동아일보

보안 구멍 뚫린 ‘다음 카페’… 개인정보 아무나 엿본다

  • 동아일보

  • 입력 2014년 7월 4일 03시 00분

글자크기 설정

코멘트

회원 명부 유출 5년간 방치

크게보기
국내 온라인 커뮤니티의 대명사인 다음 카페가 개인정보의 편법 수집 통로로 수년째 악용되고 있다. 카페에 가입하지 않고도 개인정보가 가득 담긴 게시물에 손쉽게 접근할 수 있기 때문이다. 한 통신업체는 대리점들이 이를 악용해 판촉용 개인정보를 무차별 수집하자 이를 금지하는 지침을 최근 내린 것으로 알려졌다. 다음의 보안 정책에 문제가 있다는 지적이 나온다.

○ ‘정회원’ 게시판, 가입 안 해도 접근 가능

스마트폰을 이용해 다음에 로그인하지 않은 채로 한 대기업 출신 120여 명이 가입해 있는 한 카페에 접속했다. ‘정회원’(일정 조건을 충족한 회원) 이상만 접근할 수 있는 카페 게시판에는 회원 명부 파일이 첨부된 게시물이 있었다.

PC에서 첨부파일을 누르자 ‘정회원 이상 읽기가 가능하다’는 경고 창이 뜨고 접근이 차단됐다. 하지만 스마트폰에서는 아무런 제한 없이 파일을 열어볼 수 있었다. 인터넷 주소를 모바일 버전(m.cafe.daum.net/∼)으로 바꾸자 PC에서도 파일을 볼 수 있었다.

파일에는 퇴직자 440여 명과 오프라인 모임의 임원 150여 명 등 총 590여 명의 이름, 주소, 휴대전화 번호 등 개인정보가 낱낱이 적혀 있었다. 민감한 개인정보가 담긴 글이 이 카페에만 수십 개에 달했다.

이러한 허점은 A카페만의 문제가 아니었다. 다음에서 ‘동창 명부’로 검색하면 총 1만1500여 건의 카페 게시물이 나온다. 이름, 전화번호는 물론이고 생년월일, 직장, 직위, 사진 등까지 포함한 파일도 상당수 발견된다. 이런 파일들은 아무 제한 없이 열람하거나 내려받을 수 있다.

○ 공개를 비공개로 오해하기 쉬워

다음 카페는 문제가 없다는 입장이다. 카페 운영자가 게시판을 ‘검색 공개’로 설정해 놓았기 때문에 누구나 회원 여부, 회원 등급에 관계없이 검색 결과로 나오는 경우 볼 수 있다는 것이다. ‘검색 공개’로 돼 있는 게시판이 PC에서 ‘정회원 이상 읽기가 가능하다’는 경고창이 뜨고 접근이 되지 않는 것이 오히려 프로그램 오류라는 입장이다.

반면 카페 운영자들은 다음 카페가 이런 방침을 충분히 고지하지 않았고, 운영자들이 스스로 알기에도 어렵다고 반발한다.

다음 카페에서 게시물을 보호하는 방법은 두 단계. 우선 카페의 존재 자체를 비공개로 하는 것으로 이 경우 카페는 검색되지 않는다. 또 카페를 공개하고 게시판별로 ‘검색 공개’ 여부와 접근 권한을 설정하는 방식이다. 문제는 이 경우 발생한다. 게시판별로 ‘검색 공개’를 해 놓는 경우 카페 운영자는 검색은 되더라도 열람은 안 된다고 오해한다. 이 때문에 특정 게시판을 ‘검색 공개’로 하고 이 게시판 접근 권한을 정회원, 특별회원 식으로 차등을 둔다. 하지만 ‘검색 공개’로 해 놓았을 경우 접근 권한에 제한을 두는 것 자체가 의미가 없어 모두 볼 수 있다. 게다가 다음 카페는 게시판의 ‘검색 공개’를 ‘디폴트(기본설정)’으로 하고 있다.

실제로 동아일보가 무작위로 연락한 카페 운영자 3명은 이런 사실을 전혀 모르고 있었다. 다음의 A카페 운영자 김모 씨는 “접근 권한을 카페 정회원으로 설정해 놓았기 때문에 아무나 게시물에 접근할 수 있으리라고는 생각하지 못했다”고 말했다.

다음 카페는 이런 사실을 ‘도움말’ 코너를 통해 “게시판의 글과 댓글은 읽기 권한과 무관하게 검색을 통해 내용이 공개된다”고 이용자에게 공지했다고 반박한다. 하지만 카페 운영자들은 “도움말이 있는 줄도 몰랐고 만약 읽었더라도 무슨 말인지 이해하기 어렵다”고 말했다. 또 카페 사용자들도 “특정 회원만 쓰는 게시판에 누구나 다 볼 수 있다고 생각하면서 게시물을 올리는 사람이 누가 있느냐”고 반문했다.

다음이 2009년 4월 모바일 전용 서비스를 시작한 만큼 이런 허점은 5년 넘게 방치된 것으로 보인다.

○ 수년간 개인정보 수집 통로로 악용

텔레마케팅 업체, 통신사 대리점 등은 수년 동안 다음 카페를 통해 개인정보를 수집해 왔다. 브로커에게 불법적으로 개인정보를 구입하거나 사이트를 해킹하지 않고도 간단한 인터넷 검색만으로 판촉에 필요한 개인정보를 필요한 만큼 얻을 수 있다.

한 통신업계 관계자는 “2010년 무렵 이러한 방법이 통신사 대리점 사이에 알려졌다”면서 “‘문제가 될 수 있다’고 판단해 본사에서 최근 각 대리점에 다음 카페를 통한 개인정보 수집을 금지시켰다”고 말했다.

정보기술(IT) 업계의 한 관계자는 다음의 고의적 잘못은 아닐지라도 민감한 개인정보가 당사자의 의사와 무관하게 수집되고 있다면 보안을 강화하는 게 도리라고 말했다.

한편 네이버 카페에서는 이런 문제가 발견되지 않았다. 검색 공개 절차가 훨씬 엄격한 덕분이다.

김호경 기자 whalefisher@donga.com
#다음#개인정보#다음 카페
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스