카카오·라인야후, 어떻게 해커에 뚫렸나… “오픈채팅방 ID 구조 단순”vs“몰래 심은 악성코드로 시스템 침투”

조선비즈
|
2024.05.27 오전 06:18
|

카카오·라인야후, 어떻게 해커에 뚫렸나… “오픈채팅방 ID 구조 단순”vs“몰래 심은 악성코드로 시스템 침투”

그래픽=정서희
그래픽=정서희

“주식 리딩방 초대하는 문자가 왔다. 평범한 스팸 문자라고 생각하고 무시했었는데, 자세히 보니까 문자에 내 카카오톡 ID가 들어있었다.”(35세 공무원 김모씨)

“정보 교류 차원에서 금융, 부동산 등 5개 오픈채팅방에 들어가 있다. 최근 오픈채팅방에서 모르는 사람한테서 메시지가 왔는데 내가 사는 동네를 알고 있어 깜짝 놀랐다.”(29세 회사원 최모씨)

‘카카오톡’에서 지난해 3월 최소 6만5000여명의 개인정보가 유출된 것을 두고 최근 개인정보보호위원회가 역대 최대인 151억원의 과징금을 카카오에 부과했다. 카카오는 오픈채팅방 참여자의 임시 아이디(ID)를 암호화하지 않아 생겨난 회원일련번호는 개인정보가 아니라고 주장하고 있다. 하지만 IT업계는 오픈채팅방 ID의 구조가 단순해 발생한 문제라고 지적한다.

라인야후는 지난해 11월 모바일 메신저 ‘라인’ 앱 이용자의 연령·성별·구매 이력, 거래처 종업원 성명과 이메일 주소 등 개인정보 44만건이 유출됐다(추가 조사 이후 51만건)고 밝혔다. 라인야후의 서버는 일본에 있지만, 해커가 이 서버를 관리하는 네이버클라우드를 해킹해 라인의 고객정보에 접근한 것이다.

카카오와 라인야후의 개인정보 관리는 뭐가 문제였으며, 왜 정보가 유출됐는지 비교 분석해본다.

서울 시내의 한 카카오프렌즈 매장./연합뉴스
서울 시내의 한 카카오프렌즈 매장./연합뉴스

◇ 오픈채팅방 ID, 회원일련번호와 조합하면 개인정보 파악 가능

개인정보위는 지난 22일 카카오에 대해 안전조치의무 위반 명목으로 과징금 151억4196만원, 안전조치의무와 유출 신고·통지의무 위반을 이유로 과태료 780만원을 결정했다. 역대 최대였던 골프존 과징금(약 75억원)의 2배가 넘는 액수다.

서정아 개인정보위 대변인은 “현재 카카오의 API(응용프로그램 인터스페이스)는 공개돼 있어 개발자들이 자유롭게 열람할 수 있는 상태”라면서 “카카오 측에서도 해커들이 오픈채팅방 회원일련번호를 통해 개인정보를 추출한 건 인정했다. 하지만 (카카오는) 회원일련번호 자체가 곧 개인정보는 아니라고 주장하고 있다”라고 말했다.

전문가들은 오픈채팅방 ID의 구조 문제를 지적한다. IT업계 한 개발자는 “개인정보를 추출하는 방법은 복잡하지만 어려운 일은 아니다”면서 “무작위로 수억 개의 전화번호를 만들고, ‘친구추가’를 통해 카카오톡 회원일련번호를 매치시켜 데이터베이스(DB)화 한다. 이후 오픈채팅방에 들어가 단순 암호화된 오픈채팅방 ID를 풀어서 회원일련번호를 조합하면 쉽게 역산 가능하다”고 설명했다. 즉 회원일련번호 자체는 신상 정보가 아니지만, 간단한 해킹 프로그램을 이용하면 쉽게 개인정보로 연결시킬 수 있다는 의미다.

카카오 측은 해커가 수집한 정보는 누구나 열람할 수 있어 보안 차원의 문제는 아니라는 입장이다. 카카오는 “난수화돼 있는 번호로 일반 프로필을 매칭시키기는 어려운데, 해커가 그만큼 고도의 기술을 가지고 있었던 것으로 보인다”면서 “골프존은 DB를 그냥 통째로 털렸는데도 75억원의 과징금을 맞았다. 다소 억울한 상황”이라고 설명했다.

이성엽 고려대 기술법정책센터장은 “오픈채팅이라고 해서 쉽게 아이디나 회원번호를 알 수 있도록 조치했다는 것은 어쨌든 개인정보에 대한 기술적, 관리적 조치가 미비했다고 봐야 한다”면서 “카카오 같은 경우는 사실 국민 기업이자 대기업이니 좀 더 강화된 보호 조치를 취했어야 하지 않았나라는 아쉬움이 있다”고 했다.

경기 성남시 분당구 라인플러스 본사./뉴스1
경기 성남시 분당구 라인플러스 본사./뉴스1

◇ 몰래 심은 악성코드가 네이버클라우드 서버 타고 라인 시스템 접근

반면 라인야후의 개인정보 유출은 카카오와는 다른 부분이 있다. 네이버클라우드 협력사 PC에 몰래 심어져 있던 악성코드가 네이버클라우드 서버를 타고 라인 시스템에 접근하면서 보안이 뚫린 것이다.

이근우 법무법인 화우 변호사는 “오랫동안 스파이처럼 몰래 회사 시스템 안에 침투해있다가 약한 연결고리를 찾아 정보를 뽑아내는 APT(지능형 위협) 공격은 미리 보안 조치를 취하지 못했다는 부분에서 회사의 책임이 아예 없다고는 할 수는 없다”며 “처음부터 발견하기는 어렵지만, ‘사회 통념상’ 취해야 하는 조치를 다하지 못했다는 부분에선 아쉬운 점이 있다”고 했다.

일본 진출 기업을 대리하는 한 변호사는 “일본 내에선 (라인야후 사태가) 시스템 접근성 관리가 너무 허술해서 일어난 것이라고 본다”면서 “일본 정서상 개인정보 관리에 대해 굉장히 민감해하는데, 일본에서 사업을 한다면서 이를 대비하지 못했다는 건 말이 안된다. 기술적으로 보안에 더 투자를 하고 신경을 써야 했다”고 지적했다.

라인야후의 개인정보 관리 문제는 과거에도 도마에 오른 적이 있다. Z홀딩스(야후재팬 운영사)와 라인의 경영 통합 직후였던 2021년 3월 중국 업무 위탁처 직원이 일본 서버 내에 있는 이용자의 이름이나 연락처 등을 열람할 수 있다는 사실이 발각된 바 있다.

이 기사에 대해 어떻게 생각하시나요?
+1
0
+1
0
+1
0
+1
0
+1
0

Leave a Comment

랭킹 뉴스

실시간 급상승 뉴스 베스트 클릭