카카오톡 오픈채팅방 DB 해킹 또 카톡 보안 헛점
오픈채팅방 해킹 이슈가 있었어요. 우리가 생각하는 그런 큰 문제는 아니지만 찝찝해서 예전에 카카오톡 검열 사건 당시에 만들었던 오픈채팅방을 없애버렸습니다. 검열 장작이 꺼진 뒤 대화가 거의 없는 방이기도 했지만 이번 카톡 오픈방 해킹 뉴스가 나오고 난 뒤 굳이 허접한 이 카카오톡이라는 플랫폼에 방을 유지할 이유가 없겠다는 생각이 들었습니다.
역시 텔레그램이 최고네요. 개인적인 바램으로는 라인이 좀 더 빨리 커서 카카오톡을 위협할 수 있는 점유율을 가져야한다고 생각합니다. 강력한 경쟁자는 꼭 필요하다고 생각해요. 카카오맵 사건도 그렇고 참 매년 꾸준..
카톡 오픈방 DB(데이터베이스) 어떤 정보가 유출되나
‘카카오톡 오픈채팅방’의 가장 큰 장점은 ‘익명’입니다. 사람들이 카톡 오픈방을 사용하는 이유죠. 그런데 카톡 오픈채팅방 헛점을 발견한 사람들이 개인정보를 뽑아낼 수 있을 뿐 아니라 ‘판매’까지 하고 있다는 뉴스가 터지게 되었는데 보도 된 내용 요약하면 아래와 같습니다.
- 어떤 오픈채팅방이든 DB 모두 추출 가능하다.
- 오픈방에 참여한 사람들의 실명, 전화번호 추출이 가능하다.
- 가짜 계정(광고, 유령, 해외번호) 제외하고 활용 가치가 있는 한국 계정만 필터링해서 준다.
- 특정 오픈방 지목 후 테스트할 수 있고 샘플 확인 후 입금 가능하다.
- 단가는 뉴스에서 인당 2~3만원이라고 하는데 정확히 모르겠음. 다른 DB보다 훨씬 비싼건 사실이라고
- 이름, 성별, 연령대, 전화번호, 카카오톡 실제 아이디 등 엑셀 파일로 일목 요연하게 정리되어 판매된다.
카카오 측 입장
“오픈채팅방에 참여한 사람들의 전화번호, 이메일, 대화내용을 등을 확인하는 것은 불가능하며 오픈방 이외의 다른 수단을 활용했을 가능성이 있다.”
ㅇㅇ.. 그래
카톡 오픈채팅방 어떤 헛점을 이용했나?
카카오톡 메세지 전송 방식 ‘로코 프로토콜(LOCO Protocol)’의 취약점을 공략했다고 합니다. 이 프로토콜은 2011년 카톡이 도입하게 되었는데, 당시 카카오톡이 급성장을 이루며 메세지 전송량이 폭증하던 시기였고 그에 대응하기 위해 만들어진 프로토콜 입니다. Packet 사이즈를 경량화가 목적이었다고 합니다.
로코 프로토콜(Loco-Protocol)
TCP/IP를 바탕으로 작동하는 request and response 프로토콜로 소개된 로코 프로토콜은 지금은 어떤지 모르겠지만 만들어졌을 당시 초기에는 암호화 되지 않은 LocoPacket : non-secure 패킷과 암호화 된 LocoSecureNormalPacket으로 이루어져있었습니다.
지금은 중단되었지만 로코 프로토콜을 리버싱해서 만들어냈다고도 알려졌는데(저도 자세히는 모름), Loco 프로토콜로 이동되는 패킷을 분석해서 카카오톡에 존재하지 않았던 기능을 만들 수 있었던 Node.Js로 제작된 Node-Kakao가 꽤 유명한적이 있었습니다.
노드카카오로 인해서 뉴스도 나오게 된 사건이 ‘나는 원숭이다 해킹’사건 입니다. 보안 문제는 없었고 해프닝으로 끝났던 기억이 있습니다. 실제 문의도 많았고, 보도도 꽤 많이 되었었죠. 한 개인이 호기심으로 만들어낸 프로그램으로 이런게 가능했다면 이번 DB 해킹 사건이 일어난 것도 대단한 해커의 기술이 필요한게 아니었을지도 모르겠다는 생각이 듭니다.
실제 그동안 취약점이 다수 발견되었고, 뉴스 보도에 의하면 일부 개발자들이 리버스 엔지니어링(역설계)로 가짜 카카오톡 클라이언트를 만들어서 로그인하게 만든 뒤 개인정보 수집에 성공했다는 내용도 있습니다. 이게 이번 사건과 연관이 있는지는 모르겠습니다.
가짜 앱일까?
만약 페이크앱에 속았다 하더라도.. 대부분 초보분들일텐데 아이폰 유저는 가짜 앱 설치를 못 했을 것이고, 안드로이드 유저의 경우 APK파일을 따로 받아야 하는데 카톡을 플레이스토어에서 받지 설치 파일을 인터넷에서 따로 받진 않는단 말이죠. 그럼 윈도우 앱만 남았는데 카카오톡 홈페이지 검색해서 들어가 받습니다.
위조된 앱이라고 한다면 특정인들만 피해자가 되어야 하는데, 이번 DB해킹 업자들이 어떤 방이든 가능하다고 한 것을 보면 앱과는 관련이 없어 보입니다.
마무리
한국에서는 카카오톡을 버릴 수 없지만, 역시 텔레그램이 지금으로서는 안전하고 마음편해서 더더욱 애용해야겠다는 생각이 듭니다. 점유율과 주도권을 잡았다가 쇠퇴한 기업들은 부지기수 입니다.
VPN 업계도 마찬가지 입니다. 과거에 핫스팟쉴드, 젠메이트 같은 VPN이 상당히 유명했지만 지금은 삼류가 된지 오래되었습니다.
다운로드 상위권 무료 VPN에 대한 이야기를 보시면 앱들 역시 개인정보 장사로 얼룩진게 한두번이 아니죠. 카톡도 위기 의식을 가질 수 있는 경쟁자가 하루 빨리 나타나길 바랍니다.
루마니아, 폴란드 경찰에서 Cellebrite가 만든 도구를 1.500.000€에 구입한 정황이 있다고 합니다.
Cellebrite가 Telegram, Whatsapp 등을 포함한 많은 앱을 해독한다고 합니다. (Signal과 Viber는 예외)
https://balkaninsight.com/2023/01/19/new-powers-and-software-for-polish-police-alarm-experts/
https://signal.org/blog/cellebrite-vulnerabilities/
netxhack님께서 생각하시기에 가장 안전한 메신저는 어떤거라고 생각하십니까?
저는 개인적으로 시그널이 마음에 드는데 중요한건 메신저 특성상 대화할 대상이 없으면 말짱 도루묵이라는 것 입니다. 너무나 잘만든 텔레그램이 여전히 한국에서는 극소수만 사용하는 메신저인 것만 보더라도 ㅜㅜ….
Cellebrite는 스마트폰 잠금 해제 장치로 유명해지게 되었는데, 이번에 폴란드가 구매한 21억원짜기 도구가 무엇인지 몰라도, 실시간으로 트래픽 해독은 당연히 불가능할 것이고..(그게 가능한 외계인에게서 훔친 도구가 있다 해도 이렇게 저렴하진 않겠죠) 압수된 스마트폰 등에 있는 앱 해독을 위한 기기 + 소프트웨어 및 특정 기간 기술지원 이런걸로 150만 유로 지불한게 아닐까요? Cellebrite UFED 가격이 개당 6천달러 정도로 알려졌었는데요.. 단순히 기계만 20억원넘게 사진 않았을 것 같은데..; 저 같은 일개 시민이 구체적인건 알 수 없네요 ^^;
텔레그램도 비즈니스 지속하려면 알아서 잘 방어하지 않을까.. 생각해 봅니다. ㅎㅎ
그리고 루마니아, 폴란드 정도의 국가가 20억써서 대단한 것을 해낼 수 있다면 아마 미국, 중국부터 시작해서 수 많은 나라들은 이미 훨씬 무서운(?) 상태이지 않을까요 ㅎㅎ
저의 작은 결론은..
우리 같은 사람들은 걱정할 것 없다.. 정도 입니다. 그리고 시그널은 기술적으로 텔레그램보다 좋다고는 하지만 써먹을 곳이 없습니다. ㅜㅜ