"며칠 전에 카카오페이 '송금받기'랑 똑같이 생긴 메시지가 와서 무심코 눌렀는데 만우절 장난 페이지로 연결되더라고요. 이렇게 똑같이 만들 수 있다는 거에 깜짝 놀랐습니다."
(서울=뉴스1) 김정현 기자 = 카카오톡의 '메시지 API'가 보이스피싱 등 범죄에 쓰일 수 있다는 우려가 나온다. 메시지 API로 공식 '카카오페이 송금받기'나 '기프티콘 선물받기'와 유사한 메시지를 제작할 수 있어서다.
5일 업계에 따르면 지난 1일 '만우절'에는 카카오페이 송금받기와 동일한 유저인터페이스(UI)의 메시지가 돌았다. 대화목록 창에서도 공식 송금받기와 동일한 문구가 표시됐다.
해당 메시지는 장난이라는 점을 알리기 위해 하단 발송 주체를 '카캬오페이'로 표기했다. 또 카카오의 공식 메시지는 우측 상단에 작게 '카카오'가 표기되지만, 이외는 공식 메시지와 거의 유사했다.
이는 카카오톡에서 개발자들에 제공하는 '카카오 디벨로퍼스' 기능으로 코딩을 통해 다양한 형태의 메시지 템플릿을 제작할 수 있다. 통상 이같은 메시지는 카카오톡의 비즈 메시지 등 마케팅에 활용된다.
실제로 카카오톡에서 이미지를 캡처해 '카카오 디벨로퍼스'의 메시지 템플릿에 코드를 짜넣을 경우, 공식 메시지와 유사한 메시지를 제작할 수 있었다.
현재 카카오 디벨로퍼스는 운영정책에 따라 이같은 '낚시성 서비스'의 운영이 확인될 경우, 계정과 디벨로퍼스 앱을 차단하는 사후정책을 취하고 있다.
다행히 아직까지 이같은 '낚시성 카카오톡'이 보이스피싱 등 범죄에 사용된 일은 없는 것으로 알려졌다.
KISA 관계자는 "다행히 아직까지 이같은 '낚시성 카카오톡'이 보이스피싱 등에 이용된 악성 사례는 없었다"며 "이전에 설 명절을 맞아 세뱃돈 지급 이벤트를 사칭한 링크가 포함된 카카오톡 메시지가 보고돼 이를 경고한 바 있다"고 했다.
카카오 측은 "카카오는 이용자의 신고를 통해 운영정책 위반으로 판단된 건은 제재 등의 절차를 진행하고 있다"며 "해당 건도 검토 결과 운영정책 위반으로 판단돼 차단과 생성자를 제재 조치를 했다"고 설명했다.
또 "카카오와 카카오페이는 사칭, 피싱 피해를 방지하기 위해 주기적으로 공지 및 톡채널 메시지 등을 활용해 이용자에게 안내하고 있다"고 부연했다.
다만 사후적 제재가 아닌 메신저 사업자의 적극적 예방 조치가 필요하다는 지적도 나온다. 특히 최근 네이버, 쿠팡 등 타 커머스에서도 '선물하기' 기능을 카카오톡으로 제공하고 있는 만큼, 추가 인증 장치도 필요하다는 설명이다.
한 보안업계 관계자는 "카카오톡 공식 메시지도 알아볼 수 있는 표식이 작은데, 사용자가 무심코 눌러 위험한 페이지로 넘어가지 않도록 공식 메시지는 더 잘 알아볼 수 있도록 더 차별화할 필요가 있다"며 "또 보이스피싱 예방을 위해 다른 커머스의 '선물하기·받기' 메시지 템플릿도 별도로 관리할 필요가 있어 보인다"고 말했다.
Kris@news1.kr
