카카오톡 친구의 전화번호를 이용해 ID를 알아내는 프로그램이 일부 해커 집단 사이에서 퍼지고 있는 것으로 확인됐다.
현재 카카오톡은 모바일·PC 버전에서 친구의 ID 정보를 제공하지 않는다. 모바일 버전에서는 친구 프로필에 전화번호까지만 표시하고, PC 버전에서는 모바일에서 뜨던 전화번호도 보여주지 않는다.
이에 보안 전문가는 하나의 ID를 카카오톡 외 여러 서비스에서 공통적으로 사용할 경우 개인정보 악용 피해를 당할 수 있다고 조언했다.
카카오는 이런 ID 알아내기가 보안 이슈로 커지지 않을 것으로 판단하지만, 만일의 사태를 대비해 조치를 취하겠다는 입장을 밝혔다.
해커 A씨는 지난 28일 자신의 블로그와 유튜브 채널에서 자신이 만든 카카오톡 ID 알아내기 프로그램을 소개했다. 유튜브에서는 프로그램 사용법을 영상으로 설명하고, 블로그에서는 프로그램을 배포하고 있다.
이 프로그램과 PC 카카오톡을 동시에 실행한 뒤 프로그램에 카카오톡 친구의 전화번호를 입력하면 ID나 이메일 주소, 현재 프로필 사진으로 연결되는 링크 주소, 카카오스토리 히스토리 링크 주소 등을 보여준다.
친구가 과거 프로필 사진을 지웠더라도 PC 메모리에 프로필 사진을 열어봤던 흔적이 남아있을 경우 링크 주소가 나오게 된다. 단, 친구가 ID를 만들지 않았거나 프로필 사진을 등록하지 않았다면 관련 정보는 나타나지 않는다.
ID를 통해 전화번호를 알아내는 것은 불가능했다.
A씨는 “카카오톡 PC 버전은 PC 메모리 안에서 완전하게 정보를 감추도록 하지 않고 있다"며 "나는 이점을 이용해서 간편하게 정보를 알아볼 수 있었다”고 설명했다.
이어 “카카오톡 ID를 알면 구글링이나 다른 정보를 알아내는 발판이 될 수 있다”며 “다만 ID로 전화번호를 알아내는 테스트를 했었을 때 해당 사례는 나오지 않았다”고 덧붙였다.
이동근 한국인터넷진흥원(KISA) 침해사고분석단장은 “악용할 수 있는 방법은 있다. 전화번호와 ID를 갖고 구글링 등을 통해 추가 정보를 수집하는 방법으로 사용될 수 있다”며 “이론적으로는 입력하는 정보가 많아질수록 구글링으로 찾을 수 있는 정보도 많아진다”고 설명했다.
카카오톡 측은 이 프로그램으로 인해 중대한 보안 이슈로 비화하진 않을 것으로 보이나 비정상적인 접근임을 인정, 이를 막기 위해 내부적으로 조치를 취할 계획이라고 밝혔다.
카카오 관계자는 “이미 대화할 수 있는 상대의 ID 값을 주는 것이므로 회사 내부에서는 보안 이슈로 보진 않는다”며 “ID로 할 수 있는 게 거의 없어서 보안 이슈로 보지 않는 것”이라고 말했다.
관련기사
- 카카오톡, 불법 정보 뿌리 뽑기 위해 이용제한 강화2019.01.31
- "카카오톡 #탭 검색시 ‘니니즈’ 이모티콘 드려요"2019.01.31
- 카카오, DB손해보험과 카카오톡 챗봇 개발 협력2019.01.31
- 카카오톡에서 증권·펀드 투자 가능해진다2019.01.31
이동근 단장에 따르면 카카오톡은 지난 2012년에도 주소록 백업 기능을 제공하면서 친구의 카카오톡 ID를 대량 노출시킨 적 있다.
당시에도 카카오는 이같은 접근이 불가능하도록 조치했다.