Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

블로그ㅣ무심코 올린 사진이 위험한 이유

Christopher Burgess | CSO 2022.09.14
모든 마케터는 소셜 네트워크, 미디어, 기타 참여 수단을 통해 영향력을 가시적으로 보여주려고 한다. 소셜 이벤트, 무역 박람회, 컨퍼런스, 대면 만남에 참여하는 고객과 직원의 사진은 (이를 위한) 귀중한 자산이다. 다른 사람들이 보고 감탄할 수 있도록 이러한 고객 및 직원의 사진을 소셜 네트워크 플랫폼에 올리면 이 귀중한 자산의 가치가 더욱더 올라가고, 성공은 노출, 조회 수, 개별 참여로 수량화된다. 
 
ⓒGerd Altmann (CC0)
 

경쟁 인텔리전스를 위한 사진 데이터 수집 그리고 공격 표적화

하지만 이와 동시에 경쟁사에서도 (이를테면) 위치 정보 태그가 지정된 데이터, 사진의 메타데이터, 사진 속 개인의 신원 정보 등 수많은 유용한 데이터 포인트가 포함된 사진을 분석할 수 있다. 경쟁사 역시 이를 성공이라고 부른다. 그렇다. 디지털 인게이지먼트는 양날의 검이다. 

데이터를 수집하는 건 경쟁사뿐만 아니다. 사이버 범죄자나 국가 정보 및 안보기관 등도 해당될 수 있다. ‘아는 것이 힘이다’라는 프랜시스 베이컨의 격언이 떠오른다. 경쟁사, 범죄자, 국가는 공개적으로 확보한 정보(예: 위치, 시간, 장소, 신원 정보 등)를 가지고 (원하는 타깃의) 모자이크를 만들기 시작할 수 있다. 미국 국무부 산하 해외안보자문위원회(Overseas Security Advisory Council; OSAC)는 위치 공유를 통해 발생할 수 있는 물리적 및 디지털 타깃팅을 경고했다(이는 해외에서 사업을 하는 미국 기업을 대상으로 한다). OSAC에 따르면 위치 공유는 악의적인 행위자가 실생활에서 타깃을 찾는 가장 쉬운 방법이다.

지난 2012년 미군도 개인의 정확한 위치에 액세스하는 애플리케이션을 통해 개인의 위치를 제공하는 정보를 게시하는 것과 관련된 보안 위험을 경고한 바 있다. 이러한 이유로 출장(또는 여행)을 떠나는 많은 사람이 ‘버너 폰(burner phone; 추적이 불가능한 일회용 선불폰)’, 즉 출장용 전화를 사용해 사무실 및 가족과 커뮤니케이션하지만 개인과 직접적으로 연관될 위험은 없어도 제3자에 의해 생성될 수 있는 타기팅 모자이크에 조각을 제공할 순 있다. 

수년 동안 프라이버시 옹호자들은 자신이 어디서 무엇을 하고 있는지 세상에 알리고자 하는 욕구를 길들여야 하며, 이는 ‘TMI’라고 주장해왔다. 이러한 정보는 타깃으로 한 개인 또는 엔티티의 소셜 미디어 흐름을 모니터링하고자 시간을 투자하는 사람들에 의해 모니터링되고 활용된다. 왕립 캐나다 기마경찰(Royal Canadian Mounted Police; RCMP) 또한 자신과 다른 사람을 태그하고 공유하려는 개인의 욕구에 관해 경고한 바 있다. 권장사항은 표적이 될 가능성을 줄이기 위해 기기에서 위치 정보 태그 기능을 끄는 것이다. 

하지만 휴가 기간 이를 공유하려는 충동은 불행한 결과를 가져오기 마련이다. 이는 항상 사진 속에 있는 사람, 장소, 사물과 관련돼 있다. 예를 들면 다음과 같다. 
 
  • 우크라이나 사례 : 우크라이나가 사이버 정보 공간을 점령하기 위해 모든 수단을 동원하고 있다는 사실은 잘 알려져 있다. 여기에는 러시아에 있는 사람들이 다양한 온라인 포럼에 게시한 이미지에서 데이터를 수집하는 것이 포함된다. 가장 최근에는 한 러시아 관광객이 러시아 S400 미사일 시스템과 함께 셀카를 찍어 올렸다(본의 아니게 러시아의 미사일 시스템 위치를 우크라이나군에 광고한 셈이다). 우크라이나 국방부는 감사의 뜻을 표했다.
  • (또다시) 우크라이나 사례 : 공개된 정보를 수집하는 것과 유사하게, 우크라이나 사람들은 온라인에서 러시아 사람들을 잡기 시작했다. ‘핵컨트롤(HackControl, 또는 핵유어맘(Hackyourmom))’이라고 불리는 그룹에서 페이스북 그리고 (러시아판 페이스북인) 브콘탁테(Vkontakte) 등의 소셜 네트워크에서 여러 페르소나를 관리하는 담당자가 있으며, 이를 통해 우크라이나에 있는 러시아 군인들이 사진(종종 유용한 위치 정보 태그, 메타데이터, 기타 정보가 포함된 사진)을 공유하도록 유도한다. 우크라이나의 정보통신부 장관 미하일로 페도로프는 워싱턴 포스트지에 “하루에 수천 건의 보고를 받고 있다. 매우 유용하다”라고 밝혔다. 
  • 아프리카 사례 : 자연보호구역 관리자들은 “소셜 미디어에 사진을 공유할 때 주의하라. 해당 사진이 밀렵꾼을 코뿔소에게 인도할 수 있다. 지오태그 기능을 끄고 사진 촬영 장소를 공개하지 마라”라는 내용의 표지판을 곳곳에 설치했다. 
 

그렇다면 사진 공유와 관련해 CISO는 무엇을 해야 하는가? 

핵심은 무해한 것처럼 보이는 행동이 어떻게 개인과 기업을 ‘무심코’ 위험에 빠뜨릴 수 있는지 교육하는 것이다. OSAC는 체크인은 절대 하지 말고, 가는 곳을 광고하지 않아야 하며, 다녀온 곳만 게시하고, 자주 방문하는 곳은 공개하지 말라고 권고했다.

* Christopher Burgess는 前 시스코의 수석 보안 고문이며, 데이터 및 보안 분야의 다양한 스타트업에서 CEO/COO를 역임했다. ciokr@idg.co.kr
 
 Tags SNS 사진 공유 메타데이터 지오태그 위치 정보 보안 위험
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.