“불법 솔루션으로 모든 정보 추출 가능해”
카카오, 어뷰징 보안 점검·업체 고발 조치
카카오톡 오픈채팅방 참여자들의 개인정보를 추출해 판매한다는 광고글이 온라인사이트에 게시되면서 논란이 되고 있다. 카카오는 시스템 어뷰징이 불가능하도록 관련 시스템을 점검하고 해당 광고를 게재한 업체를 고발하는 등 조치에 나섰다.
13일 IT업계에 따르면, 최근 카카오톡 오픈채팅방에서 참여자들의 실명과 전화번호를 추출해 판매한다는 광고글들이 온라인 사이트에 게재됐다. 현재 해당 불법 개인정보 거래 광고글은 삭제된 상태다.
해당 광고업체는 카카오톡 오픈채팅방에서 이용자 개인정보를 추출하는 솔루션을 개발해 DB를 추출하고 있다고 주장했다. 이들은 "어떤 오픈방이라도 실명, 전화번도 등 전부 DB 추출 가능하다"며 "광고계정, 유령계정, 해외번호는 모조리 거르고 드린다"며 광고글을 올린 후 개인정보 구매 의사를 밝히면 텔레그램으로 유인해 거래를 이어갔다.
이들은 건당 2~3만원의 가격을 제시한 후 데이터 추출 인증을 위해 불법 솔루션 시범서비스를 통해 추출한 오픈채팅방의 닉네임, 실명, 전화번호 등 개인정보를 무료 샘플로 제공하는 방식으로 데이터 추출을 인증한다. 이어 구매 희망자가 일부 금액을 선입금하면 나머지 개인정보들을 제공하는 방식으로 거래했다. 정식 거래단가는 통상 유통되는 불법DB의 수십배에 달하는 것으로 알려졌다.
텔레그램 대화에서 해당업체는 “이미 확보한 개인정보는 물론 구매자가 원하는 오픈카톡방 참여자 수백명의 개인정보도 추출이 가능하다”며 "추출한 개인정보는 이름, 전화번호, 성별, 연령대, 카톡 아이디로 나눠 엑셀 파일로 제공하겠다"고 말했다.
해킹 업체는 카카오톡 메시지 전송방식인 '로코 프로토콜'의 취약점을 이용한 방식으로 추정된다. 이에 대해 카카오는 이같은 방식으로 '유저아이디'를 추출해갈 수 있는 문제를 확인해 조치했다고 설명했다.
‘유저아이디’는 이용자를 식별하기 위해 오픈채팅방에 활용되는 일련번호로 실제 카카오톡 아이디와는 다르다. 업계 관계자들은 이번 개인정보 유출은 외부에서 취득한 개인정보와 유저아이디를 결합하는 방식으로 이뤄진 것으로 추정하고 있다.
이들은 카카오톡의 보안 취약점을 악용해 오픈채팅방 참여자의 아이디를 추출한 후 실제 카카오톡 계정의 개인정보를 빼내는 방식이라고 설명했지만 실제 오픈채팅방에서 개인정보를 추출한 것인지는 확실하지 않다.
개인정보를 미끼로 마케팅·광고업체에서 범죄 수익을 취하고 있을 가능성도 배제할 수 없다. 이에 대해 카카오는 "오픈채팅 상에서 참여자의 전화번호나 이메일, 대화 내용 등을 확인하는 것은 불가능하기 때문에 오픈채팅 외의 수단을 활용했을 가능성이 있다"며 “추후 검찰 수사를 통해 밝혀질 것”이라고 말했다.
이어 카카오는 해당 업체의 아이디를 차단하고, 어뷰징 행위에 대한 보안 조치를 완료했다고 밝혔다. 카카오 관계자는 "해당 어뷰징 행위를 인지한 직후 해당 채팅방과 어뷰저에 대한 조치를 진행했다"며 "해당 업체의 행위는 관련 법령, 약관 등에 따라 금지된 행위로 해당 업체에 대한 제재를 진행함과 동시에 수사기관 신고 등을 포함해 강경 대응할 계획"이라고 밝혔다.
개인정보위원회도 이번 사건에 대한 경위를 파악에 착수했다. 정식 조사에 앞서 어떤 유형의 공격이 이뤄졌는지, 실제 해킹 등으로 전화번호나 대화 내용과 같은 개인정보 유출 피해가 있었는지 등을 확인하고 있는 것으로 알려졌다.
