카카오가 23일 한 일간지가 보도한 ‘카카오톡이 해킹에 무방비하다’는 기사에 대해 해명하고 나섰다. 공개테스트는 물론 법적대응도 불사하겠다는 입장이다.
이날 카카오는 “카카오톡은 아이폰뿐만 아니라 안드로이드폰에서도 SSL 암호화 방식을 적용해 안전하게 메시지를 전송하고 있다”며 “아이폰, 갤럭시S, 베가 등 국내 출시된 대부분의 스마트폰에서 스니핑이 불가능하다”고 강조했다.
아울러 “공개적인 보안 테스트에 응할 것은 물론 업계에서 가장 신뢰할 만한 업체에 보안컨설팅을 의뢰해(보안수준에 대해) 공개적으로 밝힐 의사가 있다”며 “현재 모 일간지와 쉬프트웍스를 상대로 법적 조치를 검토 중”이라고 덧붙였다.
해당 조사 결과는 국내 기술로 개발된 모바일 인터넷전화(m-VoIP)나 모바일 메신저 앱이 해킹에 취약하다는 것을 골자로 한다. 조사 항목은 크게 두 가지다. m-VoIP의 도청 여부와 스마트폰 메신저 스니핑(네트워크상에서 정보를 가로채는 해킹) 여부다.
m-VoIP는 스카이프, 바이버 등 해외 서비스는 도청 불가능했다. 반면 다음 마이피플, 올리브폰, 수다폰, 터치링 등 국내 서비스는 모두 양방향 도청 가능하다는 결과가 나왔다. 메신저 앱의 경우 해외 서비스 왓츠앱과 네이버톡은 스니핑이 불가능하다고 나왔으나 카카오톡은 아이폰은 불가능, 안드로이드폰 가능으로 나타났다.
카카오는 “카카오톡은 개발 초창기부터 보안에 많은 투자를 감행했다”라며 테스트 결과에 대해 조목조목 반박했다.
■카카오톡 “제대로 된 실험환경 아냐”
카카오가 지적한 것은 보안 테스트 환경이다. 실험 데이터를 입수해 분석한 결과 테스트에 사용된 폰의 모델이 국내에 출시되지 않은 개발용 모델(Android Dev Phine-1)이었고, 기기 고유번호(디바이스ID)가 없었다는 것.
카카오는 “실제 출시된 폰이 아닌 에뮬레이터 또는 조작된 환경에서 실험한 것으로 보여 실험담당자에게 연락을 취했으나 답변이 없었다”고 설명했다.
Android Dev Phine-1은 구글이 최초 안드로이드를 만들고 상용 버전으로 출시하기 전에 개발자들을 위한 내놓은 시제품이다. 개발자용 단말기는 일반 단말기와 달리 루트(root) 권한이 주어져있고 하드웨어까지 언락(unlock)돼있어 USB 설정 없이도 자동 인식되는 등 개발에 초점이 맞춰진 폰이다.
카카오는 “적절치 않은 실험환경의 데이터를 근거로 한 보도는 우리를 비롯한 수많은 개발자들의 열정에 찬물을 끼얹는 일”이라며 “법적 조치를 고려하는 이유는 밤을 새워 개발에 열중하는 많은 엔지니어들의 의지를 꺾는 일이 다시는 일어나지 않기를 바라는 마음에서”라고 말했다.
■다음도 발끈…“마이피플 메시지는 보안 문제없어”
m-VoIP 양방향 도청이 가능하다고 언급된 다음도 발끈한 것은 마찬가지다. 메시지 보안과 m-VoIP 보안은 사안이 다른 점을 실험하기 전 충분히 설명했지만, 해당 내용이 반영되지 않았다는 주장이다.
김지현 다음 모바일본부장은 “현재 마이피플의 메시지 보안은 문제없는 상태라고 자신 있게 말할 수 있다”며 “사실상 보안테스트는 테스트한 폰, 위치, 망, 앱의 버전 등 환경에 따라 얼마든지 결과가 달라질 수 있는 것”이라고 말했다.
아울러 “m-VoIP의 경우 서비스 특성상 보안의 한계가 있을 수 있다”고 인정하면서도 “이미 일주일쯤 전에 보안 업데이트를 진행했으며 현재 지속적으로 보안을 강화하는 상태”라고 덧붙였다.
■모바일보안업체 해명…“카카오톡 해킹, 일반인 불가능”
카카오톡 해킹 논란이 커지자 해당 실험을 진행한 보안업체가 해명하고 나섰다.
홍민표 쉬프트웍스 대표는 이날 기자와의 전화 통화에서 “마치 커피숍 등 어디서나 카카오톡 메시지를 볼 수 있는 식으로 이야기가 퍼져나가고 있는데, 이는 사실이 아니다”고 말했다.
관련기사
- 카카오톡, 영화 뉴스 맛집까지...소셜허브로2011.03.23
- [日대지진]카카오톡, 비상통신수단 ‘급부상’2011.03.23
- 카카오톡 개발자의 넘치는 자신감 이유는?2011.03.23
- 카카오톡, 100가지 기능 바뀐다…"mVoIP는?"2011.03.23
테스트를 진행한 쉬프트웍스는 해커들이 모여 설립한 보안 회사다. 그는 “카카오톡의 해킹은 매우 특수한 상황에서 고도의 기술을 가진 해커들이 시도했을 때 가능하다는 얘기”라며 “그런 식으로 해커들이 시도했을 때는 사실상 못 뚫는 서비스가 없다고 봐야하기 때문에 카카오톡만의 문제라고 볼 수는 없다”고 설명했다.
아울러 “당초 테스트의 목적은 보안이 취약한 것으로 알려진 모바일 인터넷전화(m-VoIP)의 보안수준을 점검하는 것이었다”고 덧붙였다.