새 소식우리 회사에 어떤 규제가 적용되는지 알고 계신가요? 3분 안에 확인할 수 있습니다. Panke가 드리는 진심 어린 선물:EU 스코퍼한국 스코퍼
무엇을 도와드릴까요?

채널로 문의하기

KakaoTalkLINE

48시간 이내 답변

이메일 보내기 →
블로그
카카오톡 링크 미리보기, 내 개인정보는 안전할까
개인정보보호

카카오톡 링크 미리보기, 내 개인정보는 안전할까

2026년 7월 10일·Alex Holmquist, Panke IT Solutions LLC

카카오톡 링크 미리보기 카드가 대화창에 뜨는 순간, 누군가는 이미 그 URL을 열어 본 겁니다 — 링크 미리보기 안전한가 한 번쯤 궁금하셨다면 여기서 시작해 보죠. 그 카드를 만들 수 있는 기계는 딱 둘, 내 폰이거나 플랫폼 서버입니다. 그리고 어느 쪽이 가져가느냐에 따라 치르는 대가가 서로 다릅니다. 우리는 우리 서버 로그를 직접 뒤져 두 경우를 모두 붙잡았습니다.

종이공예로 만든 장면. 링크 미리보기 카드가 뜬 폰에서 관이 두 개 뻗어 나온다. 하나는 내 폰으로 이어져 웹사이트에 내 IP 주소를 넘기고, 다른 하나는 플랫폼 서버로 이어져 내가 보낸 링크를 모두 기록한다.

내 폰이 가져오면 링크 미리보기 IP가 노출됩니다

아이메시지나 왓츠앱에서 링크를 열면 내 폰이 직접 요청을 보냅니다. 반대편 사이트는 내 IP 주소와 그 뒤에 있는 대략적 위치를 보게 되고, 메시지 회사는 그 링크를 아예 못 볼 수도 있습니다. 바이버도 Mysk의 2020년 테스트에서 같은 방식으로 동작했습니다.

저희 서버 로그 7주치에서, 미리보기 가져오기 세 건이 왓츠앱 고유의 유저 에이전트를 달고 KT 가정용 회선 주소에서 들어왔습니다 — 한 사람의 폰이, 자기 연결이 어디 있는지 우리 서버에 알려 준 겁니다.

User-Agent: WhatsApp/2.23.20.0
Source:     Korea Telecom (residential)

카카오톡 링크 미리보기는 서버가 가져옵니다

카카오톡, 메신저, 인스타그램, 슬랙, X, 디스코드는 반대로 동작합니다 — 자사 서버가 링크를 가져옵니다. 내 IP는 목적지 사이트에 가려지지만, 이제 플랫폼이 내가 보낸 모든 URL을 보게 됩니다. 카카오도 이를 문서로 밝혀 두었습니다. 카카오 서버가 페이지의 오픈그래프 태그를 긁어 카드를 만든다고 카카오 디벨로퍼스가 설명합니다.

같은 로그, 다른 칸. 네 건은 카카오의 스크래퍼 에이전트를 달고 카카오 주식회사 자체 네트워크에서 들어왔습니다.

User-Agent: facebookexternalhit/1.1; kakaotalk-scrap/1.0
Source:     Kakao Corp

한국은 이 카카오톡 URL 수집이 어디로 이어지는지 이미 한 번 겪었습니다.

방송통신위원회 (2016-12-26 제73차 위원회): 카카오가 카카오톡 대화창에 입력된 URL을 다음 검색서비스에 이용한다는 사실을 이용자에게 알리지 않은 행위 등에 과징금 3억 4,200만원을 부과했다. 이 금액은 별도의 알림톡 관련 위반까지 합산한 것이다.

방통위는 '미리보기'라는 표현을 쓰지 않았습니다. 그 연결 고리를 댄 건 카카오 자신이었습니다.

카카오 (오마이뉴스, 2016): "저희는 2016년 1월부터 카카오톡 'URL 미리보기'를 위해 수집된 웹페이지 주소 중 검색이 허용된 웹주소들을 다음 웹검색에 연동해 왔다."

카카오는 수집된 URL에 개인정보가 담겨 있지 않다는 입장을 유지했고, 한 기자가 이를 시연해 보인 당일 연동을 중단했습니다. 이 사건은 고지와 동의에 관한 것이며, 링크 미리보기 자체를 위법으로 본 것은 아닙니다.

라인 링크 미리보기도 암호화가 정하지 않습니다

종단간 암호화 메신저 두 개를 나란히 놓은 그림. 라인은 자사 서버에서 미리보기를 만들어 플랫폼이 링크를 보고, 시그널은 폰에서 미리보기를 만들어 프록시로 가져오기 때문에 어느 쪽도 아무것도 알지 못한다.

종단간 암호화 앱이라고 해서 링크가 자동으로 사적으로 남지는 않습니다. 라인은 종단간 암호화를 쓰면서도 미리보기를 자사 서버에서 만듭니다 — 카카오톡과 같은 칸입니다. 예전에는 그 과정에서 발신자 IP가 샜지만, Mysk가 안드로이드 10.18.0과 iOS 10.16.1에서 그 문제가 고쳐진 것을 기록했습니다. 시그널도 종단간 암호화를 쓰지만 정반대 길을 택합니다. 미리보기를 내 기기에서 만들고, 가져오기는 프록시를 통해 보냅니다.

시그널(Signal): "시그널 앱은 프라이버시 강화 프록시를 통해 TCP 연결을 맺어, 미리보기 대상 사이트로부터 IP 주소를 가립니다. TLS 세션은 앱과 미리보기 대상 사이트 사이에서 그 프록시를 지나 직접 협상되며, 이를 통해 시그널 서비스는 해당 URL에 결코 접근하지 못합니다."

TLS 세션은 그 프록시를 지나 사이트까지 그대로 이어집니다. 그래서 사이트는 누가 요청했는지 알지 못하고, 시그널은 무엇을 요청했는지 알지 못합니다. 링크가 사적으로 남는지는 각 업체가 내린 설계 결정이 정합니다. 메시지에 걸린 암호화는 그들이 어느 쪽을 골랐는지 알려 주지 않습니다.

카카오톡 링크 미리보기 끄기 전에 알아야 할 것

  1. 내 앱이 어느 칸인지부터 파악하세요. 아이메시지·왓츠앱처럼 폰이 가져오는 앱은 내 IP를 사이트에 드러내고, 카카오톡·메신저처럼 서버가 가져오는 앱은 내가 보낸 링크를 플랫폼에 드러냅니다. 암호화 여부는 둘 다 정하지 않습니다.
  2. 민감하거나 의심스러운 링크라면 미리보기부터 끄세요. 대부분의 메신저는 설정에서 링크 미리보기를 끌 수 있고, 그러면 가져오기 자체가 시작되지 않습니다.
  3. 침해 상황에서는 미리보기를 공격자에게 거는 전화로 취급하세요. 공격자가 만든 URL을 대화창에 붙여 넣으면 그의 서버에 신호가 가, 자신이 발각됐다는 사실을 알려 줄 수 있습니다. 이 함정은 누가 링크 미리보기를 대신 가져오는지 다룬 이전 글에서 자세히 짚었고, 공유한 사진마다 앱별로 다르게 동작하는 이야기도 같은 구조입니다.

지금 바로 내 메신저 설정을 열어 보세요. 미리보기를 내 폰에서 가져오나요, 아니면 서버에서 가져오나요 — 그리고 오늘 이전에 그 답을 알고 계셨나요?

참고 자료

  1. Mysk, "Link Previews: How a Simple Feature Can Have Privacy and Security Risks" (2020) — https://mysk.blog/2020/10/25/link-previews/
  2. Signal, "I link, therefore I am" — https://signal.org/blog/i-link-therefore-i-am/
  3. Kakao Developers, KakaoTalk Share FAQ — https://developers.kakao.com/docs/en/kakaotalk-share/faq
  4. 방송통신위원회, "방통위, ㈜카카오의 '알림톡' 및 URL 수집·이용 관련 위반행위에 3억 4,200만원 과징금 부과" (제73차 위원회, 2016-12-26) — https://kcc.go.kr/user.do?boardId=1113&boardSeq=44252&cp=14&dc=&mode=view&page=A05030000
  5. 오마이뉴스, "'카톡 URL 노출' 6일 만에 사과, 풀리지 않는 의문들" (2016) — http://www.ohmynews.com/NWS_Web/View/at_pg.aspx?CNTN_CD=A0002214798
귀사의 공격 표면이 걱정되시나요?

귀사의 인프라가 공격자의 스코어링 모델에서 어떻게 평가되는지 알고 싶다면 contact@pankeit.com으로 문의해 주세요. 동일한 지문채취 및 스코어링 프로세스를 실행하고 우선순위가 매겨진 개선 목록을 제공합니다.

블로그 구독하기

최신 보안 동향을 가장 먼저 받아보세요

스팸 없음. 언제든 구독 취소.

©2026 Panke IT Solutions LLC

Austin, TX