내 민감 정보, 카카오는 볼 수 있을까?

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

메신저를 이용한 의사소통이 늘어남에 따라 다양한 정보가 메신저 서비스로 전달되고 있다. 국내에서는 압도적 점유율을 차지한 카카오톡을 통해 일상적 대화 외에도 개인정보, 사생활을 담은 이미지, 동영상 등을 주고받는다.

그렇다면 카카오톡을 개발하는 카카오는 자유롭게 이용자 정보를 열람할 수 있을까? 결론부터 말하자면 '카카오도 볼 수 없다'다. 카카오는 다양한 방법으로 개인정보와 보안정책을 마련해 시행하고 있다.

'비밀채팅' 기능이 대표적이다. 비밀채팅은 암호화된 상태에서 이용자 메시지가 쌍방향으로 전송된다. 암호를 풀 수 있는 열쇠가 각 이용자 스마트폰에만 저장되는 '종단 간 암호화'방식을 적용했다. 카카오 서버에서는 암호를 풀 수 없어 대화 당사자 외에는 메시지 내용을 확인할 수 없다.

일반 메시지는 스마트폰에서 입력된 대화 내용이 서버로 전송되는 과정에서만 암호가 적용된다. 서버에서 상대방에게 전달될 때는 원래대로 돌아온다. 종단 간 암호화가 적용되면 스마트폰에서 '그래서 주제가 뭐야?'를 입력할 때부터 '&#^@^%$%&'와 같이 알아볼 수 없는 방식으로 암호화가 진행된다. 상대방 스마트폰에서 복호될 때까지 암호로 표시된다. 채팅을 읽으면 서버에서도 자동 삭제된다.

일반 메시지도 서버에 2~3일간만 저장된다. 오랜만에 카카오톡 PC 버전에 접속했을 때 예전 메시지가 나오지 않는 이유다.

기술 외에도 정책을 통해서도 정보를 지킨다. 카카오는 데이터베이스에 접근할 수 있는 관리자에게 사전 권한을 부여한다. 최소 인력에게만 접근 권한을 준다. 인터넷이 차단된 '망 분리'환경에서 근무해 유출 가능성을 차단한다. 데이터베이스 접근, 권한 신청, 변경, 삭제 이력 등은 모두 기록돼 저장·보관된다. 주기적으로 권한 검토를 통해 불필요한 권한을 삭제하기도 한다.

카카오는 정보 보호를 위해 CEO직속 정보보호위원회, 보안정책부서, 보안기술 부서를 마련해 운영한다. 정보보호위원회는 개인정보 보호 및 정보 보호 최고의사결정 기구다. CISO(정보보호책임자)는 정책기술 보안등을 담당한다. 또 법에서 요구하는 사항을 점검하고 감시한다. 기술적으로는 암호화, 인증 부분에 집중한다.

프라이버시 정책을 강화하고 외부전문가 조언을 얻기 위해 '프라이버시 정책 자문위원회'도 운영한다. 법조계학계정책기술 등 다양한 분야 전문가로 구성한다. 위원회는 개인정보보호최고책임자(CPO) 직속 조직이다.

최근 카카오는 정부통신자료 요청에 따른 사업자 제공이 강제 의무가 아니라는 헌법재판소 결정을 반영해 통신자료를 제공하지 않고 있다. 2018년 상반기 420건 요청을 받았지만 처리 건수는 0건이다.

수사기관이 증거를 찾기 위해 압수수색영장을 발급하면 채팅방 내용과 대화 당사자 전화번호를 제공한다. 2018년 상반기 5995건 요청을 받았고 4928건을 처리했다. 처리 계정 수는 61만 2800개에 달한다.

카카오 관계자는 “자세한 보안 기술은 대외비라 말하지 못한다”며 “보안 정책과 교육, 기술 개발로 개인정보보호, 사생활 보호에 온 정성을 쏟고 있다”고 전했다.

이현수기자 hsool@etnews.com