왁물원 내부 개인정보 탈취 사건

인터넷 방송인 우왁굳의 네이버 카페인 왁물원의 이용자 중 불특정 다수가 "리셀러에 대한 보복을 위해서"라고 주장하며 네이버 내부 API를 이용해 카페 가입자의 네이버 ID 및 네이버 이메일을 알아내어 신상을 공개한 사건이다.

개드립, 루리웹1, 루리웹2, 디시, 펨코 [아카이브]
우왁굳 팬카페 '왁물원', 네이버 API로 개인정보 캤나?(글로벌e) @ '왁물원' 개인정보 수집 논란…팬심 넘어선 위험한 코드, 법의 경고등 켜졌다(로톡뉴스)

네이버 카페는 개인정보 보호를 위해 회원의 프로필을 조회할 때 네이버 ID는 마스킹하고 대신 memberKey라는 별도의 암호화된 식별자를 사용하는데, 카페 전역에서 동일한 memberKey가 부여되기 때문에 이를 이용하면 네이버 카페 전역에서 고유하게 식별 가능하다.[2]

프로필 API에서 memberId가 노출되는 취약점은 이전에도 보고되어 현재는 패치되었기 때문에 후술할 게시글에서 나온 방법은 현재 동작하지 않는다. 다만 일부 엔드포인트에서는 현재까지도 같은 취약점이 남아있다.

파일:CcScU-1.png

이를 일부 왁물원 회원들이 해당 방법[3]을 공유하고 악용하여 리셀러가 중고나라에 가입하여 남긴 정보들과 교차비교를 통해 신상털이를 감행했다는 주장이 제기되었다. @1 @2

또한 리셀러의 네이버 ID 등 찾아낸 신상 정보를 활용하여 전화번호, 실명, 생년월일, 지역 등의 개인정보를 찾아냈다.#1#2 @ @2

왁물원의 관리자인 우왁굳도 이러한 글들을 보며 리셀러를 밴하는 모습이 드러나기도 했다.[4] 해당 방법은 왁물원 내에서 활발하게 공유되었다. # @

2025년 8월 2일, 네이버에서는 해당 문제를 확인하고 있으며, 소명 결과에 따라 추가적인 제재에 나설 것임을 밝혔다. 다만 API로 네이버 ID를 그대로 확인할 수 있거나 memberKey 조회 시 타인의 네이버 아이디와 가입한 카페 내역 등이 노출된다는 것은 사실이 아니라고 답했다. 멤버키로 불특정 카페에 직접 접속해 가입 여부 및 활동 내역을 확인하는 것은 가능하나 이는 물리적으로 손쉽게 정보를 얻을 수 있는 경우는 아니라는 것. 별개로 멤버키를 어뷰징 하는 사안에 대해서는 인지 즉시 문제점을 파악해 최대한 빠르게 필요한 조치를 취하고 있다고 주장했다. 네이버, 우왁굳 '왁물원' 경고·조치 진행···API 이슈 곧 해결(글로벌e)

왁물원 사용자가 제작 후 배포한 크롬 확장 프로그램 일부가 memberKey를 사유 서버로 전송한다는 사실이 밝혀져 논란이 되었다. 해당 사건 이후 개발자들은 관련 크롬 확장 프로그램 배포를 중단했고, 2일 오전 우왁굳이 왁물원에 왁스코드 사용 중단 공지를 게시하였다. 네이버 또한 카페 운영정책을 위반하는 확장프로그램 및 왁스코드 프로그램 사용과 배포를 중단하고, 향후에도 사용하지 못하도록 처리했다고 답변했다. #

해당 논란으로 인해 이전에 신상이 털린 버츄얼 유튜버들[5]이 모두 왁물원에 글을 쓴 공통점이 있어 그 사건들에도 이 보안 취약점이 악용된 것 아니냐는 의혹 또한 제기되었다. # @

커뮤니티에서 공론화가 된 이후 하루 만에 왁물원 회원 1만 명 이상이 탈퇴하였으며, 글 또한 12만여 개가 삭제된 것으로 확인된다. 기사 # @

우왁굳과 왁타버스 관련 논란으로 이전부터 왁물원 탈퇴자가 하루에 몇백 명 꼴로 하락세를 보여줬다가, 본 개인정보 탈취 사건이 공론&점화되면서, 8월 2일부터 4일만에 회원 약 2만 명이 탈퇴한 것으로 확인된다.

해당 사건이 공론화된 이후 네이버 내에서 왁물원 내부글이 검색 제한되었고 네이버 카페 앱에서 카페 검색 시 왁물원이 표시되지 않으며 왁물원 내부에서도 인기글 확인이 불가능한 상태이다. 또한 8월 7일 왁물원의 카페 등급이 최고 등급인 숲에서 나무 3단계로 2단계 하락했는데 왁물원의 활동 점수가 사건의 여파로 줄기는 했어도 아직까지 숲 등급 유지에는 차고 넘치는 상태이기 때문에 원칙적으로는 아직 카페 등급이 하락될 정도가 아니다. 현재 왁물원이 처한 이 일련의 상황이 네이버 카페의 경고 조치[6]와 완전히 일치하기 때문에 네이버에서 왁물원에 대해 경고 조치를 내린 것이 아니냐는 추측이 나오고 있다. 왁물원 관리자는 왁물원 내 인기글 검색 불가는 네이버 버그라고 주장했으나 그 외의 사항에 대해서는 침묵했다. 기사1 기사2

만약 이번 사건으로 왁물원에 경고 조치가 내려진 것이 맞다면 문제가 되는 활동을 전부 중단한 후 문제 되는 내용(게시물, 게시판, 위젯 등)을 모두 삭제한 후에 경고 조치 해제를 요청해야 하며, 경고 조치 이후에도 문제가 되는 행위를 지속하거나 일정 기간 동안 경고 조치 해제 요청을 하지 않는다면 ‘카페 이용약관 및 운영원칙에 어긋나는 게시물이 관리되지 않는 경우‘에 해당되어 왁물원에 접근 제한 조치가 내려질 수 있다.# 접근 제한 이후로도 문제가 되는 내용들을 모두 제거하지 않으면‘접근제한 이상의 조치를 받았던 경우가 있음에도 이용약관 및 운영원칙에 어긋나는 행위를 반복할 경우‘에 해당되어 영구 접근제한, 사실상 왁물원의 영구 폐쇄로 이어질 수 있다.

결국 카페 매니저인 우왁굳의 공지를 통해 외부 프로그램 사용 등으로 네이버로부터 경고 조치를 받았음이 확인됐다.# 이후 우왁굳은 후속 게시물을 통해 추가적으로 네이버의 경고 조치에 어긋나는 글들[7]을 모두 삭제했다고 하였고, 관리 부족에 대한 사죄와 더불어 클린 캠페인을 주기적으로 실시하겠다고 밝혔다.#@

8월 17일 카페 등급이 추가로 2단계 강등되어 나무 1단계로 하락했으며, 활동 점수도 0점으로 강제 초기화되었다.

8월 19일 확장프로그램 및 관련 여러 문제에 대해 소명 확인 등이 끝나 네이버 측에서 제재 조치를 해제하였다. #

v3 articles 엔드포인트에서 나오던 writer.id 취약점까지 8월 12일경 이후 잠수함 패치되었다. 스키마 변동은 딱히 없고 값이 공문자열로 나온다. 하지만 일부 엔드포인트는 아직도 writer.id가 노출된다.