1) 개인정보보호위원회, '(주)카카오에 과징금 151억 원, 과태료 780만원 부과’(2024.5.23.) https://pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bsld=BS074&mCode=C020010000%22&nttld=10180#LINK 2) 동아일보, ‘개인정보 유출 카카오에 151억 과징금’(2024.5.24.) https://www.donga.eom/news/Society/article/all/20240524/125087887/1 3) 매일신문, '개인정보 6만5천 건 유출 '카카오' 역대 최대 과징금'(2024.5.23.) https://www.imaeil.com/page/view/2024052317062851935 4) 조선비즈, ‘카카오•라인야후, 어떻게 해커에 뚫렸나… 오픈채팅방 ID 구조 단순vs몰래 심은 악성코드로 시스템 침투’(2024.5.27) https://biz.chosun.com/it-science/ict/2024/05/27/YFMWHLCPFJBSJEENUEQJHBNT6M/ 5) 매일일보, '늘어나는 개인정보 유출…개정되는 보안법’(2024.5.28.) https://www.m-i.kr/news/articleView.html?idxno=1124563

<발췌: 정보통신기획평가원, ICT Brief 2024-20호>

#개인정보보호법 #개인정보 #카카오 #LG유플러스 #골프존 #카카오톡 #오픈채팅 #개인정보위원회 #오픈채팅방 #개인정보유출