2021.11.22

IDG 블로그 | 개인정보보호를 보호하는 첫걸음은 ‘최대한 덜 노출하기’

Paul Gillin | Computerworld
평판은 사생활 문제다. 직업적으로 주목을 받는 위치에 있다면 더욱 그렇다. 우리 삶의 상세 정보는 생각보다 더 많이 외부에 노출되어 있다. 
 
ⓒ Getty Images Bank

인터넷 검색창에 자신의 이름을 검색하면 정보가 얼마나 노출되었는지 쉽게 확인할 수 있다. 동명이인이 있을 경우 거주 지역이나 회사명을 함께 검색해보자. 페이스북과 링크드인 링크 외에도 자신의 정보가 담긴 스포키오(Spokeo), 옐로북(Yellowbook), 빈 베리파이드(BeenVerified), 로케이트피플(LocatePeople), 마이라이프(MyLife) 같은 사이트 링크가 결과로 뜬다.

검색 결과를 클릭하면 휴대폰 번호나 주소를 부분적으로나마 확인할 수 있다. 상세 정보에 접근하면 전체 연락처나 체포 이력, 혼인 증명서, 소셜 미디어 계정, 관련된 법적 판결 등 작지만 흥미로운 소식에 접근할 수 있다. 데이터 중개업자가 알고 있는 정보량에 깜짝 놀라게 될 것이다.

데이터 중개업은 익스피리언(Experian)이나 액시엄(Acxiom) 같이 규모가 크고 평판이 좋은 대형 업체에서 수행하는 합법적인 일이다. 이들 기업은 신용 및 평판 조회처럼 정당한 목적을 위해서 정보를 판매한다. 하지만 합법적인 사업 뒤편에는 사용자에 대한 모든 정보를 수집해 비용을 지불하는 사람이라면 가리지 않고 판매하는 데이터 중개업체가 약 1,200곳 존재한다. 


편의상 거래하던 개인정보가 미끼가 되는 과정

디지털 프라이버시 보호 플랫폼 허쉬(Hush) 대표 린 레이놀트는 “그동안 미국 사용자는 편의를 위해 개인 정보를 거래했으며 자신에 대한 많은 정보가 인터넷에서 무분별하게 돌아다닌다는 사실에 대해 무감각해진 상태”라고 지적했다.

데이터 중개업체는 개인의 세금 기록, 의료 정보, 파산 기록과 같이 웹 검색으로는 발굴할 수 없는 정보를 전문적으로 수집한다. 이런 민감한 정보는 유료화 벽이나 비밀번호, 스캔 문서 잠금으로 보호되어 프라이빗 데이터베이스에 보관된다. 이런 데이터는 이른바 정보의 ‘딥 웹(deep web)’을 구성하고 있으며, 딥 웹은 온라인 생태계의 90%를 차지한다.

데이터 중개업체는 다양한 출처에서 얻은 정보(일부는 오래된 정보)를 종합하는 데 능숙하다. 데이터 중개업체는 머신러닝이나 광학 문자 인식과 같은 기술을 활용해 디지털 사진 데이터베이스를 뒤지며 스캔 문서의 상세 내용을 발굴한다.

인터넷 사용자가 만드는 데이터 잔해(Data Exhaust) 규모는 엄청나다. 스토커나 범죄자는 이런 데이터 잔해를 악용할 수 있다. 예컨대 허쉬 사용자 한 명은 지난 2007년 한 신문사와의 인터뷰에서 부모의 주소와 다니던 학교, 여름휴가를 보낸 지역에 대해 밝혔고, 이 인터뷰 기사는 PDF로 저장되어 있다. 과거에 깊게 생각하지 않고 누설했던 상세 정보가 오늘날 범죄자에게 미끼가 되는 것이다.

또 다른 허쉬 사용자는 강아지를 입양하고 싶어 입양 기관의 페이스북 페이지에 핸드폰 번호를 남긴 적이 있었다. 전체 공개된 게시물이라는 점을 인식하지 못하고 남긴 것이었다. 사용자의 부모 회사에서 가족 이름이 포함된 위키피디아 페이지를 만든 후에 허쉬 사용자는 이상한 전화 통화를 받았다. 레이놀트에 따르면, 데이터 중개업체에서 핸드폰 번호를 구매해 소셜 네트워크에서 개인 정보를 수집한 뒤 전화를 걸었던 사례였다.


개인정보 유출 피해를 방지하는 방법

범죄자는 아주 작은 규모의 개인 정보로도 이익을 얻는다. 일반적으로 사용자는 출생정보나 생활기록부에서 확인할 수 있는 정보를 은행 계정 보호에 사용하기 때문이다. 레이놀트는 “범죄자는 집 주소 하나만 있으면 부동산 웹사이트에서 집 사진이나 평면도를 얻을 수 있다. 그리고 거주자의 관심사를 알게 되면 자산 역시 가시화할 수 있다”라고 설명했다. 

데이터 중개업체가 지니고 있는 정보를 제거하는 것은 거의 불가능하다. 레이놀트는 “미국에는 관련된 국가법이 없어 주 정부마다 제거 방법이 다르다. 1,200여 개에 달하는 중개업체에 일일이 제거해달라고 요청하는 수밖에 없다”라고 말했다.

일부 데이터 중개업체는 제거 요청 절차를 번거롭게 만들기도 한다. 수기로 작성한 제거 요청서나 업체의 데이터베이스에 없는 정보를 요구하는 경우도 있다. 제거 요청을 위해 수집한 정보는 다시 누군가에게 판매될 수 있는 데이터가 된다.

개인 정보를 보호하는 것은 그 어느 때보다도 중요한 문제다. 코로나19 팬데믹 이후 미국 내 실업 보험 사기가 4,000% 증가했으며 미국 인구의 절반 가까이는 신원 도용 피해를 입었다. 여성 6명 가운데 1명이 스토킹을 당할 것이라는 조사 결과도 있었다.

레이놀트는 “지금은 낯선 사람이 개인적인 사진과 게시물, 친구에 접근할 수 있는 시대”라고 강조했다. 이런 이유로 허쉬 같은 프라이버시 보호 업체가 등장하기도 했다. 프라이버시 보호 업체는 데이터 브로커가 정보 수집에 활용하는 것과 같은 도구로 정보를 파헤치고 사용자의 상세 정보를 제거한다. 

개인 정보를 보호하고 피해를 줄이는 가장 확실한 방법은 소셜 네트워크 계정을 비공개로 전환해 개인 정보를 최대한 덜 노출하는 것이다. 데이터 중개업을 제재할 법률을 제정하고 시행하는 것은 다른 문제다. 어디까지나 사용자 프라이버시를 가장 잘 보호할 수 있는 것은 법률이나 프라이버시 보호 업체가 아닌 자기 자신이기 때문이다. editor@itworld.co.kr


2021.11.22

IDG 블로그 | 개인정보보호를 보호하는 첫걸음은 ‘최대한 덜 노출하기’

Paul Gillin | Computerworld
평판은 사생활 문제다. 직업적으로 주목을 받는 위치에 있다면 더욱 그렇다. 우리 삶의 상세 정보는 생각보다 더 많이 외부에 노출되어 있다. 
 
ⓒ Getty Images Bank

인터넷 검색창에 자신의 이름을 검색하면 정보가 얼마나 노출되었는지 쉽게 확인할 수 있다. 동명이인이 있을 경우 거주 지역이나 회사명을 함께 검색해보자. 페이스북과 링크드인 링크 외에도 자신의 정보가 담긴 스포키오(Spokeo), 옐로북(Yellowbook), 빈 베리파이드(BeenVerified), 로케이트피플(LocatePeople), 마이라이프(MyLife) 같은 사이트 링크가 결과로 뜬다.

검색 결과를 클릭하면 휴대폰 번호나 주소를 부분적으로나마 확인할 수 있다. 상세 정보에 접근하면 전체 연락처나 체포 이력, 혼인 증명서, 소셜 미디어 계정, 관련된 법적 판결 등 작지만 흥미로운 소식에 접근할 수 있다. 데이터 중개업자가 알고 있는 정보량에 깜짝 놀라게 될 것이다.

데이터 중개업은 익스피리언(Experian)이나 액시엄(Acxiom) 같이 규모가 크고 평판이 좋은 대형 업체에서 수행하는 합법적인 일이다. 이들 기업은 신용 및 평판 조회처럼 정당한 목적을 위해서 정보를 판매한다. 하지만 합법적인 사업 뒤편에는 사용자에 대한 모든 정보를 수집해 비용을 지불하는 사람이라면 가리지 않고 판매하는 데이터 중개업체가 약 1,200곳 존재한다. 


편의상 거래하던 개인정보가 미끼가 되는 과정

디지털 프라이버시 보호 플랫폼 허쉬(Hush) 대표 린 레이놀트는 “그동안 미국 사용자는 편의를 위해 개인 정보를 거래했으며 자신에 대한 많은 정보가 인터넷에서 무분별하게 돌아다닌다는 사실에 대해 무감각해진 상태”라고 지적했다.

데이터 중개업체는 개인의 세금 기록, 의료 정보, 파산 기록과 같이 웹 검색으로는 발굴할 수 없는 정보를 전문적으로 수집한다. 이런 민감한 정보는 유료화 벽이나 비밀번호, 스캔 문서 잠금으로 보호되어 프라이빗 데이터베이스에 보관된다. 이런 데이터는 이른바 정보의 ‘딥 웹(deep web)’을 구성하고 있으며, 딥 웹은 온라인 생태계의 90%를 차지한다.

데이터 중개업체는 다양한 출처에서 얻은 정보(일부는 오래된 정보)를 종합하는 데 능숙하다. 데이터 중개업체는 머신러닝이나 광학 문자 인식과 같은 기술을 활용해 디지털 사진 데이터베이스를 뒤지며 스캔 문서의 상세 내용을 발굴한다.

인터넷 사용자가 만드는 데이터 잔해(Data Exhaust) 규모는 엄청나다. 스토커나 범죄자는 이런 데이터 잔해를 악용할 수 있다. 예컨대 허쉬 사용자 한 명은 지난 2007년 한 신문사와의 인터뷰에서 부모의 주소와 다니던 학교, 여름휴가를 보낸 지역에 대해 밝혔고, 이 인터뷰 기사는 PDF로 저장되어 있다. 과거에 깊게 생각하지 않고 누설했던 상세 정보가 오늘날 범죄자에게 미끼가 되는 것이다.

또 다른 허쉬 사용자는 강아지를 입양하고 싶어 입양 기관의 페이스북 페이지에 핸드폰 번호를 남긴 적이 있었다. 전체 공개된 게시물이라는 점을 인식하지 못하고 남긴 것이었다. 사용자의 부모 회사에서 가족 이름이 포함된 위키피디아 페이지를 만든 후에 허쉬 사용자는 이상한 전화 통화를 받았다. 레이놀트에 따르면, 데이터 중개업체에서 핸드폰 번호를 구매해 소셜 네트워크에서 개인 정보를 수집한 뒤 전화를 걸었던 사례였다.


개인정보 유출 피해를 방지하는 방법

범죄자는 아주 작은 규모의 개인 정보로도 이익을 얻는다. 일반적으로 사용자는 출생정보나 생활기록부에서 확인할 수 있는 정보를 은행 계정 보호에 사용하기 때문이다. 레이놀트는 “범죄자는 집 주소 하나만 있으면 부동산 웹사이트에서 집 사진이나 평면도를 얻을 수 있다. 그리고 거주자의 관심사를 알게 되면 자산 역시 가시화할 수 있다”라고 설명했다. 

데이터 중개업체가 지니고 있는 정보를 제거하는 것은 거의 불가능하다. 레이놀트는 “미국에는 관련된 국가법이 없어 주 정부마다 제거 방법이 다르다. 1,200여 개에 달하는 중개업체에 일일이 제거해달라고 요청하는 수밖에 없다”라고 말했다.

일부 데이터 중개업체는 제거 요청 절차를 번거롭게 만들기도 한다. 수기로 작성한 제거 요청서나 업체의 데이터베이스에 없는 정보를 요구하는 경우도 있다. 제거 요청을 위해 수집한 정보는 다시 누군가에게 판매될 수 있는 데이터가 된다.

개인 정보를 보호하는 것은 그 어느 때보다도 중요한 문제다. 코로나19 팬데믹 이후 미국 내 실업 보험 사기가 4,000% 증가했으며 미국 인구의 절반 가까이는 신원 도용 피해를 입었다. 여성 6명 가운데 1명이 스토킹을 당할 것이라는 조사 결과도 있었다.

레이놀트는 “지금은 낯선 사람이 개인적인 사진과 게시물, 친구에 접근할 수 있는 시대”라고 강조했다. 이런 이유로 허쉬 같은 프라이버시 보호 업체가 등장하기도 했다. 프라이버시 보호 업체는 데이터 브로커가 정보 수집에 활용하는 것과 같은 도구로 정보를 파헤치고 사용자의 상세 정보를 제거한다. 

개인 정보를 보호하고 피해를 줄이는 가장 확실한 방법은 소셜 네트워크 계정을 비공개로 전환해 개인 정보를 최대한 덜 노출하는 것이다. 데이터 중개업을 제재할 법률을 제정하고 시행하는 것은 다른 문제다. 어디까지나 사용자 프라이버시를 가장 잘 보호할 수 있는 것은 법률이나 프라이버시 보호 업체가 아닌 자기 자신이기 때문이다. editor@itworld.co.kr


X