'익명 보장' 아니었어? 6만 5천 명 정보 털린 '오픈 카톡방'…누가 어떻게 가져갔나 [스프]

엄민재 기자 2024. 5. 16. 09:03
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
[뉴스스프링]


카카오톡 오픈채팅방. 말 그대로 오픈채팅을 하는 커뮤니티입니다. 취미나 친목을 위해 개설되는데, 다른 단체 채팅방과 다르게 네트워크상에서 검색이 가능하고 방장의 권한으로 비밀번호를 만들어서 운영하기도 합니다. 여러 사람이 동시에 소통을 할 수 있지만, 자신의 이름을 노출할 필요는 없어서 조금 더 편한 마음으로 소통을 할 수 있습니다.

그런데 지난해 초 익명으로 소통할 수 있는 오픈채팅방의 이용자 정보를 추출해 판매한다는 홍보 글이 나돌면서 논란이 시작됐습니다.
 

무슨 상황인데?


문제가 불거진 건 지난해 3월쯤입니다. 당시 오픈채팅방 이용자 정보를 판매한다는 글이 은밀하게 나돌았습니다. 홍보 글에는 "어떤 오픈방도 가능하다", "실명과 전화번호도 추출할 수 있다"는 내용이 들어가 있습니다. 유령계정도 다 거를 수 있다고 자세히 홍보했습니다. 오픈채팅방에는 특정 주제에 관심을 가진 사람들이 익명으로 모이기 때문에 데이터 가치는 높게 책정됐습니다. 한 명당 7천 원에서 많게는 2만 원까지 요구하는 경우도 있었습니다.
개인정보, 즉 전화번호가 유출되면 그 피해는 고스란히 오픈채팅방 이용자들 몫이 됩니다. 실제로 코인 관련 오픈채팅방 운영자를 만나보니 당시 모르는 문자로 주식 리딩방 홍보 문자를 받았다고 했습니다. 같은 번호로 다른 채팅방 이용자들에게도 홍보문자가 발송됐습니다. 같은 시간에 같은 번호로. 그리고 그렇게 유출된 번호는 아직도 쓰이는 것 같다고 말했습니다. 실제로 인터뷰 중에도 문자가 오는 걸 볼 수 있었습니다.
 
○○ 오픈채팅방 운영자

(주식) 리딩방 초대하는 문자가 오는 거예요. 처음에는 스팸 문자라고 생각하고 무시했었는데, 자세히 보니까 (문자에) 제 이름이 딱 거론돼 있는 거예요. 카카오톡 이름(닉네임)이…

(다른 이용자들도) '나도 왔다', '나도 왔다' 똑같은 번호로 동시에 탁 왔더라고요. 근데 신기했던 게 카카오톡 이름(닉네임)이랑 정확하게 매치가 돼서 스팸 문자가 오니까, 이건 개인정보에 문제가 있는 것 같다.

뭔가 이상함을 느껴서 인터넷에 검색을 해보니까 비슷한 사례가 많다고 하더라고요. 지금도 문자가 계속 와요.
 

좀 더 설명하면


개인정보보호위원회가 조사에 착수했고 그 결과 개인정보 판매업체를 통해 6만 5천 건 이상의 개인정보가 유출된 것으로 추정하고 있습니다. 자체 입수한 판매업체의 개인정보 파일과 오픈채팅방 이용자 정보를 대조해 696명이 일치한 걸 확인했는데, 외부에서 오픈채팅방에 침투해 오픈채팅방 ID를 조회한 건수를 감안하면 6만 5천 건 이상이 유출됐을 거라고 추정하는 겁니다.

개인정보를 추출하는 방법은 조금 복잡했습니다. 개인정보 판매업체는 먼저 오픈채팅방과 상관없이 무작위로 휴대전화 번호를 기입해 친구 추가를 했습니다. 매크로 기능을 통해 수백만, 수억 개의 전화번호를 만들어낼 수 있었을 텐데, 누구나 쓸 수 있는 친구 추가 기능을 활용해 일종의 데이터베이스를 만들었습니다.

정확하게 누군지는 모르지만, 친구 추가가 된다면 그 번호를 갖고 있는 카카오톡 사용자가 있을 것이고 이 휴대전화 번호와 카카오톡 회원일련번호를 확인해 같이 정리해 놓는 겁니다. 회원일련번호는 공개돼 있는 건 아니지만, 간단한 해킹 프로그램을 통하면 누구든 쉽게 확인할 수 있다는 게 전문가들 설명입니다.

이렇게 사전 데이터베이스를 충분히 만들어놓으면, 그다음에 특정 오픈채팅방에 들어갑니다. 오픈채팅방 안에선 개개인마다 회원일련번호가 아닌, 암호화된 오픈채팅방 ID를 확인할 수 있는데 여기서 암호화된 오픈채팅방 ID를 풀어서 회원일련번호를 뽑아내는 겁니다.

암호화된 오픈채팅방 ID에서 회원일련번호를 쉽게 뽑아낸 건 오픈채팅방 ID의 구조가 단순했기 때문에 가능했습니다. 카카오톡 회원일련번호에 버전값으로 불리는 단순한 숫자와 채팅방 링크 ID를 조합해 만든 방식이었던 겁니다. 암호화가 단순해 오픈채팅방 ID에서 회원일련번호를 비교적 쉽게 역산할 수 있었다는 게 전문가들 설명입니다.

사전 제작된 데이터베이스에서 정리된 회원일련번호, 그리고 오픈채팅방을 통해 뽑아낸 회원일련번호를 대조해 오픈채팅방에 참여하는 회원들의 카카오톡 닉네임과 전화번호를 확인하는 수법이었습니다.

보통 오픈채팅방에서는 수십 명에서 많게는 수백 명까지 사람들이 특정 주제에 대해 활발하게 대화를 하고 있으니, 사전에 업체가 만든 데이터베이스만 충분하다면 수십, 수백 명의 개인정보를 매칭해서 빼올 수 있었을 겁니다.
 

한 걸음 더


당초 카카오는 오픈채팅방을 통해 참여자의 전화번호 등 개인정보가 유출되는 건 불가능하다고 밝혔습니다. 그리고 여전히 오픈채팅방의 정보만으로 개인정보 유출은 불가능하다고 설명하고 있습니다. 이번에 문제가 된 건 오픈채팅방 ID의 암호화 과정이 단순해 회원일련번호가 노출됐다는 건데, 이 역시 카카오는 지난해 문제가 생기고 보안을 강화했다고 설명했습니다.
다만, 문제가 발생할 때까지 해당 내용을 인지하지 못하고 정보 보호 조치가 소홀했다는 건 변하지 않는 사실입니다.
 
이성엽 교수ㅣ고려대학교 기술법정책센터장
오픈채팅이라고 해서 쉽게 아이디나 회원 번호를 알 수 있도록 조치했다는 것은 어쨌든 개인정보에 대한 기술적, 관리적 조치가 미비했다고 봐야 되겠죠. 그리고 현재 개인정보보호법으로 보면 대기업은 조금 더 강화된 의무를 하도록 되어 있거든요. 카카오 같은 경우는 사실은 국민 기업이니까 대기업으로서 조금 더 강화된 보호 조치를 취했어야 되는 거 아니냐는 거죠.

(남은 이야기는 스프에서)

엄민재 기자 happymj@sbs.co.kr

Copyright © Copyright ⓒ SBS. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지

SBS에서 직접 확인하세요. 해당 언론사로 이동합니다.