안드로이드용 1.3.4버전 문자내용 해킹 가능

스마트폰 메신저인 카카오톡의 안드로이드 특정 버전에서 ‘스니핑’(sniffing·네트워크상의 정보를 가로채는 행위)을 통해 문자 내용이 해킹되는 보안 취약점이 드러났다. 대량의 트래픽을 유발하는 디도스(DDoS·분산서비스거부) 공격까지 가능한 것으로 나타났다. 카카오톡은 해당 안드로이드용 버전에 대한 서비스를 중단했다.



네트워크 보안솔루션업체인 윈스테크넷은 4일 “카카오톡 안드로이드용 1.3.4 버전에서 한시적으로 데이터 패킷을 암호화하지 못하는 취약점이 발견됐다.”며 “해당 버전의 카카오톡 사용자들에 대해 보안 주의를 권고했다.”고 밝혔다.

윈스테크넷에 따르면 안드로이드용 카카오톡 1.3.4 버전은 무선 인터넷망(Wi-Fi) 환경에서 사용할 때 초기 부팅에서 특정 시간까지 암호화가 되지 않은 상태로 데이터를 전송하고 있다. 카카오톡은 1.3.4 버전은 전체 사용자의 1%에 불과하다고 해명했다.

안드로이드용 카카오톡의 경우 스니핑 기법으로 문자메시지가 해킹될 수 있다. 또 해킹된 데이터를 조작해 불특정 다수의 스마트폰 사용자에게 특정 메시지를 삽입해 대량으로 살포하는 ‘메일 폭탄’과 카카오톡 서버를 대상으로 대량의 트래픽을 전송하는 디도스 공격에 악용될 수 있다.

카카오톡의 스니핑 등 보안 취약점은 이번에 처음 제기된 문제가 아니다. 서울신문은 지난 3월 23일 자 지면(1·4·5면)을 통해 보안전문업체의 테스트 결과 카카오톡 안드로이드 버전에서 문자메시지 등 대화 내용을 해킹하는 것이 가능했다고 보도했다. 당시 네이버톡과 다음 마이피플의 메신저 서비스는 해킹에 안전한 것으로 나타났다.

손동식 윈스테크넷 이사는 “카카오톡이 자사 서비스의 보안 취약점에 대해 전혀 인식하지 못하고 있었다.”며 “1.3.4 버전뿐 아니라 현재 버전인 2.4.1에 대해 해킹 취약점을 추가로 분석할 계획”이라고 말했다.

윈스테크넷은 지난달 30일 카카오톡에 분석 내용을 전달했고, 카카오톡은 해당 안드로이드 버전 등 일부 버전에 대해 서비스 중단 조치를 취했다.

안동환기자 ipsofacto@seoul.co.kr