카카오, 오픈채팅 개인정보 유출 정황에 "수사기관 신고"

개인정보 빼돌려 판매한다는 업체 주장 반박

취약점 의심된 메시지 전송 방식 "수년 전 보완"

경기 분당에 위치한 카카오 판교아지트 사옥 입구. [사진=연합뉴스]

카카오가 카카오톡 오픈채팅 이용자 개인정보가 유출된 정황과 관련해 수사기관에 신고했다고 13일 밝혔다. 개인정보 유출 통로로 의심되는 카카오톡의 취약점을 이미 수년 전 보완해 기술적으로는 더 조치할 게 없다는 입장이다. 다만 내부 조사를 통해 신규 어뷰징 방식으로 인한 개인정보 유출 건이라고 판단, 별도 보안 조치를 완료했다.

오픈채팅은 익명성을 보장한 대화를 장점으로 내세운 모바일 메신저 서비스다. 오픈채팅방에는 최소 10명부터 최대 1500명까지 참여 가능하다. 주로 정보·취미 공유 등 용도로 쓰이고 있으며 공익 제보나 내부 고발, 사적인 고민 상담이 이뤄지기도 한다.

전날 전자신문은 국내 한 업체가 카카오톡 메시지 전송 방식인 '로코 프로토콜'의 보안 취약점을 이용해 오픈채팅방에서 이용자 이름·연락처·이메일 주소 등 개인정보를 추출하는 해킹 툴을 개발했고 이 개인정보를 고가에 거래하고 있다고 보도했다. 정보를 사들인 주식리딩방 등 업체들이 불법적인 홍보 활동을 하고 있다고 짚었다.

문제의 개인정보 판매 업체는 개발자가 가짜 카카오톡 프로필을 만들어 오픈채팅방에 입장한 후 이용자들의 전화번호, 실명, 이메일 등 개인정보를 얻어냈다고 주장하고 있다.

카카오 측은 개인정보를 판매하는 업체의 주장에 대해 사실이 아니라고 반박했다.

카카오 관계자는 "로코 프로토콜 어뷰징 방식은 수년 전 자체적으로 인지해 현재 기술적 조치가 완료된 상황"이라며 "이용자 아이디를 추출해도 (업체가 주장한) 전화번호·이메일 주소·대화 내용 유출은 불가능한 상황이다. 해당 업체의 행위는 실제로는 오픈채팅이 아니라 다른 수단을 악용한 행위일 것"이라고 설명했다.

과거 로코 프로토콜에 오픈채팅방 이용자 아이디가 추출될 수 있는 보안 취약점이 있었으나, 이 문제를 자체적으로 인지하고 보완하는 조치를 이미 수년 전 완료했다는 것이다. 또한 해당 취약점을 악용했더라도 카카오톡 이용자의 아이디를 제외한 개인정보를 추가로 얻어낼 수는 없다는 게 카카오의 입장이다.

카카오는 신규 어뷰징 방식을 통해 이용자 아이디 추출이 이뤄졌다고 분석했다. 기존 보도에서 언급된 로코 프로토콜과는 관련이 없다는 주장이다. 이번 어뷰징 방식에 대한 보안 조치도 진행했다.

이 관계자는 "수사기관 신고와 법적 조치, 한국인터넷진흥원(KISA) 신고 등을 진행할 예정"이라며 "(관련 부처 조사가 이뤄진다면 성실히 협조해) 이용자들이 안심하실 수 있도록 노력하겠다"고 말했다.