[단독] '드러나지 않는다'더니…암호화 단순했다

<앵커>

카카오는 오픈채팅방에서 참여자의 전화번호 같은 개인정보가 유출되는 건 불가능하다고 그동안 주장해 왔습니다. 하지만 조사 결과 암호화 방식이 단순했다는 게 드러났고 그래서 정부는 카카오가 안전조치 의무를 어긴 걸로 보고 있습니다.

이어서 조을선 기자의 단독 보도입니다.

<기자>

오픈채팅방 참여자의 식별 ID에서 회원일련번호를 쉽게 뽑아낸 건 식별 ID의 구조가 단순했기 때문입니다.

카카오 회원일련번호에 버전값으로 불리는 단순한 숫자와 채팅방 링크 ID를 조합한 방식이었던 겁니다.

암호화가 너무 단순해 식별 ID에서 회원일련번호를 비교적 쉽게 역산할 수 있었다는 게 전문가들의 설명입니다.

문제가 불거진 후 카카오 측은 채팅방 참여자 식별 ID 암호화 방식을 바꿨습니다.

[카카오 관계자 : 해당 불법 행위에 대한 기술적 조치는 지난해 완료돼 더 이상 불가능한 상황입니다.]

카카오 측은 판매업체가 여러 정보를 무작위로 조합한 것일 뿐, 해킹 등에 의한 개인정보 유출은 아니라는 입장이지만, 정보 보호 조치가 소홀했다는 전문가들의 지적이 나오고 있습니다.

[이성엽 교수/고려대학교 기술법정책센터장 : 아이디나 회원번호를 알 수 있도록 그러니까 조치했다는 것은 어쨌든 개인정보에 대한 기술적 관리적 조치가 미비했다고 봐야 되겠죠.]

개보위는 무작위 전화번호 대입을 통한 친구 추가 기능과, 회원일련번호를 쉽게 추출할 수 있게 식별 ID를 구성한 점, 오픈채팅방 게시판 내 작성자 검증 절차가 없었던 점 등을 안전조치 의무 위반 사항으로 카카오에 통보했습니다.

개보위는 조만간 전체회의에 상정해 제재 수위를 논의할 것으로 알려졌는데, 개인정보보호법 위반으로 최종 판정되면 관련 매출액의 3% 이내에서 과징금이 부과될 수 있습니다.

(영상취재 : 오영춘, 영상편집 : 우기정)

▶ [단독] 오픈채팅방 개인정보 유출 "6만 5천 건"