회원 명부 유출 5년간 방치
○ ‘정회원’ 게시판, 가입 안 해도 접근 가능
스마트폰을 이용해 다음에 로그인하지 않은 채로 한 대기업 출신 120여 명이 가입해 있는 한 카페에 접속했다. ‘정회원’(일정 조건을 충족한 회원) 이상만 접근할 수 있는 카페 게시판에는 회원 명부 파일이 첨부된 게시물이 있었다.
PC에서 첨부파일을 누르자 ‘정회원 이상 읽기가 가능하다’는 경고 창이 뜨고 접근이 차단됐다. 하지만 스마트폰에서는 아무런 제한 없이 파일을 열어볼 수 있었다. 인터넷 주소를 모바일 버전(m.cafe.daum.net/∼)으로 바꾸자 PC에서도 파일을 볼 수 있었다.
이러한 허점은 A카페만의 문제가 아니었다. 다음에서 ‘동창 명부’로 검색하면 총 1만1500여 건의 카페 게시물이 나온다. 이름, 전화번호는 물론이고 생년월일, 직장, 직위, 사진 등까지 포함한 파일도 상당수 발견된다. 이런 파일들은 아무 제한 없이 열람하거나 내려받을 수 있다.
○ 공개를 비공개로 오해하기 쉬워
다음 카페는 문제가 없다는 입장이다. 카페 운영자가 게시판을 ‘검색 공개’로 설정해 놓았기 때문에 누구나 회원 여부, 회원 등급에 관계없이 검색 결과로 나오는 경우 볼 수 있다는 것이다. ‘검색 공개’로 돼 있는 게시판이 PC에서 ‘정회원 이상 읽기가 가능하다’는 경고창이 뜨고 접근이 되지 않는 것이 오히려 프로그램 오류라는 입장이다.
반면 카페 운영자들은 다음 카페가 이런 방침을 충분히 고지하지 않았고, 운영자들이 스스로 알기에도 어렵다고 반발한다.
실제로 동아일보가 무작위로 연락한 카페 운영자 3명은 이런 사실을 전혀 모르고 있었다. 다음의 A카페 운영자 김모 씨는 “접근 권한을 카페 정회원으로 설정해 놓았기 때문에 아무나 게시물에 접근할 수 있으리라고는 생각하지 못했다”고 말했다.
다음 카페는 이런 사실을 ‘도움말’ 코너를 통해 “게시판의 글과 댓글은 읽기 권한과 무관하게 검색을 통해 내용이 공개된다”고 이용자에게 공지했다고 반박한다. 하지만 카페 운영자들은 “도움말이 있는 줄도 몰랐고 만약 읽었더라도 무슨 말인지 이해하기 어렵다”고 말했다. 또 카페 사용자들도 “특정 회원만 쓰는 게시판에 누구나 다 볼 수 있다고 생각하면서 게시물을 올리는 사람이 누가 있느냐”고 반문했다.
다음이 2009년 4월 모바일 전용 서비스를 시작한 만큼 이런 허점은 5년 넘게 방치된 것으로 보인다.
○ 수년간 개인정보 수집 통로로 악용
한 통신업계 관계자는 “2010년 무렵 이러한 방법이 통신사 대리점 사이에 알려졌다”면서 “‘문제가 될 수 있다’고 판단해 본사에서 최근 각 대리점에 다음 카페를 통한 개인정보 수집을 금지시켰다”고 말했다.
정보기술(IT) 업계의 한 관계자는 다음의 고의적 잘못은 아닐지라도 민감한 개인정보가 당사자의 의사와 무관하게 수집되고 있다면 보안을 강화하는 게 도리라고 말했다.
한편 네이버 카페에서는 이런 문제가 발견되지 않았다. 검색 공개 절차가 훨씬 엄격한 덕분이다.
김호경 기자 whalefisher@donga.com