로코 프로토콜 보안취약점 공략
카카오 "어뷰징 행위 조치 완료"
[서울와이어 김익태 기자] 익명을 기반으로 이뤄지는 카카오톡 오픈채팅 이용자들의 실명과 전화번호 등의 개인정보가 고가에 거래되는 사실이 알려졌다.
13일 정보기술(IT)업계에 따르면 최근 온라인 마케팅 프로그램을 거래하는 사이트에는 카카오톡 오픈채팅방 이용 회원들의 데이터베이스(DB)를 추출할 수 있다는 홍보글이 올라왔다.
이 업체는 오픈채팅방 참여자의 실명, 전화번호, 오픈채팅방 내용 등을 추출할 수 있다고 밝혔다. 이들은 카카오톡 메시지 전송 방식인 ‘로코 프로토콜’의 보안 취약점을 공략한 것으로 알려졌다.
일부 개발자는 역설계(리버스 엔지니어링)를 통해 가짜 카카오톡(위조 클라이언트)을 만들어 로그인한 후 일반 이용자는 접근할 수 없는 곳에서 다양한 개인정보를 수집하기도 했다.
위조 클라이언트로 오픈채팅방에서 숫자로 표현된 개별 사용자의 아이디를 확보할 수 있고 이를 통해 이름과 전화번호 등을 추출할 수 있다는 것이다.
이에 카카오 측은 일부 사실을 인정했다. 신상이 유출된 오픈채팅방과 불법 업체를 확인해 조치했다는 입장이다. 하지만 카카오톡 보안 문제로 전화번호나 이메일, 대화 내용 등의 정보가 유출됐을 가능성은 낮다고 설명했다.
카카오 관계자는 “해당 어뷰징 행위를 인지한 직후 해당 채팅방 및 어뷰저에 대한 조치를 진행했다”며 “다만 오픈채팅 상에서 참여자의 전화번호나 이메일, 대화 내용 등을 확인하는 것은 불가능한 사안으로 오픈채팅 외의 수단을 활용한 것으로 판단하고 있다”고 말했다.
그는 이어 “해당 업체의 행위는 약관 및 법적으로 금지된 행위”라며 “해당 업체에 대한 제재를 진행함과 동시에 수사기관 신고 등을 포함해 강경 대응할 예정”이라고 덧붙였다.
- SM 인수전 '타결'… 카카오 경영권·하이브 플랫폼 협력 합의
- SM 인수전 과열 때문?… 카카오-하이브 전격 회동
- 카카오·하이브 쩐의 전쟁에 개미들만 신났다… 15만원도 돌파
- 대형은행들 성과급 잔치 벌이더니… 평균연봉 1억 넘었다
- 권영수 LG엔솔 부회장, '배터리 전쟁' 상대 중국 출장...세계 1위 공략
- 풀무원, 미국서 대체육 혁신제품 선봬… 미래 게임체인저?
- 미 정부, 금융시스템 파탄 불끄기...실리콘밸리은행 예금 전액 보장 선언
- SVB파산 금융위기 가능성은?...증권가 "새로운 악재..시장 불확실성↑"
- 원/달러 환율, 6원 내린 1319원선 출발 예상… 장중 약보합권 전망