이슈

2024년 대기업 개인정보 문제…카카오톡, 카카오페이 개인정보 총정리

안녕하세요. 캐치시큐입니다.
2024년에는 카카오의 개인정보 문제가 가장 큰 이슈였는데요.
카카오페이의 동의 없는 개인정보 제공과 카카오톡의 개인정보 유출 사건입니다.
카카오톡의 경우 국내 기업이 받은 과징금 중 역대 최대액을 기록하는 사건이었습니다.
이번 글에서는 두 기업의 개인정보 문제에 대해 자세히 알아보겠습니다.

카카오톡 개인정보 유출 사고

어쩌다 개인정보가 유출되었나요?

카카오톡 개인정보 유출 사고는 해커가 오픈채팅방의 취약점을 이용하여 개인정보를 유출한 사건이었는데요.
해커는 오픈채팅방의 취약점을 이용해 참여자의 임시 ID를 알아냈습니다.
이 임시 ID에는 개인에게 부여된 회원 일련번호가 포함되어 있었는데요.
해커는 카카오톡의 친구 추가 기능과 불법 해킹 프로그램을 활용해 이용자의 이름, 휴대전화 번호 등 다섯 종류의 개인정보를 파악했습니다.
파악한 정보로 개인정보 파일을 만들어 불법으로 판매하였습니다.

개인정보위, 역대 최대 과징금!

해당 유출 사고로 카카오는 역대 최대 과징금인 151억 원 처분을 받았습니다.
개인정보위는 카카오가 카카오톡 서비스를 제공하는 과정에서 아래와 같은 위반 사실을 확인했습니다.
2020년 8월 이전에 생성된 오픈채팅방의 경우 임시 ID를 암호화하지 않아 회원일련번호를 쉽게 확인할 수 있었습니다.
이후 생성된 오픈채팅방은 암호화가 되었지만, 오픈채팅방 게시판에 암호화된 임시 ID를 입력하면 암호화가 해제되어 평문으로 노출되는 취약점이 있어 회원일련번호를 확인할 수 있었습니다.
이러한 취약점이 개발자 커뮤니티 등에 꾸준히 지적되어 왔지만 카카오는 개인정보 유출 피해 가능성에 대한 검토, 개선 조치가 미흡했다고 밝혔습니다.

또한 카카오는 개인정보가 유출되었음을 인지했지만, 신고와 이용자 대상 유출 통지를 하지 않았습니다.
이에 과태료 780만 원을 부과했습니다.

카카오…소송까지?

카카오는 개인정보위 처분에 불복하여 소송을 예고했습니다.
카카오는 회원 일련번호의 경우 카카오톡 내부 관리를 위해 사용되는 번호이며, 해당 번호만으로 개인 식별이 불가능하기 때문에 암호화할 필요가 없다고 주장했습니다.
그리고 카카오는 유출 신고 및 통지의 경우에도 상황을 인지한 즉시 경찰에 고발과 한국인터넷진흥원, 과학기술정보통신부에 신고했다며 개인정보위의 처분에 반박하였습니다.

카카오와 개인정보위의 입장이 대립하며 행정소송으로 번지게 된 상황입니다.
행정소송에서 카카오톡 회원의 일련번호를 개인정보로 판단하는지 여부에 따라 승패가 결정될 것으로 보입니다.

카카오페이, 알리페이에 개인정보 무단 제공?

금감원의 현장검사를 통해 카카오페이가 알리페이에 6년여 동안 542억 건의 개인신용정보를 제공한 사실이 밝혀졌습니다.

해당 사건에는 애플도 관련되어 있었습니다. 애플에서 NSF 스코어를 알리페이에 요청했고, 알리페이는 카카오페이에 전체 고객 신용정보를 요청했습니다.
문제는 다음 단계에서 발생했습니다.
카카오페이가 알리페이에 전체 고객의 신용정보를 무단으로 제공한 것입니다.
제공한 고객 신용정보에는 해외결제를 이용하지 않는 고객도 포함되어 있었습니다.
더불어 랜덤값 추가 등의 보안 조치를 하지 않고 단순 암호화 처리만 한 것입니다.

이후 알리페이는 제공받은 정보로 산출한 NSF 스코어를 애플에 제출하였습니다.
카카오페이가 알리페이에 정보를 제공한 부분에 대해 금감원과 카카오페이 간의 주장이 상반되고 있습니다.

카카오페이 “동의 필요 없는 데이터, 안전하게 넘겼다.”

카카오페이는 정보 제공에 대해 알리페이와 위수탁 관계여서 이용자의 동의가 필요 없다고 주장했습니다.
또한 암호화에 대해서도 철저한 절차를 거쳐 원본 데이터를 유추할 수 없으니, 문제가 없다는 입장입니다.

금감원 “위탁 계약도 없었다.”

금감원은 카카오페이의 주장에 반박했습니다.
금감원은 카카오페이와 알리페이 간의 계약서, 약관, 동의서, 공시 등을 검토한 결과, NSF 스코어와 관련된 고객정보 제공이 가능하다는 내용을 찾을 수 없다고 밝혔습니다.
또한, 카카오페이의 회원가입 약관에는 고객정보 수집에 대한 내용만 있을 뿐, 제3자 제공에 관한 내용은 없다고 지적했습니다.
해외결제 동의서에도 결제승인 및 정산을 위한 고객식별정보와 결제정보만 제공된다고 명시되어 있다고 설명했습니다.

카카오페이가 주장한 위수탁 방식에 대해서도 금감원은 경품 배송, 홍보물 발송, 청구서 중계 업무 등에만 국한되었다고 밝혔습니다.
금융회사가 정보처리 업무를 외부에 위탁할 경우 금감원에 사전 보고해야 하지만, 카카오페이는 어떤 내용도 보고하지 않았다고 금감원은 주장했습니다.

암호화 조치에 대해서도 금감원은 카카오페이의 주장이 사실이 아니라고 밝혔습니다.
카카오페이가 사용한 암호화 프로그램은 일반적인 수준이며, 암호화 과정에서 랜덤 값을 추가하지 않아 원본 데이터를 유추할 수 있는 수준이라고 지적했습니다.

이번 글에서는 카카오의 개인정보 이슈에 대해서 알아보았습니다.
카카오톡, 카카오페이 두 기업 모두 암호화에 대한 문제가 있었는데요

캐치시큐는 AES-256이라는 암호화 알고리즘을 사용하고 있습니다.
AES-256은 가장 강력한 암호화 알고리즘으로 최고 수준의 보안을 제공하고 있습니다.
개인정보의 안전한 보관과 관리가 필요하다면 캐치시큐를 사용해 보세요!


 

# 이슈

관련 최신글

안녕하세요. 캐치시큐입니다.
2024년에는 카카오의 개인정보 문제가 가장 큰 이슈였는데요.
카카오페이의 동의 없는 개인정보 제공과 카카오톡의 개인정보 유출 사건입니다.
카카오톡의 경우 국내 기업이 받은 과징금 중 역대 최대액을 기록하는 사건이었습니다.
이번 글에서는 두 기업의 개인정보 문제에 대해 자세히 알아보겠습니다.

카카오톡 개인정보 유출 사고

어쩌다 개인정보가 유출되었나요?

카카오톡 개인정보 유출 사고는 해커가 오픈채팅방의 취약점을 이용하여 개인정보를 유출한 사건이었는데요.
해커는 오픈채팅방의 취약점을 이용해 참여자의 임시 ID를 알아냈습니다.
이 임시 ID에는 개인에게 부여된 회원 일련번호가 포함되어 있었는데요.
해커는 카카오톡의 친구 추가 기능과 불법 해킹 프로그램을 활용해 이용자의 이름, 휴대전화 번호 등 다섯 종류의 개인정보를 파악했습니다.
파악한 정보로 개인정보 파일을 만들어 불법으로 판매하였습니다.

개인정보위, 역대 최대 과징금!

해당 유출 사고로 카카오는 역대 최대 과징금인 151억 원 처분을 받았습니다.
개인정보위는 카카오가 카카오톡 서비스를 제공하는 과정에서 아래와 같은 위반 사실을 확인했습니다.
2020년 8월 이전에 생성된 오픈채팅방의 경우 임시 ID를 암호화하지 않아 회원일련번호를 쉽게 확인할 수 있었습니다.
이후 생성된 오픈채팅방은 암호화가 되었지만, 오픈채팅방 게시판에 암호화된 임시 ID를 입력하면 암호화가 해제되어 평문으로 노출되는 취약점이 있어 회원일련번호를 확인할 수 있었습니다.
이러한 취약점이 개발자 커뮤니티 등에 꾸준히 지적되어 왔지만 카카오는 개인정보 유출 피해 가능성에 대한 검토, 개선 조치가 미흡했다고 밝혔습니다.

또한 카카오는 개인정보가 유출되었음을 인지했지만, 신고와 이용자 대상 유출 통지를 하지 않았습니다.
이에 과태료 780만 원을 부과했습니다.

카카오…소송까지?

카카오는 개인정보위 처분에 불복하여 소송을 예고했습니다.
카카오는 회원 일련번호의 경우 카카오톡 내부 관리를 위해 사용되는 번호이며, 해당 번호만으로 개인 식별이 불가능하기 때문에 암호화할 필요가 없다고 주장했습니다.
그리고 카카오는 유출 신고 및 통지의 경우에도 상황을 인지한 즉시 경찰에 고발과 한국인터넷진흥원, 과학기술정보통신부에 신고했다며 개인정보위의 처분에 반박하였습니다.

카카오와 개인정보위의 입장이 대립하며 행정소송으로 번지게 된 상황입니다.
행정소송에서 카카오톡 회원의 일련번호를 개인정보로 판단하는지 여부에 따라 승패가 결정될 것으로 보입니다.

카카오페이, 알리페이에 개인정보 무단 제공?

금감원의 현장검사를 통해 카카오페이가 알리페이에 6년여 동안 542억 건의 개인신용정보를 제공한 사실이 밝혀졌습니다.

해당 사건에는 애플도 관련되어 있었습니다. 애플에서 NSF 스코어를 알리페이에 요청했고, 알리페이는 카카오페이에 전체 고객 신용정보를 요청했습니다.
문제는 다음 단계에서 발생했습니다.
카카오페이가 알리페이에 전체 고객의 신용정보를 무단으로 제공한 것입니다.
제공한 고객 신용정보에는 해외결제를 이용하지 않는 고객도 포함되어 있었습니다.
더불어 랜덤값 추가 등의 보안 조치를 하지 않고 단순 암호화 처리만 한 것입니다.

이후 알리페이는 제공받은 정보로 산출한 NSF 스코어를 애플에 제출하였습니다.
카카오페이가 알리페이에 정보를 제공한 부분에 대해 금감원과 카카오페이 간의 주장이 상반되고 있습니다.

카카오페이 “동의 필요 없는 데이터, 안전하게 넘겼다.”

카카오페이는 정보 제공에 대해 알리페이와 위수탁 관계여서 이용자의 동의가 필요 없다고 주장했습니다.
또한 암호화에 대해서도 철저한 절차를 거쳐 원본 데이터를 유추할 수 없으니, 문제가 없다는 입장입니다.

금감원 “위탁 계약도 없었다.”

금감원은 카카오페이의 주장에 반박했습니다.
금감원은 카카오페이와 알리페이 간의 계약서, 약관, 동의서, 공시 등을 검토한 결과, NSF 스코어와 관련된 고객정보 제공이 가능하다는 내용을 찾을 수 없다고 밝혔습니다.
또한, 카카오페이의 회원가입 약관에는 고객정보 수집에 대한 내용만 있을 뿐, 제3자 제공에 관한 내용은 없다고 지적했습니다.
해외결제 동의서에도 결제승인 및 정산을 위한 고객식별정보와 결제정보만 제공된다고 명시되어 있다고 설명했습니다.

카카오페이가 주장한 위수탁 방식에 대해서도 금감원은 경품 배송, 홍보물 발송, 청구서 중계 업무 등에만 국한되었다고 밝혔습니다.
금융회사가 정보처리 업무를 외부에 위탁할 경우 금감원에 사전 보고해야 하지만, 카카오페이는 어떤 내용도 보고하지 않았다고 금감원은 주장했습니다.

암호화 조치에 대해서도 금감원은 카카오페이의 주장이 사실이 아니라고 밝혔습니다.
카카오페이가 사용한 암호화 프로그램은 일반적인 수준이며, 암호화 과정에서 랜덤 값을 추가하지 않아 원본 데이터를 유추할 수 있는 수준이라고 지적했습니다.

이번 글에서는 카카오의 개인정보 이슈에 대해서 알아보았습니다.
카카오톡, 카카오페이 두 기업 모두 암호화에 대한 문제가 있었는데요

캐치시큐는 AES-256이라는 암호화 알고리즘을 사용하고 있습니다.
AES-256은 가장 강력한 암호화 알고리즘으로 최고 수준의 보안을 제공하고 있습니다.
개인정보의 안전한 보관과 관리가 필요하다면 캐치시큐를 사용해 보세요!


 

# 이슈
관련 최신글
인기글
테무 · 알리익스프레스 이용자들…내 개인정보는 괜찮은가요?

개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신가요? 언제든지 문의주세요!
개인정보관리는 캐치시큐

지금 바로 시작하세요!

개인정보보호에 고민이 있으신 가요? 언제든지 문의주세요!
메뉴
error: 컨덴츠는 보호됩니다.