카톡 오픈채팅도 ‘탈탈’…보안 허점으로 모은 ‘개인정보’ 팔았다

오픈채팅서 ID 추출해 개인정보 생성
카톡 메시지 전송방식 보안 취약점 공약
카카오 “전화번호, 대화내용 등 확인 불가”

카카오톡 오픈채팅방에서 이용자 개인정보를 불법 추출하는 업체들이 등장해 카카오톡 이용자들의 피해가 예상된다. 카카오톡 누리집 갈무리

카카오톡 오픈채팅방(익명 대화방) 이용자들의 사용자이름(ID) 정보를 추출한 뒤 시중에서 불법 유통되는 다른 개인정보들과 결합하는 방식으로 이용자 이름과 전화번호 등을 불법 수집하는 업체들이 등장했다. ‘비밀 대화’를 주고받는 익명 대화방의 특성상 해당 개인정보가 각종 협박이나 피싱 범죄 등에 악용될 우려가 크지만, 카카오는 사용자이름을 개인정보가 아닌 것으로 판단해 관련기관 신고 절차를 이행하지 않은 것으로 드러났다.

13일 <한겨레> 취재를 종합하면, 카카오톡 오픈채팅방 등에서 불법 프로그램을 활용해 이용자 사용자이름 정보를 추출한 뒤 다른 개인정보와 결합하는 방식으로 수집한 카톡 이용자 개인정보가 시중에서 거래되고 있다. 온라인 마케팅 프로그램을 거래를 제안하는 누리집에선 카카오톡 오픈채팅방 데이터베이스(DB) 추출 기능을 제공한다는 글을 쉽게 볼 수 있다. 해당 업체는 특정 오픈채팅방을 지정하면, 그 방 참여자들의 실명과 전화번호 등을 얻을 수 있다고 설명한다.

어떻게 가능할까. 보안 업계에선 카카오톡 메시지 전송 방식 ‘로코 프로토콜’의 보안 취약점을 공략한 것이라고 설명한다. 해당 프로토콜은 패킷 사이즈를 경량화해 메시지 전송량 급증에 대비할 수 있는 장점이 있는 반면, 시스템 구조를 역으로 분석해 숨은 정보에 접근할 수 있다는 허점도 있는 것으로 알려졌다.

실제로 이 방식을 통한 개인정보 불법 수집업체들은 ‘위조 클라이언트’로 가장해 카카오톡 오픈채팅방에서 이용자들의 사용자이름을 확보한 것으로 나타났다. 업계 관계자는 “해당 사용자이름 정보와 외부에서 얻은 이용자 사용자이름과 실명, 전화번호, 이메일 등을 대비하는 방식으로 개인정보를 생성하는 것으로 추정된다”고 설명했다.

카카오톡 오픈채팅방 데이터베이스 추출 기능을 제공한다는 글 갈무리

온라인 카페의 익명 게시판 등에서도 이런 방식의 개인정보 추출이 가능해 보안상 주의가 요구된다. 투자 정보나 취미 공유 등을 기반으로 개설된 익명 게시판의 경우, 참여자별 특정 관심사가 파악될 수 있어 사기 범죄에 더 취약하다. 온라인 커뮤니티에선 익명 게시판 이용자들의 “실명을 언급한 피싱 전화 등에 시달린다”는 피해 호소 글도 쉽게 찾아볼 수 있다.

카카오는 “오픈채팅방에서 더는 ‘사용자이름 정보’를 추출할 수 없도록 조치했다”고 밝혔다. 카카오 관계자는 <한겨레>와의 통화에서 “오픈채팅방에서 숫자로 된 유저 아이디 정보를 추출하는 게 가능하다고 확인돼, 더는 할 수 없게 보완조치를 완료했다”며 “카카오톡에서 전화번호와 이메일 같은 개인정보가 유출된 흔적은 없고, 개인정보를 알아내는 데는 다른 수단을 쓴 것으로 판단된다”고 말했다.

카카오는 개인정보 불법 수집업체를 특정해 수사기관에 신고하는 등 강력한 법적 대응을 한다는 방침이다. 개인정보 유출 즉시(24시간 내) 한국인터넷진흥원과 개인정보보호위원회 등에 신고하도록 돼 있는 절차의 준수 여부에 대해서는 “실명과 전화번호 같은 개인정보가 아니라 사용자이름 정보가 유출된 거라서 신고하지 않았다”고 밝혔다.

업계에선 이번 오픈채팅방 개인정보 유출 문제로 카카오의 오픈채팅 사업 확장에 제동이 걸릴 수 있다는 관측도 나온다. 카카오는 지난해부터 관심사 기반의 오픈채팅을 바탕으로 국내뿐 아니라 국외 시장 공략을 강화하겠다는 계획을 밝혀왔다. 일반 채팅방에 견줘 관심사 기반의 정교한 타깃 광고가 가능해, 광고 매출을 크게 늘릴 수 있다고 보는 것이다. 익명을 요청한 플랫폼 업계 관계자는 “불특정 다수가 이용하는 메신저의 보안 문제는 이용자 유입이나 유출에 큰 영향을 미칠 수 있다”고 말했다.

옥기원 기자 ok@hani.co.kr 정인선 기자 ren@hani.co.kr