'로코 프로토콜' 취약점 해킹
개인정보·대화내역 유출 가능
카카오 "유저아이디 추출 막아"
유출 채팅방·불법이용자 특정
카카오톡 메신저 시스템에서 심각한 보안 결함이 발견됐다. 카카오톡 오픈채팅 이용자들의 실명·전화번호를 비롯한 개인정보가 고가에 거래되고 있는 것으로 나타났다.
유출된 개인정보 기반으로 이용자 오픈채팅 이용 내역까지 역추적할 수 있다. 공익제보, 고발, 은밀한 고민상담 등 익명성에 기반해 이뤄졌던 이용자의 모든 대화 내역이 만천하에 까발려질 수 있다는 의미다. 대화내역에서 민감 정보가 유출됐을 경우 협박범죄나 스토킹에 악용될 우려도 있다.
12일 본지 취재를 종합하면 카카오톡 특정 오픈채팅방에서 이용자 개인정보를 추출하는 불법 솔루션이 개발돼 암암리에 거래되는 것으로 확인됐다.
불법 솔루션 판매자와 접촉해 '테스트'를 요청하면 지목한 오픈채팅방에서 사용하는 닉네임, 실명, 전화번호가 포함된 리스트를 샘플로 제공한다. 정식 거래단가는 통상 유통되던 불법 DB의 수십배에 달한다.
현재까지 유출된 실명과 전화번호는 실제 사용자와 일치하는 것으로 본지 취재 결과 확인됐다.
해킹툴은 카카오톡 메시지 전송 방식인 '로코 프로토콜(LOCO Protocol)'의 보안 취약점을 공략한 것으로 분석된다. 로코 프로토콜은 지난 2011년 카카오톡이 메시지 전송량 급증에 대응하기 위해 진행한 '겁나 빠른 황소 프로젝트' 결과물 중 하나다. 메시지 전송에 활용되는 패킷 사이즈를 경량화해 당시 기준 하루 6억건 메시지를 지연 없이 전송할 수 있게 만들었다.
이 프로토콜은 10년 넘게 사용되면서 보안 취약점이 다수 발견됐다. 일부 개발자들은 역설계(리버스 엔지니어링)로 가짜 카카오톡(위조 클라이언트)을 만들어 로그인한 후 일반 이용자는 접근할 수 없는 곳에 저장된 다양한 개인정보를 수집하는 데 성공했다.
위조 클라이언트를 이용해 특정 오픈채팅방에 접속하면 숫자로 구성된 유저아이디를 추출할 수 있다. 최근 이 유저아이디와 연결된 카카오톡 이용자의 프로필 정보를 캐낼 수 있는 보안 취약점이 발견됐다. 이용자가 카카오톡에 등록한 이름, 전화번호, 이메일도 이와 같은 경로로 유출됐다.
현재 주식리딩방 업체들이 이런 방식으로 유출된 DB를 사들여 사기 마케팅에 활용하고 있어 실제 피해사례가 발생한 것으로 확인됐다. 오픈채팅방 가입자는 특정 분야에 관심이 높아 리딩방 사기 대상으로 안성맞춤이다.
개인정보가 유출된 이용자들은 실명을 언급한 피싱 전화를 받거나 수십통 스팸 문자에 시달리고 있다. 법인 휴대폰 번호가 유출돼 심각한 피해를 입었다거나 반복되는 스팸 전화에 수십년간 써온 전화번호를 버리겠다는 피해자도 나왔다.
카카오는 이용자 신상정보를 유출하는 열쇠로 추정되는 '유저아이디'를 오픈채팅방에서 더 이상 추출할 수 없도록 12일 조치를 취했다고 입장을 알려왔다. 신상이 유출된 오픈카톡방과 불법이용자에 대해서도 이를 특정하는데 성공했다고 설명했다.
카카오 관계자는 “해당 어뷰징 행위를 인지한 직후, 해당 채팅방 및 어뷰저에 대한 조치를 진행했다"며 "다만 오픈 채팅 상에서 참여자 전화번호나 이메일, 대화내용 등을 확인하는 것은 불가능한 사안으로, 오픈 채팅 외의 다른 수단이 함께 활용한 것으로 판단하고 있다”고 말했다.
이형두기자 dudu@etnews.com