기사 이해를 돕기 위한 자료 사진 / 사진 = 인사이트

샘플 요청하면 지목한 오픈채팅방 이용자들의 실명·전화번호 등을 추출...고가에 거래되고 있어

[인사이트] 정봉준 기자 = 카카오톡 오픈채팅방 이용자들의 실명·전화번호 등이 고가에 거래되고 있다는 사실이 알려져 이용자들이 두려움에 떨고 있다.

12일 전자신문은 특정 사용자가 카카오톡 오픈채팅방에서 불법 프로그램을 이용해 오픈채팅방 이용자들의 개인정보를 암암리에 거래하고 있다는 사실을 보도했다.

보도에 따르면, 불법 프로그램 판매자는 테스트를 요청할 경우 이용자가 지목한 오픈채팅방의 닉네임·전화번호·실명 등을 샘플로 제공한다. 거래단가는 정식 유통되던 불법DB의 수십 배에 달한다. 유출된 실명과 전화번호는 실제 사용자와 정확히 일치했다.

기사 이해를 돕기 위한 자료 사진 / gettyimagesBank

불법으로 이용자들의 개인정보를 판매하는 이들은 카카오톡 메시지 전송 방식인 '로코 프로토콜(LOCO Protocol)'의 보안 취약점을 공략한 것으로 전해졌다.

로코 프로토콜은 2011년 카카오톡이 메시지 전송량 급증에 대응하기 위해 진행한 '겁나 빠른 황소 프로젝트' 결과물 중 하나다. 카카오톡 측은 메시지 전송에 활용되는 패킷 사이즈를 경량화했고, 덕분에 하루 6억 건 메시지를 지연 없이 전송할 수 있게 만들었다.

그러나 해당 프로토콜은 10년 넘게 사용되면서 보안 취약점이 다수 발견됐다. 

기사 이해를 돕기 위한 자료 사진 / 사진 = 인사이트

주식 리딩방처럼 한 분야에 관심 많은 이용자는 불법 업체들의 먹잇감

일부 개발자는 역설계(리버스 엔지니어링)를 통해 가짜 카카오톡(위조 클라이언트)을 만들어 로그인한 후 일반 이용자는 접근할 수 없는 곳에서 다양한 개인정보를 수집하기도 했다. 

위조 클라이언트를 이용하게 되면, 특정 오픈채팅방에서 숫자로 구성된 유저아이디를 추출할 수 있다. 

심각한 범죄 사건이 발생할 수 있고, 특정 개인의 신상이 유출돼 예측하기 힘든 피해가 일어날 수 있기에 우려의 목소리가 나오기 충분해 보인다. 

카카오 관계자는 매체에 "오픈 채팅 상에서 참여자 전화번호나 이메일, 대화내용 등을 확인하는 것은 불가능한 사안으로, 오픈 채팅 외의 다른 수단이 함께 활용한 것으로 판단하고 있다"라고 밝혔다.