[취재파일] 오픈 카톡방 개인정보 '6만 5천 명 이상' 유출…어떻게 털렸나

카카오톡 오픈채팅방. 말 그대로 오픈채팅을 하는 커뮤니티입니다. 취미나 친목을 위해 개설되는데, 다른 단체 채팅방과 다르게 네트워크 상에서 검색이 가능하고 방장의 권한으로 비밀번호를 만들어서 운영하기도 합니다. 여러 사람이 동시에 소통을 할 수 있지만, 자신의 이름을 노출할 필요는 없어서 조금 더 편한 마음으로 소통을 할 수 있습니다.

그런데 지난해 초 익명으로 소통할 수 있는 오픈 카톡방의 이용자 정보를 추출해 판매한다는 홍보 글이 나돌면서 논란이 시작됐습니다.

은밀히 나돈 '오픈채팅방 정보 추출' 홍보 글

문제가 불거진 건 지난해 3월쯤입니다. 당시 오픈채팅방 이용자 정보를 판매한다는 글이 은밀하게 나돌았습니다. 홍보 글에는 "어떤 오픈방도 가능하다", "실명과 전화번호도 추출할 수 있다"는 내용이 들어가 있습니다. 유령계정도 다 거를 수 있다고 자세히 홍보했습니다. 오픈채팅방에는 특정 주제에 관심을 가진 사람들이 익명으로 모이기 때문에 데이터 가치는 높게 책정됐습니다. 한 명당 7천 원에서 많게는 2만 원까지 요구하는 경우도 있었습니다.

개인정보, 즉 전화번호가 유출되면 그 피해는 고스란히 오픈 채팅방 이용자들 몫이 됩니다. 실제로 코인 관련 오픈채팅방 운영자를 만나보니 당시 모르는 문자로 주식 리딩방 홍보 문자를 받았다고 했습니다. 같은 번호로 다른 채팅방 이용자들에게도 홍보문자가 발송됐습니다. 같은 시간에 같은 번호로. 그리고 그렇게 유출된 번호는 아직도 쓰이는 것 같다고 말했습니다. 실제로 인터뷰 중에도 문자가 오는 걸 볼 수 있었습니다.

○○ 오픈채팅방 운영자
(주식) 리딩방 초대하는 문자가 오는 거예요. 처음에는 스팸 문자라고 생각하고 무시했었는데, 자세히 보니까 (문자에) 제 이름이 딱 거론돼 있는 거예요. 카카오톡 이름(닉네임)이….

(다른 이용자들도) '나도 왔다', '나도 왔다' 똑같은 번호로 동시에 탁 왔더라고요. 근데 신기했던 게 카카오톡 이름(닉네임)이랑 정확하게 매치가 돼서 스팸 문자가 오니까, 이건 개인정보에 문제가 있는 것 같다.

뭔가 이상함을 느껴서 인터넷에 검색을 해보니까 비슷한 사례가 많다고 하더라고요. 지금도 문자가 계속 와요.

6만 5천 명의 개인정보…어떻게 털렸나

개인정보보호위원회가 조사에 착수했고 그 결과 개인정보 판매업체를 통해 6만 5천 건 이상의 개인정보가 유출된 것으로 추정하고 있습니다. 자체 입수한 판매업체의 개인정보 파일과 오픈채팅방 이용자 정보를 대조해 696명이 일치한 걸 확인했는데, 외부에서 오픈 채팅방에 침투해 오픈채팅방 ID를 조회한 건수를 감안하면 6만 5천 건 이상이 유출 됐을 거라고 추정하는 겁니다.

개인정보를 추출하는 방법은 조금 복잡했습니다.

개인정보 판매업체는 먼저 오픈채팅방과 상관없이 무작위로 휴대전화 번호를 기입해 친구추가를 했습니다. 매크로 기능을 통해 수백만, 수억 개의 전화번호를 만들어낼 수 있었을 텐데, 누구나 쓸 수 있는 친구추가 기능을 활용해 일종의 데이터베이스를 만들었습니다. 정확하게 누군지는 모르지만, 친구 추가가 된다면 그 번호를 갖고 있는 카카오톡 사용자가 있을 것이고 확인한 휴대전화 번호와 카카오톡 회원일련번호를 확인해 같이 정리해 놓는 겁니다. 회원일련번호는 공개 돼 있는 건 아니지만, 간단한 해킹 프로그램을 통하면 누구든 쉽게 확인할 수 있다는 게 전문가들 설명입니다.

이렇게 사전 데이터베이스를 충분히 만들어놓으면, 그 뒤로 특정 오픈채팅방에 들어가는 겁니다. 오픈채팅방 안에선 개개인마다 회원일련번호가 아닌, 암호화된 오픈채팅방 ID를 확인할 수 있는데 여기서 암호화된 오픈채팅방 ID를 풀어서 회원일련번호를 뽑아내는 겁니다. 암호화된 오픈채팅방 ID에서 회원일련번호를 쉽게 뽑아낸 건 오픈채팅방 ID의 구조가 단순했기 때문에 가능했습니다. 카카오톡 회원일련번호에 버전값으로 불리는 단순한 숫자와 채팅방 링크 ID를 조합해 만든 방식이었던 겁니다. 암호화가 단순해 오픈채팅방 ID에서 회원일련번호를 비교적 쉽게 역산할 수 있었다는 게 전문가들 설명입니다.

사전 제작된 데이터베이스에서 정리된 회원일련번호, 그리고 오픈채팅방을 통해 뽑아낸 회원일련번호를 대조해 오픈채팅방에 참여하는 회원들의 카카오톡 닉네임과 전화번호를 확인하는 겁니다. 보통 오픈채팅방에는 수십 명에서 많게는 수백 명까지의 사람들이 특정 주제에 대해 활발하게 대화를 하고 있으니, 사전에 업체가 만든 데이터베이스만 충분하다면 수십, 수백 명의 개인정보를 매칭해서 빼올 수 있었을 겁니다.

"오픈방 통한 개인정보 유출 불가능"…그런데 왜?

당초 카카오는 오픈채팅방을 통해 참여자의 전화번호 등 개인정보가 유출되는 건 불가능하다고 밝혔습니다. 그리고 여전히 오픈채팅방의 정보만으로 개인정보 유출은 불가능하다고 설명하고 있습니다. 이번에 문제가 된 건 오픈채팅방 ID의 암호화 과정이 단순해 회원일련번호가 노출됐다는 건데, 이 역시 카카오는 지난해 문제가 생기고 보안을 강화했다고 설명했습니다.

다만, 문제가 발생할 때까지 해당 내용을 인지하지 못하고 정보 보호 조치가 소홀했다는 건 변하지 않는 사실입니다.

이성엽 교수 / 고려대학교 기술법정책센터장
오픈 채팅이라고 해서 쉽게 아이디나 회원 번호를 알 수 있도록 조치했다는 것은 어쨌든 개인정보에 대한 기술적, 관리적 조치가 미비했다고 봐야 되겠죠. 그리고 이제 우리 지금 현재 개인정보 보호법상으로 보면 대기업인 경우에는 조금 더 강화된 의무를 하도록 되어 있거든요. 카카오 같은 경우는 사실은 국민 기업이니까 대기업으로서 조금 더 강화된 보호 조치를 취했어야 되는 거 아니냐.

개인정보보호위원회는 보통 조사가 끝나면 해당 기업에 처분 관련 내용을 사전 통지하는데, 카카오에도 지난 2월에 개인정보보호법 제29조 안전조치의무를 지키지 않았다는 내용을 통지통지했습니다. 개인정보위는 무작위 전화번호 대입을 통한 친구 추가 기능과 회원일련번호를 쉽게 추출할 수 있게 오픈채팅방 ID를 구성한 점, 오픈채팅방 게시판 안에 작성자 검증 절차가 없었던 점 등이 개인정보보호법 위반 사항에 해당한다고 밝혔습니다.

사전 통지한 뒤에 업체로부터 답변을 받고 최종적으로는 개인정보위 전체회의를 열어 관련 내용을 어떻게 처분할지 결정하게 됩니다. 개인정보보호법 위반으로 최종 판정되면 관련 매출액의 3% 이내에서 과징금이 부과되게 됩니다. 개인정보보호위원회 실무진 차원에선 아직 구체적인 논의가 되진 않았지만, 해당 내용을 개인정보 유출 사고로 보고 있고 안전조치 의무를 지키지 않았다고 판단한 만큼, 다음 달 정도에 구체적인 논의를 통해 처분을 결정할 것 같습니다.

엄민재 기자 happymj@sbs.co.kr