요약

사건 개요 : 해커가 오픈채팅 취약점을 악용, 회원일련번호 수집 후 타 정보와 결합/판매

유출 규모 : 6만 5719건

적용 법률 : 개인정보보호법 제29조(안전조치의무)

행정 처분 : 과징금 151억 4916만원 + 과태료 780만 원

행정 소송 : 카카오 불복 제기(2024.11) -> 서울행정법원 카카오 패소 판결(2026.1.15) -> 카카오 항소 예정

핵심 쟁점 : "결합된 정보가 개인정보에 해당하는가", 유출 신고/통지 의무 위반 여부

행정 처분 : 행정청(구청, 경찰서, 세무서 등)이 국민에게 구체적인 법적 권리나 의무를 발생시키는 행위
행정 소송 : 행정 처분이 위법하거나 부당하다고 느낀 국민이 법원에 그 처분을 취소하거나 변경해달라고 요청하는 절차

개인정보위 공식 처분 공지

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10180

 

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 5월 22일(수) 제9회 전체회의를 열고, 개인정보보호 법규를 위반한 ㈜카카오에 대해 151억 4,196만 원의 과징금과 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결하였다.

 

1. 처분 결과

  • 개인정보 보호법을 위반한 ㈜카카오에 과징금 약 151억 원 및 과태료 780만 원 부과함.
  • 시정명령과 함께 처분 결과를 공식 홈페이지에 공표하기로 의결함.

2. 주요 위반 사실

  • 안전조치의무 위반:
    • 일반채팅과 오픈채팅 이용자를 동일한 회원일련번호로 식별하게 설계하여 익명성 훼손 및 개인정보 노출 위험을 초래함.
    • 오픈채팅방 임시 ID의 암호화 미비 및 게시판 보안 취약점 점검을 소홀히 함.
    • 공개된 API를 통한 정보 추출 가능성이 지적되었음에도 개선 조치가 미흡했음.
  • 유출 신고·통지 의무 위반:
    • 개인정보 유출 사실을 인지했음에도 법적 의무인 유출 신고 및 이용자 통지를 이행하지 않음.

3. 유출 경위 및 시사점

  • 해커가 오픈채팅방 취약점과 불법 프로그램을 이용, 회원일련번호를 기준으로 개인정보를 결합·판매한 것으로 확인됨.
  • 대규모 서비스 제공자로서 설계 및 개발 단계부터 보안 취약점을 상시 점검하고 개선해야 할 책임을 강조함.

240523 (석간) 개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과(조사2과) FN.pdf
0.41MB

 

당시 카카오의 공식 입장문(2024.5.23)

오픈채팅 이슈 관련 개인정보보호위원회 결정에 대한 입장 | 카카오

 

오픈채팅 이슈 관련 개인정보보호위원회 결정에 대한 입장

#오픈채팅 #입장문

www.kakaocorp.com

행정소송 1심 패소 보도 (바이라인네트워크)

카카오, 정보 유출 151억 과징금 불복소송 패소…이유는? – 바이라인네트워크

 

카카오, 정보 유출 151억 과징금 불복소송 패소…이유는? – 바이라인네트워크

카카오가 카카오톡 오픈채팅 이용자 개인정보 유출과 관련해 2024년 11월 제기한 행정소송 1심에서 개인정보보호위원회(이하 개인정보위)에 패소하면서 항소 의사를 밝혔다. 법원은 오픈채팅 관

byline.network

[카카오 과징금 불복 소송 1심 결과 요약]

1. 판결 결과

  • 서울행정법원은 카카오가 개인정보보호위원회를 상대로 제기한 과징금 부과 및 시정명령 취소 소송에서 원고(카카오)의 청구를 기각함.
  • 개인정보위가 부과한 151억 원의 과징금 처분이 정당하다고 판단한 것임.

2. 법원의 주요 판단 근거

  • '결합된 정보'의 개인정보 인정: 해커가 회원일련번호와 다른 정보를 결합해 만든 데이터베이스를 개인정보 유출로 보았기 때문. 단일 정보로 식별이 안 되더라도 '다른 정보와 결합해 쉽게 개인을 알아볼 수 있는 정보' 역시 개인정보 보호법상 개인정보에 해당함.
  • 보안 위험 인지 및 방치: 카카오가 2020년부터 일부 오픈채팅방에만 암호화 조치를 적용한 점으로 보아, 유출 위험을 충분히 인지하거나 예측할 수 있었음에도 추가 조치를 소홀히 했기 때문임.
  • 신고·통지 의무 위반: 유출 정황을 확인한 후에도 지체 없이 당국에 신고하거나 이용자에게 통지하지 않은 점이 위법하다고 보았기 때문임.

3. 양측의 핵심 쟁점

  • 카카오 측 주장: 회원일련번호는 단순한 난수일 뿐이며, 해커가 결합한 외부 정보는 카카오 내부에서 유출된 것이 아니라고 주장함.
  • 법원 및 전문가 판단: 결합 가능성이 입증되었고, 시스템 설계 단계부터 개인정보 보호를 고려해야 하는 '프라이버시 바이 디자인(Privacy by Design)' 원칙을 미흡하게 적용했다고 판단함.

4. 향후 전망 및 시사점

  • 카카오는 기존 입장을 고수하며 1심 판결에 불복해 항소를 진행할 계획임.
  • 이번 판결은 대형 플랫폼의 정보 관리 책임과 '결합 가능한 정보'의 범위를 엄격하게 해석한 사례로 남을 것임.
  • 개인정보위는 이를 계기로 대형 플랫폼에 대한 ISMS-P 인증 의무화 등 상시 관리 체계를 강화할 방침임.

2024년 5월 23일 처분은 개인정보보호위원회의 행정처분 의결 -> 의결서는 확인 가능(첨부된 pdf와 같음)

단, 2026년 1월 15일 1심 카카오 패소 관련 판결문은 찾기 어려웠음(국가법령정보센터, 사법정보공개포털, 케이스노트, 엘박스 확인)

-> 너무 최근 판결이고, 카카오가 항소를 예정했기 때문에 그런듯...?

'개인정보보호 > 기타 추가 공부' 카테고리의 다른 글

무죄는 맞지만, 운이 좋았다 — 대법원 2023도17590 판결을 보며  (0) 2026.05.14
[Theori] 코드가 정상이라면, 정말 안전할까? | 비즈니스 로직 취약점이란  (0) 2026.05.10
[개보법 판례 조사] 대법원 2024. 7. 11. 선고 2019다242045, 2019다242052 판결  (0) 2026.05.03
[개보법 판례 조사] 조합장의 농업협동조합법 위반 행위를 고발하기 위하여 개인정보가 포함된 자료들을 수사기관에 제출한 사건[대법원 2025. 7. 18. 선고 중요판결]  (0) 2026.05.03
[개보법 판례 조사] 위메프 개인정보 유출 과징금 소송(행정소송 3심 확정)  (0) 2026.05.03

티스토리툴바