와이파이 서버에 ID·비밀번호 고스란히 노출…카카오는 “우리 소관 아니다” 반박

▎페이스북의 개인정보 유출 사태로 소셜 로그인 기능의 부작용이 드러나는 한편 정보보안의 중요성이 다시 부각되고 있다. 국내 대부분 포털·애플리케이션은 개인정보를 암호화하고 있지만 카카오는 안일하게 대응하고 있는 실정이다.

세계 최대 사회관계망서비스(SNS)인 페이스북이 세계적으로 파문을 일으켰다. ‘소셜 로그인’ 기능을 통해 다른 사이트·애플리케이션(앱)에 제공된 5000만여개의 회원 정보가 영국 데이터 분석회사로 유출된 것이다. 페이스북은 정치권은 물론 같은 정보기술(IT) 기업으로부터도 비난을 받고 있다. 소셜 로그인은 번거로운 회원 가입 절차 없이 포털·SNS에 가입한 아이디(ID)로 다른 웹사이트와 앱에 접속하는 기능이다. ‘싱글사인온(Single Sign ON, SSO)’이라고 불리는 이런 로그인 방식은 손 쉽게 웹 서비스를 이용할 수 있다는 장점 때문에 최근에는 대부분의 사이트가 제공하고 있다. 국내에서도 네이버와 카카오톡 등 주요 포털·앱이 이 기능을 사용하고 있다. 그런데 1억 명 이상 다운로드 받은 국내 최대 모바일 채팅 앱인 카카오톡이 소셜 로그인 방식에 보안상 치명적인 약점을 지닌 것으로 나타났다. 와이파이(무선인터넷)를 사용해 카카오톡 계정으로 소셜 로그인할 경우 사용자의 ID와 비밀번호가 와이파이망의 프록시(네트워크 중계) 서버에 고스란히 노출되고 있는 것이다. 와이파이 서버 관리자라면 사람들이 와이파이망을 사용해 카카오톡으로 소셜 로그인을 할 때 손쉽게 개인 정보를 가로 챌 수 있다.

구조는 이렇다. 한 커피숍 고객이 자신의 노트북을 커피숍 와이파이망에 연결해 ‘카카오톡 계정으로 접속하기’를 시도한다. 이 때 카카오톡 계정의 개인정보는 와이파이망을 타고 프록시 서버를 거쳐 카카오 본사의 서버로 전송된다. 카카오는 로그인 고객이 입력한 개인정보 데이터를 수신해 타사에 전송해 로그인을 승인한다. 와이파이망은 인터넷을 연결해줄 뿐만 아니라 데이터를 보내는 중계기 역할을 한다.

암호화하지 않은 평문으로 전송

문제는 고객이 입력한 ID와 비밀번호 등의 개인정보를 와이파이 관리자가 쉽게 가로챌 수 있다는 점이다. 인터넷 데이터를 읽을 수 있는 ‘버프스위트(Burp Suite)’ 등의 간단한 프로그램만으로 고스란히 드러난다. 버프스위트는 특정 사이트나 앱의 기능·보안 문제를 발견하는 프로그램이다. 인터넷 포털에서 검색해서 무료로 내려받을 수 있을 정도로 흔한 프로그램이다. 와이파이망의 서버 관리자라면 이런 프로그램을 사용해 망내 사용자의 통신정보를 실시간으로 취득할 수 있다. 무료 와이파이존에서 카카오톡 계정으로 소셜 로그인을 했다가는 ID는 물론 비밀번호까지 노출되기 십상이다. 소프트웨어 개발사인 하이브센터의 장동석 이사는 “물(데이터)이 흐르는 수도관(통신망)을 열어 잠시 물을 막고 물이 수돗물인지 하수도인지 내용물을 확인하는 것과 같은 이치”라며 “기본적으로 와이파이망은 개인이 관리가 가능해 보안상 취약한 점이 있다”고 설명했다.

손쉽게 통신정보를 확인할 수 있어 보안상 취약하다는 점에서 대부분 인터넷 포털·앱은 사용자의 로그인 데이터를 암호화해 전송한다. 당연한 얘기지만, 개인정보 유출을 막기 위해서다. 사용자가 보내는 ID와 비밀번호를 식별이 불가능한 문자로 전환해 자기 서버로 받는다. ID ‘ABC@korea.go.kr’, 비밀번호 ‘1234’인 사용자가 로그인한 정보를 데이터로 송신할 때는 ID ‘%3hik_23’ 비밀번호 ‘$jh&ad’라는 식으로 식별할 수 없도록 바꾼다. 와이파이 서버 관리자라가 데이터를 가로챘더라도 내용물을 수돗물인지 하수도인지 확인할 수 없다. 네이버·티몬 등 대부분 사이트에서 보안 강화를 위해 이처럼 암호문 형태로 데이터를 전송한다. 물론 네이버·티몬의 서버 관리자가 데이터를 받을 때도 암호화돼 들어오기 때문에 고객의 ID·비밀번호를 식별할 수 없다.

그런데 유독 카카오는 카카오톡 계정으로 로그인할 때 이 데이터를 암호화시키지 않은 평문으로 전송한다. 실제 버프스위트로 카카오톡 계정 소셜 로그인을 한 데이터를 확인하면 사용자의 아이디와 비밀번호가 그대로 노출된다. 예컨대 기업의 서버 관리자라면 얼마든지 직원들이 카카오톡 계정으로 로그인할 때를 노려 임직원들의 ID와 비밀번호를 수집할 수 있다. 공공 와이파이망 역시 서버 관리자가 손쉽게 시민들의 개인정보를 얻을 수 있다. 학교·커피숍 어디든 마찬가지다. 카카오톡 계정 소셜 로그인을 활용할 경우 해커 공격뿐만 아니라 기업의 정보 수집에 무방비로 노출돼 있다.

대개 사용자들은 한 가지 아이디·비밀번호를 여러 사이트에 똑같이 쓰기 때문에 개인정보가 한 번 노출될 경우 막대한 피해로 번질 가능성도 있다. 장동석 이사는 “해커가 만약 개인정보 취득을 목적으로 무료 와이파이존을 서울 시내 곳곳에 설치한다면 속수무책으로 당할 수밖에 없는 실정”이라며 “보안은 공격이 들어오면 이미 늦다. 선행적 관리가 필요하다”고 지적했다.

보안 전문가들 “카카오 주장 이해하기 어렵다”

▎카카오톡 계정으로 로그인 했을 때 프록시 서버에서 확보한 두 가지 로그인 데이터다. 카카오톡 사용자의 DI·비밀번호(사진 상 지운 부분)가 고스란히 드러난다. 왼쪽 사진 사용자의 ID와 비밀번호는 ***hi0****@naver.com, ****m****y이며 오른쪽 사진 사용자의 ID는 ***ss**@daum.net, 비밀번호는 ****il****6이다.

카카오는 이런 보안의 취약성에 대해 문제가 없다는 입장이다. 카카오뱅크 등 자사의 서비스에는 인증번호 전송 등의 추가 보안 허들을 요구하고 있다. 그렇지만 타사에 제공하는 카카오톡 계정 소셜 로그인의 개인정보 유출 가능성에 대해서는 수수방관하고 있다. 카카오 관계자는 “버프스위트 등의 프로그램을 사용하면 암호화가 무력화되지만, 와이파이망에서 카카오의 서버로 전송되는 정보는 암호화돼 걱정할 필요가 없다”고 해명했다. 개인 PC에서 와이파이망 프록시 서버까지의 데이터 전송시 특정 프로그램을 사용하면 ID·비밀번호 노출은 불가피하며, 그 문제는 자신들의 소관이 아니라는 얘기다. 또 와이파이 프록시 서버로부터 카카오 서버까지 전송되는 데이터는 암호화되기 때문에 문제가 없다는 반응이다. 보안 전문가들은 카카오 측의 설명을 납득하기 어렵다고 비판한다. SK 계열사의 한 보안업무 담당자는 “고객의 정보보호 강화를 위해 데이터 암호화는 필요한 일이며, 개인 PC에서 프록시 서버 간에 데이터 암호화는 높은 수준의 기술을 요구하지도 않는다. 굳이 평문으로 전송할 이유가 없다”고 강조했다.

▎버프 스위트를 사용해 프록시 서버에서 가져온 티몬(왼쪽)과 네이버 계정으로 로그인 했을 때의 로그인 데이터다. 티몬은 ID와 비밀번호가 암호화돼 내용을 알 수 없고, 네이버 역시 개인정보가 드러나지 않는다. 이 경우 해커·서버관리자가 데이터를 가로챘어도 ID·비밀번호를 알 수 없다.

그러나 프록시 서버까지의 개인정보 암호화와 관련한 법령은 모호한 실정이다. 정보통신망법 시행령 제15 조 제4항은 정보통신 사업자가 ▶비밀번호의 일방향 암호화 저장 ▶주민등록번호 등 개인정보의 암호화 저장 ▶개인정보 및 인증정보 송·수신의 보안서버 구축 ▶그 밖에 암호화 기술을 이용한 보안조치 등을 취할 것을 의무화하고 있다. 큰 틀에서의 암호화 의무는 담고 있지만 데이터 분석 프로그램을 사용한 경우나 어디서부터 어디까지의 암호화가 필요한지 등의 세부 규정은 없다. 만약 사고가 발생하더라도 와이파이 프록시에서 카카오 서버까지 암호화 됐기 때문에 책임이 없다고 주장할 수도 있다. 법률상 규정만 지키면 해킹을 당하더라도 개인정보보호법 외에는 사업주의 책임을 묻기 어렵다. 법령이 사실상 해킹의 불가피성을 인정하고 있어 ‘사후약방문’식 대처 밖에 할 수 없다는 얘기다. 사업주의 철저한 사전 대응과 개개인이 주의할 수밖에 없는 실정이다. 한 보안 전문가는 “커피숍 등 공용 와이파이를 사용할 때 ‘만료가 된 페이지’라는 창이 수시로 뜨면 서버 관리자가 중간에 개입하고 있을 가능성이 있다는 뜻”이라며 “카카오톡 소셜 로그인 등 개인정보가 유출될 수 있는 작업은 하지 않는 것이 좋다”고 조언했다.

법 규정 애매모호해 사후약방문 우려

또 페이스북 사태처럼 카카오톡 소셜 로그인을 통해 넘어간 개인정보가 다른 사이트를 통해 유출된 경우에도 이를 사후 관리 할 방법도 사실상 없다. 포털·앱 등은 타사로 넘어간 개인정보의 이용 현황을 감시·관리할 권한이 없어서다. 타사에 개인정보를 제공하면서도 이로 인해 발생한 사고에 대해 법적 책임을 묻기 어렵다. 박재표 숭실대 정보과학대학원 교수는 “SSO 방식 로그인의 장점은 편리성이지만 보안상으로는 취약한 것이 사실”이라며 “업체 간 제공 정보를 최소화하고 보안 수준을 높이는 등의 자율 규제가 필요하다”고 강조했다. 또 다른 보안 전문가는 “SSO는 사이트마다 제각각인 ID·비밀번호를 일원화 해 관리할 수 있는 보안기술의 일종”이라며 “때문에 정보제공자의 철저한 보안관리가 필수”라고 말했다.