정부 '카카오톡 오픈채팅' 보안 취약점 조사

KISA, 로코 프로토콜 집중 점검
실명·전화번호 유출 가능성 확인
카카오, 수사기관 신고 대응
"관련 부처 조사 성실히 협조"

카카오톡 오픈채팅방에서 이용자 개인정보를 추출하는 불법 솔루션이 개발·거래되고 있음이 적발, 정부가 조사에 나섰다.

과학기술정보통신부는 카카오톡 오픈채팅방 개인정보 유출 관련 취약점·불법행위 조사에 착수했다. 과기정통부 관계자는 13일 “카카오톡 오픈채팅방의 취약점과 그로 인한 개인정보 유출 가능성이 제기된 만큼 바로 조사를 시작했다”고 밝혔다. 〈본지 3월 13일자 1면 참조〉

조사 실무는 한국인터넷진흥원(KISA)이 담당한다. KISA는 외부 전문가를 포함한 취약점 조사단을 꾸리고 카카오와 공동 조사를 협의하고 있다.

카카오톡 오픈채팅방 이용자의 개인정보를 추출하는 불법 솔루션은 카카오톡의 다수 보안 취약점을 이용하는 것으로 파악된다. 이에 따라 이번 조사는 카카오톡 오픈채팅방의 보안 취약점 여부 확인, 개인정보 추출 재현에 집중된다.

카카오톡 메시지 전송에 쓰이는 '로코 프로토콜'의 보안 취약점이 우선 조사 대상이다. 로코 프로토콜은 메시지 전송량 급증에 대응하기 위해 개발한 전송 방식이다. 메시지 전송에 활용되는 패킷 사이즈를 경량화, 지연 없이 전송하는 게 핵심 기술이다.

로코 프로토콜 취약점을 이용, 역설계(리버스 엔지니어링)로 가짜 카카오톡(위조 클라이언트)을 만들어서 로그인을 하면 일반 이용자는 접근할 수 없는 곳에 저장된 유저아이디(숫자로 구성)를 추출할 수 있다.

개인정보 추출 솔루션은 이 유저아이디와 연결된 카카오톡 이용자의 프로필 정보를 캐낼 수 있는 보안 취약점을 2차로 이용, 실명·전화번호를 비롯한 개인정보를 얻는다.

카카오톡이 국민 대다수가 사용하는 메신저라는 점에서 조사 결과가 주목된다. 그동안 개발자그룹 등에서는 로코 프로토콜의 보안 취약점이 존재한다는 지적과 함께 개인정보 유출 가능성을 끊임없이 제기해 왔다.

박용규 한국인터넷진흥원(KISA) 침해사고분석단장은 “취약점을 이용한 해킹 가능성을 염두에 두고 조사에 착수했다”면서 “분석을 통해 취약점이 확인되면 다시 해킹을 재연해야 하기 때문에 전체 조사 과정이 복잡하다”라고 설명했다. 박 단장은 “전체 과정에서 실제로 개인정보 추출이 가능한 것이 확인되면 침해사건으로 전환된다”면서 “지금은 아무것도 단정하지 않은 상태에서 카카오와 조사 관련 협의를 하고 있다”고 말했다.

카카오 관계자는 “해당 업체의 행위(불법 솔루션 개발·판매)는 약관 및 법적으로 금지된 행위”라면서 “수사기관에 신고 및 법적 조치, KISA 신고 등을 진행할 예정”이라고 전했다. 이 관계자는 “관련 부처 조사가 이뤄진다면 성실히 협조, 이용자들이 안심할 수 있도록 노력하겠다”고 덧붙였다.