예전에 카카오톡 검열 사건 당시에 만들었던 오픈채팅방을 없애버렸습니다. 검열 장작이 꺼진 뒤 대화가 거의 없는 방이기도 했지만 이번 카톡 오픈방 해킹 뉴스가 나오고 난 뒤 굳이 허접한 이 카카오톡이라는 플랫폼에 방을 유지할 이유가 없겠다는 생각이 들었습니다. 역시 텔레그램이 최고! 개인적인 바램으로는 라인이 좀 더 빨리 커서 카카오톡을 위협할 수 있는 점유율을 가져야한다고 생각합니다. 강력한 경쟁자는 꼭 필요하다고 생각해요. 카카오맵 사건도 그렇고 참 매년 꾸준..
카톡 오픈방 DB(데이터베이스) 어떤 정보가 유출되나
‘카카오톡 오픈채팅방’의 가장 큰 장점은 ‘익명’입니다. 사람들이 카톡 오픈방을 사용하는 이유죠. 그런데 카톡 오픈채팅방 헛점을 발견한 사람들이 개인정보를 뽑아낼 수 있을 뿐 아니라 ‘판매’까지 하고 있다는 뉴스가 터지게 되었는데 보도 된 내용 요약하면 아래와 같습니다.
- 어떤 오픈채팅방이든 DB 모두 추출 가능하다.
- 오픈방에 참여한 사람들의 실명, 전화번호 추출이 가능하다.
- 가짜 계정(광고, 유령, 해외번호) 제외하고 활용 가치가 있는 한국 계정만 필터링해서 준다.
- 특정 오픈방 지목 후 테스트할 수 있고 샘플 확인 후 입금 가능하다.
- 단가는 뉴스에서 인당 2~3만원이라고 하는데 정확히 모르겠음. 다른 DB보다 훨씬 비싼건 사실이라고
- 이름, 성별, 연령대, 전화번호, 카카오톡 실제 아이디 등 엑셀 파일로 일목 요연하게 정리되어 판매된다.
카카오 측 입장
“오픈채팅방에 참여한 사람들의 전화번호, 이메일, 대화내용을 등을 확인하는 것은 불가능하며 오픈방 이외의 다른 수단을 활용했을 가능성이 있다.”
ㅇㅇ.. 그래
카톡 오픈채팅방 어떤 헛점을 이용했나?
카카오톡 메세지 전송 방식 ‘로코 프로토콜(LOCO Protocol)’의 취약점을 공략했다고 합니다. 이 프로토콜은 2011년 카톡이 도입하게 되었는데, 당시 카카오톡이 급성장을 이루며 메세지 전송량이 폭증하던 시기였고 그에 대응하기 위해 만들어진 프로토콜 입니다. Packet 사이즈를 경량화가 목적이었다고 합니다.
로코 프로토콜(Loco-Protocol)
TCP/IP를 바탕으로 작동하는 request and response 프로토콜로 소개된 로코 프로토콜은 지금은 어떤지 모르겠지만 만들어졌을 당시 초기에는 암호화 되지 않은 LocoPacket : non-secure 패킷과 암호화 된 LocoSecureNormalPacket으로 이루어져있었습니다.
지금은 중단되었지만 로코 프로토콜을 리버싱해서 만들어냈다고도 알려졌는데(저도 자세히는 모름), Loco 프로토콜로 이동되는 패킷을 분석해서 카카오톡에 존재하지 않았던 기능을 만들 수 있었던 Node.Js로 제작된 Node-Kakao가 꽤 유명한적이 있었습니다.
노드카카오로 인해서 뉴스도 나오게 된 사건이 ‘나는 원숭이다 해킹’사건 입니다. 보안 문제는 없었고 해프닝으로 끝났던 기억이 있습니다. 실제 문의도 많았고, 보도도 꽤 많이 되었었죠. 한 개인이 호기심으로 만들어낸 프로그램으로 이런게 가능했다면 이번 DB 해킹 사건이 일어난 것도 대단한 해커의 기술이 필요한게 아니었을지도 모르겠다는 생각이 듭니다.
실제 그동안 취약점이 다수 발견되었고, 뉴스 보도에 의하면 일부 개발자들이 리버스 엔지니어링(역설계)로 가짜 카카오톡 클라이언트를 만들어서 로그인하게 만든 뒤 개인정보 수집에 성공했다는 내용도 있습니다. 이게 이번 사건과 연관이 있는지는 모르겠습니다.
가짜 앱일까?
만약 페이크앱에 속았다 하더라도.. 대부분 초보분들일텐데 아이폰 유저는 가짜 앱 설치를 못 했을 것이고, 안드로이드 유저의 경우 APK파일을 따로 받아야 하는데 카톡을 플레이스토어에서 받지 설치 파일을 인터넷에서 따로 받진 않는단 말이죠. 그럼 윈도우 앱만 남았는데 카카오톡 홈페이지 검색해서 들어가 받습니다.
위조된 앱이라고 한다면 특정인들만 피해자가 되어야 하는데, 이번 DB해킹 업자들이 어떤 방이든 가능하다고 한 것을 보면 앱과는 관련이 없어 보입니다.
마무리
한국에서는 카카오톡을 버릴 수 없지만, 역시 텔레그램이 지금으로서는 안전하고 마음편해서 더더욱 애용해야겠다는 생각이 듭니다. 점유율과 주도권을 잡았다가 쇠퇴한 기업들은 부지기수 입니다.
VPN 업계도 마찬가지 입니다. 과거에 핫스팟쉴드, 젠메이트 같은 VPN이 상당히 유명했지만 지금은 삼류가 된지 오래되었습니다. 다운로드 상위권 무료 VPN 앱들 역시 개인정보 장사로 얼룩진게 한두번이 아니죠. 카톡도 위기 의식을 가질 수 있는 경쟁자가 하루 빨리 나타나길 바랍니다.