개인정보 유출로 과징금 151억여 원을 부과받은 카카오가 불복 소송에서 패소했다.

서울행정법원 행정14부(부장판사 이상덕)는 15일 카카오가 개인정보보호위원회(개보위)를 상대로 제기한 과징금 부과 처분, 시정명령, 공표 결정 취소소송에서 원고 패소로 판결했다.

재판부는 "해킹으로 인해 다수 이용자의 정보의 데이터베이스가 구축돼 온라인에 공개·판매된 것은 개인정보 유출에 해당한다고 넉넉히 인정할 수 있다"고 밝혔다.

그러면서 "새로 생성되는 오픈채팅방에만 암호화 조치를 시행하고 다른 추가적인 개선 조치를 하지 않은 것은 개인정보 유출의 위험성을 인지할 수 있는 상황이 됐는데도 적절한 대응을 시행하지 않은 것"이라며 "해킹에 이용된 각종 공격 방법 등에 대응하기 위한 접근 제한 및 유출 탐지 기능을 적절하게 운영했다고 평가하기 어렵다"고 지적했다.

개인정보위는 2024년 5월 카카오에 151억4196만 원의 과징금과 780만 원의 과태료를 부과했다. 특정 사이트에 카카오톡 오픈채팅방 이용자 696명의 정보가 올라온 것을 포함해 로그 분석 등을 통해 해커가 약 6만 5719건을 조회한 것으로 확인됐다.

개인정보위에 따르면 카카오는 익명 채팅을 표방하며 오픈채팅을 운영하면서 일반 채팅에서 사용하는 회원 일련번호와 오픈채팅방 정보를 단순히 연결한 임시 ID를 만들어 암호화 없이 그대로 사용했다.

2020년 8월부터는 오픈채팅방 임시 ID를 암호화했지만 기존에 개설됐던 일부 오픈채팅방은 암호화가 되지 않은 임시 ID가 그대로 사용됐다.

이 오픈채팅방에서 암호화된 임시 ID로 게시글을 작성하면 암호화를 해제한 평문 임시 ID로 응답하는 취약점도 확인됐다.

해커는 이런 취약점 등을 이용해 암호화 여부와 상관없이 모든 오픈채팅방의 임시 ID와 회원 일련번호를 알아낼 수 있었고, 회원 일련번호로 다른 정보와 결합해서 판매했다.

개발자 커뮤니티 등에 공개된 카카오톡 API 등을 이용한 각종 악성 행위 방법이 이미 공개돼 있었는데도, 카카오는 이를 통한 개인정보 유출 가능성 등에 대한 점검과 조치를 제대로 하지 않았던 사실도 드러났다.

또 카카오는 2023년 3월 언론보도 및 개보위 조사 과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반했다.

카카오 관계자는 "항소를 통해 사실관계를 다시 한번 적극적으로 소명하겠다"고 말했다.

shushu@news1.kr