카톡 오픈채팅 정보유출 불가능 못 박았지만…“대책 마련 절실” 한목소리

카톡 오픈채팅방 개인정보 거래 행위 아직 성행중
어뷰징 행위 조치 진행했지만 취약점 남아있는셈
‘국민 서비스’에선 개인정보유출 논란조차 치명
개보위·과기정통부 조사 통해 근본 대책마련 필요

▲카카오톡 정보유출로 인해 오픈채팅방 이용제한 조치를 받은 한 이용자가 SNS에 피해 사실을 알리고 있다. (사진제공=독자 제보)

카카오가 오픈채팅방을 통한 정보유출은 불가능하다고 못박았지만 개인정보를 판매한다는 업체가 아직까지 성행하고 있어 논란이 예상된다. 현재는 카카오톡 내 채팅방 및 어뷰징에 대한 조치를 진행했지만 취약점은 여전히 남아있다는 셈이다. 이에 업계에서는 수천만 명이 이용하는 서비스에서 개인정보 유출 의심 사례가 나오는 것 자체가 문제라며 근본적인 대책마련이 필요하다고 입을 모은다.

카카오 “개인정보 탈취 불가”…개발자들 사이에선 1월에 이미 ‘경고’

15일 업계에 따르면 일부 해커들을 중심으로 카카오톡 오픈채팅방에서 탈취한 개인정보가 거래되고 있다. 일부 이용자의 실명과 전화번호 등의 개인정보를 추출하는 불법 프로그램을 통해 탈취하는 방식으로, 해당 정보는 암암리에 개당 수천 원 대에 거래되고 있는 것으로 알려졌다. 만약 100만 명의 개인정보가 5000원에 거래된다고 가정할 경우 금액은 5000억 원 규모다. 지난해 말 카카오톡 월간 활성 이용자 수는 4700만 명 이상이다.

하지만 카카오 측은 전화번호나 이메일을 탈취할 수 없다고 강조한다. 해당 어뷰징 행위를 인지한 직후 채팅방에 대한 조치를 진행했으며, 이후 개인정보가 유출됐다면 오픈채팅 외의 수단을 활용한 것으로 판단하고 있다.

카카오 측은 “해당 업체의 행위는 약관 및 법적으로 금지된 행위”라며 “해당 업체에 대한 제재를 진행함과 동시에 수사기관 신고 등을 포함해 강경 대응할 예정”이라고 강조했다. 그러면서 전화번호나 이메일주소, 대화내용 등은 유출이 불가능하다“며 ”해당 어뷰저가 외부의 방법을 이용한 것“이라고 덧붙였다.

이같은 카카오의 강조와는 다르게 개발자들 사이에선 이미 카카오톡 정보 유출에 대한 우려가 제기된 바 있다.

올해 1월 카카오 플랫폼 서비스 관련 개발자 커뮤니티인 ‘카카오 데브톡’에는 ‘카카오톡 오픈채팅방의 보안 허점과 개인정보 누출’이라는 제목의 글이 올라왔다. 데브톡은 개발자들이 카카오 서비스와 관련한 질문과 답변을 주고받는 커뮤니티다.

해당 글에 따르면 카카오톡에 적용된 ‘로코 프로토콜’에 취약점이 있다며, 개인정보 추출이 가능하다는 주장이 담겼다. 실제로 같이 등록된 이미지에는 오픈채팅방에서 한 이용자가 다른 이용자의 개인정보를 전달하는 모습이 담겼다. 로코 프로토콜은 카카오가 직접 개발해 카카오톡에 적용한 툴로 12년째 적용돼 활용되고 있는 시스템이다.

이에 카카오 측은 “유저 ID라고 해서 해당 값이 있는데 그 값만으로는 알 수 있는게 아무것도 없고, 그것조차 어뷰징에 해당돼 현재는 막아둔 상태”라며 “이를 활용한다고 해도 알 수 있는 정보가 전혀 없다”고 강조했다.

▲비상경영 착수한 카카오. 사진은 17일 오전 경기도 성남시 카카오 판교 아지트 모습.(연합뉴스)

카카오톡 정부 조사 착수…“근본 대책 마련 절실”

카카오톡 오픈채팅방 정보유출 논란이 이어지자 정부에서도 조사에 착수했다.

개인정보보호위원회는 전날 카카오톡 오픈채팅방의 보안 취약점과 개인정보 유출경위 및 규모, 기술적·관리적 보호조치 등에 대해 조사할 것이라고 밝혔다. 특히 ‘개인정보 보호법’을 위반했는지 여부에 대해 집중 조사할 것으로 알려졌다.

앞서 과학기술정보통신부도 한국인터넷진흥원(KISA) 및 전문가들과 함께 카카오톡 오픈채팅방 취약점 조사에 착수했다. 이번 조사에서는 어떤 방식으로 공격이 이뤄졌는지, 실제로 개인정보를 유출해 거래한 정황 등이 있는지 살펴볼 예정이다.

업계에서는 올해 초부터 발생하고 있는 LG유플러스 개인정보 유출 등과 연관해 특별점검을 실시해야 하는 것 아니냐는 의견도 나온다. 개인정보 유출은 올해 뿐만 아니라 지난 수년간 빈번하게 발생해왔던 문제다. 지난해 말에는 NHN페이코 서명키가 유출돼 곤혹을 치뤘고 2021년에는 AI챗봇 ‘이루다’에서 개인정보 유출이 발생해 데이터베이스(DB)를 폐기하기도 했다. 개보위에 따르면 2021년 개인정보 분쟁조정제도 신청건수가 870건으로 2020년 대비 두배 가량 증가하기도 했다.

업계 한 관계자는 “수천만 명이 사용하는 서비스에서 개인정보 유출 논란이 발생하는 것 자체가 문제라는 인식을 가져야 한다”며 “근본적인 정부의 대책마련이 필요해 보인다”고 말했다. 이어 “카카오톡 오픈채팅방 개인정보 유출로 인해 아직 어떠한 신고도 접수되지는 않았지만 안심할 수 없다”며 “언제 어디서 어떤 피해가 발생할지는 아무도 모르며, 피해 발생은 시간문제일 것”이라고 우려했다.