지난해 10월 카톡대란으로 큰 사회적 혼란을 야기했던 카카오톡이 이번에는 메신저 보안 시스템이 뚫리며 다시 한 번 논란의 중심이 됐다. 익명으로 진행되는 카카오톡 오픈채팅 이용자들의 실명·전화번호 등 개인정보는 물론 대회내역까지 인터넷에서 고가에 거래되고 있는 것으로 드러났다.

유출된 개인정보를 기반으로 역추적해 오픈채팅 이용자들의 이용 내역까지도 확인할 수 있다. 공익제보, 고발, 은밀한 고민상담 등 익명성을 바탕으로 운영됐던 오픈채팅 이용자들의 모든 대화내역이 유출 될 수 있다는 의미이다. 대화내역에서 민감 정보나 더 중요한 개인정보가 유출됐을 경우 협박범죄와 스토킹, 금융 범죄로도 악용될 가능성이 있다.

12일 한 언론사의 보도에 따르면 카카오톡 특정 오픈채팅 방에서 이용자들의 개인정보를 추출하는 불법 솔루션이 개발돼 암암리에 고가의 가격을 통해 거래되고 있는 것으로 확인 됐다. 불법 솔루션 판매자에게 ‘테스트’를 요청하면 지목한 오픈채팅방에서 사용하는 닉네임, 실제 이름, 전화번호가 포함된 리스트를 샘플로 제공받을 수 있다. 정식 거래단가는 통상적으로 유통되던 불법 DB의 수십배에 달한다.

해당 언론사가 해당 리스트의 정보 정확성을 체크한 결과 현재까지는 유출된 실명과 전화번호 등 실제 사용자가 맞는 것으로 드러났다.

해킹툴은 카카오톡 메시지 전송 방식인 '로코 프로토콜(LOCO Protocol)'의 보안 취약점을 공략한 것으로 분석된다. 로코 프로토콜은 지난 2011년 카카오톡이 메시지 전송량 급증에 대응하기 위해 진행한 '겁나 빠른 황소 프로젝트' 결과물 중 하나다. 메시지 전송에 활용되는 패킷 사이즈를 경량화해 당시 기준 하루 6억건 메시지를 지연 없이 전송할 수 있게 만들었다.

이 프로토콜은 10년 넘게 사용되면서 보안 취약점이 다수 발견됐다. 일부 개발자들은 역설계(리버스 엔지니어링)로 가짜 카카오톡(위조 클라이언트)을 만들어 로그인한 후 일반 이용자는 접근할 수 없는 곳에 저장된 다양한 개인정보를 수집하는 데 성공했다.

위조 클라이언트를 이용해 특정 오픈채팅방에 접속하면 숫자로 구성된 유저아이디를 추출할 수 있다. 최근 이 유저아이디와 연결된 카카오톡 이용자의 프로필 정보를 캐낼 수 있는 보안 취약점이 발견됐다. 이용자가 카카오톡에 등록한 이름, 전화번호, 이메일도 이와 같은 경로로 유출됐다.

실제로 현재 주식리딩방 업체들이 이런 방식으로 유출된 DB를 사들여 사기 마케팅에 활용하고 있어 실제 피해사례가 발생한 것으로 확인됐다. 오픈채팅방 가입자는 특정 분야에 관심이 높아 리딩방 사기 대상으로 노출될 우려가 높다.

개인정보가 유출된 이용자들은 실명을 언급한 피싱 전화를 받거나 수십통 스팸 문자에 시달리고 있다. 법인 휴대폰 번호가 유출돼 심각한 피해를 입었다거나 반복되는 스팸 전화에 수십년간 써온 전화번호를 버리겠다는 피해자도 나왔다.

카카오는 이용자 신상정보를 유출하는 열쇠로 추정되는 '유저아이디'를 오픈채팅방에서 더 이상 추출할 수 없도록 12일 조치를 취했다고 입장을 알려왔다. 신상이 유출된 오픈카톡방과 불법이용자에 대해서도 이를 특정하는데 성공했다고 설명했다.

카카오 관계자는 “해당 어뷰징 행위를 인지한 직후, 해당 채팅방 및 어뷰저에 대한 조치를 진행했다"며 "다만 오픈 채팅 상에서 참여자 전화번호나 이메일, 대화내용 등을 확인하는 것은 불가능한 사안으로, 오픈 채팅 외의 다른 수단이 함께 활용한 것으로 판단하고 있다”고 말했다.