카카오톡 오픈채팅방 해킹, 1인당 단가 7000원?

3월 14일 정보기술(IT)업계에 따르면, 지난 1월에 카카오 플랫폼 서비스 관련 개발자 커뮤니티인 '카카오 데브톡'에는 '카카오톡 오픈채팅방의 보안 허점과 개인정보 누출'이라는 제목으로 카카오톡 메시지 전송에 쓰이는 프로토콜을 악용하여 오픈채팅방 이용자의 카카오톡 ID, 이메일 주소, 전화번호 등을 추출 할 수 있다는 경고를 담은 글이 등록됐다고 합니다.

 

'카카오 데브톡'은 카카오톡, 카카오맵, 카카오페이 등 카카오 각종 서비스의 API(응용프로그램 인터페이스)와 SDK(소프트웨어 개발 도구) 등 정보를 나누는 커뮤니티입니다.

 

글을 등록한 개발자는, 해커로 추정되는 이들이 오픈채팅방에서 익명 이용자의 카카오톡 ID, 이메일주소, 전화번호 등을 뽑아내는 과정을 담은 스크린샷을 추가로 첨부했습니다.

 

보안업계에 따르면, 이 과정은 프로그램 구조를 이용해 이뤄지는데, 개발자가 API를 호출해 데이터 전송 단위인 패킷에 특정 문자열을 보내면 API가 데이터베이스(DB)에서 해당하는 정보를 찾아서 응답하도록 설계된 구조라고 합니다.

 

이번에 문제가 된 해킹 툴은 카카오톡의 '로코 프로토콜'의 보안 취약점을 활용했는데, '로코 프로토콜'은 12년째 카카오톡 메시지 전송에 쓰이는 규칙입니다. 2011년 카카오톡 메시지 전송량이 급증하자 카카오가 개발하여 도입한 기술로, 메시지 전송에 쓰이는 패킷 사이즈를 줄여 전송할 수 있게 한 것이 특징입니다.

 

'카카오 데브톡'을 통해 문제를 제기한 개발자는 "(카카오톡에) 위조 클라이언트로 로그인하는 악성 유저가 늘고 있고, 일부 채팅방에선 이를 이용해 해킹을 하는 수준까지 이르렀다"며, "(채팅방을) 나간 유저들의 프로필로 찾아가 다시 방에 초대하는 등의 행위도 보인다"고 말하고, "같은 프로토콜을 12년 넘게 사용하는 카카오의 문제라 생각한다"며, "이러한 문제는 시급히 개선되어야 한다"고 강조했습니다.

 

이 경고에 대해, '카카오 데브톡' 관리자는 "우리는 API, SDK를 안내한다"며, "번거롭겠지만 고객 센터에 제보하라"고 응대한 것으로 알려졌습니다.

 

해당 글은 현재 카카오의 조치로 비공개로 전환된 상태인데, 카카오 관계자는 "데브톡에 해당 글이 올라왔던 것은 사실"이고, "일부 내용은 오해가 있었고 이후 관련 조치를 했다"며, "글을 올린 개발자에게도 따로 연락을 취해 소통했다"고 말했습니다.

728x90

 

IT업계에 따르면, 이 개발자가 제기한 보안 문제는 하루이틀 얘기가 아니며, '카카오 데브톡'에 지난 1월 올라온 글만이 문제가 아니라고 합니다. 유튜브나 마케팅 정보 공유 웹사이트에는 최소 2년 전부터 카카오톡의 로코 프로토콜을 악용한 '로코봇'을 홍보하는 다수의 동영상과 글이 등록되어 있습니다.

 

일부 동영상에는 카카오톡 오픈채팅방의 익명 ID를 확보하여, "주식·코인방 등의 광고 영업에 로코봇을 쓸 사람은 연락하라"는 안내문과 함께 실제 프로필과 상태 메시지 등을 알아내는 과정이 담겨있습니다.

 

익명을 요구한 한 IT업계 관계자는 "주식, 해외선물, 코인, 도박 등 주제에 대한 오픈채팅방을 무작위로 홍보하는 이른바 '뿌튀업자'들이 상당 기간 로코 프로토콜의 취약점을 활용해왔다"며, "오픈채팅방의 개인정보까지 빼돌릴 수 있다면 카카오톡 플랫폼을 넘어 전화와 문자 등으로도 불법 도박 권유 등을 할 수 있을 것"이라고 말했습니다.

 

이에 대해, 카카오는 시스템 구조상 오픈채팅방을 통해 익명 이용자의 개인정보 조회까지는 할 수 없다는 입장으로, 카카오 관계자는 "오픈채팅방 회원 식별번호에 대해 일부 보안 취약점이 있기는 했다"며, "다만 이를 통해 알아낼 수 있는 것은 톡 유저 ID 뿐이고, 별도 DB에 저장하는 전화번호까지는 알 수 없는 구조"라고 말했습니다.

 

하지만 보안업계의 시각은 전혀 다른데, 카카오톡 ID와 전화번호가 서로 다른 DB에 저장되어 있어도 해커가 한 번에 빼갈 수 있다고 말합니다.

 

한 보안업체 최고기술책임자(CTO)는 "기업은 DB를 통상 나눠 운영하고 API는 명령어에 따라 분산된 각 DB에서 원하는 데이터를 취합해 이용자에게 갖다주는 역할을 한다"며, "해커가 API 취약점을 악용했다면 DB 분산 여부는 정보 유출 가능성 차단에 아무런 의미가 없다"고 잘라 말했습니다.

 

정부도 이를 의식하여, 카카오 오픈채팅방의 개인정보 유출 가능성에 대하여 조사에 착수했습니다. 과학기술정보통신부와 한국인터넷진흥원(KISA)가 카카오톡 오픈채팅방의 보안 취약점과 불법행위 여부 등을 따져볼 예정인데, 과학기술정보통신부와 한국인터넷진흥원(KISA)가 외부 전문가를 포함한 취약점 조사단을 꾸리고 카카오와 공동 조사를 협의하고 있다고 밝혔습니다.

 

개인정보보호위원회도 이날 카카오톡 오픈채팅방의 개인정보 유출과 관련 조사에 착수했다고 밝혔습니다.

 

카카오 관계자는 "현재까지 오픈채팅방에 대한 개인정보 유출 피해 사례는 접수된 바가 없다"며, "정부 조사에 적극 협조해 실제 정보 침해 행위가 일어났는지 확인할 것"이라고 말했습니다. 카카오에 따르면, 작년 말 기준으로 카카오톡의 국내 월간활성이용자(MAU)는 4777만9000명에 달하며, 해외를 포함한 글로벌 이용자는 5348만명이 넘습니다.

 

한편, '전자신문(etnews)'이 대규모 개인정보 유출이 발생한 지난 3월 8일 유출 피해 제보자 협조를 통해 실제 해커가 이용자 개인정보를 추출하는 과정을 함께 관찰했는데, 텔레그램을 통해 해커에게 메시지를 보내자 해커는 제보자에게 "어떤 채널로 광고를 보았는지", "어떤 업종에 종사하고 있는지", "혹시 주식리딩방 등을 운영하고 있는지, 있다면 해당 오픈채팅방을 인증하라"고 요청하며, 단가는 개인정보 추출 인원 1명에 7000원이 매겨졌고, 5000명 이상 추출할 경우 1인당 5000원으로 할인해 주기로 했으며, "이용가치가 매우 높은 데이터이기 때문에 돈이 아깝지 않을 것"이라는 설명도 덧붙였다고 합니다.

 

해커가 실제 개인정보 추출 가능 여부를 확인시켜 주겠다며 참여한 오픈채팅방의 링크를 요구하여, 기자와 제보자가 입장해 있는 오픈채팅방 가운데 무작위로 택해서 방의 링크주소를 전달하고, 해당 채팅방에서 기자가 사용하는 닉네임을 포함하여 10개 대상을 지목했는데, 해당 오픈채팅방에 입장한 해커는 두 시간이 지나자 해당 닉네임과 연결된 전화번호와 실명, 숫자로 구성된 유저ID가 포함된 엑셀표를 캡처해서 전달되었고, 사전 정보 없이 오픈채팅방과 그 방에서 사용하는 닉네임만으로 이용자의 개인정보를 정확하게 추출해 냈다고 합니다.