전자신문은 카카오톡 오픈채팅 이용자들의 실명·전화번호를 비롯한 개인정보가 고가에 거래되고 있는 것으로 나타났다고 보도했다.
전자신문은 카카오톡 특정 오픈채팅방에서 이용자 개인정보를 추출하는 불법 솔루션이 개발돼 암암리에 거래되는 것으로 확인됐다고 보도했다.
보도에 따르면 불법 솔루션 판매자와 접촉해 ‘테스트’를 요청하면 지목한 오픈채팅방에서 사용하는 닉네임, 실명, 전화번호가 포함된 리스트를 샘플로 제공한다. 정식 거래단가는 통상 유통되던 불법 DB의 수십배에 달한다.
전자신문은 해킹툴이 카카오톡 메시지 전송 방식인 ‘로코 프로토콜(LOCO Protocol)’의 보안 취약점을 공략한 것으로 분석된다고 보도했다.
로코 프로토콜은 지난 2011년 카카오톡이 메시지 전송량 급증에 대응하기 위해 진행한 ‘겁나 빠른 황소 프로젝트’ 결과물 중 하나다. 메시지 전송에 활용되는 패킷 사이즈를 경량화해 당시 기준 하루 6억건 메시지를 지연 없이 전송할 수 있게 만들었다.
이 프로토콜은 10년 넘게 사용되면서 보안 취약점이 다수 발견됐다. 일부 개발자들은 역설계(리버스 엔지니어링)로 가짜 카카오톡(위조 클라이언트)을 만들어 로그인한 후 일반 이용자는 접근할 수 없는 곳에 저장된 다양한 개인정보를 수집하는 데 성공했다.
전자신문은 카카오가 이용자 신상정보를 유출하는 열쇠로 추정되는 ‘유저아이디’를 오픈채팅방에서 더 이상 추출할 수 없도록 12일 조치를 취했다고 입장을 알려왔다고 보도했다. 신상이 유출된 오픈카톡방과 불법이용자에 대해서도 이를 특정하는데 성공했다고 설명했다.
카카오 관계자는 “해당 어뷰징 행위를 인지한 직후, 해당 채팅방 및 어뷰저에 대한 조치를 진행했다”며 “다만 오픈 채팅 상에서 참여자 전화번호나 이메일, 대화내용 등을 확인하는 것은 불가능한 사안으로, 오픈 채팅 외의 다른 수단이 함께 활용한 것으로 판단하고 있다”고 말했다.
