보안 / 프라이버시

"개인정보의 무기화" 신상털기의 의미와 이를 예방하는 방법

Josh Fruhlinger | CSO 2020.09.03
일반적으로 사람들은 집 주소, 사회보장번호, 그리고 더 많은 게시물들이 온라인에서 발견될 수 있는데, 이를 통해 누군가가 그들을 위협하고 모욕하거나 괴롭힌다. 이런 행위, 신상털기에 대해 알아야 할 것을 설명한다. 
 
ⓒ Getty Images Bank

 
신상털기란 무엇인가 

신상털기(Doxing 또는 Doxxing)이란 당사자의 동의 없이 특정 개인에 관한 정보를 노출하는 행위다.

이 단어는 익명성이 신성시되던 1990년대에 온라인 해커들의 세계에서 처음 등장했다. 대부분의 경우, 온라인 사용자의 현실 세계에서의 정체성은 그들의 커뮤니티와 경쟁자에게 알려지지 않았다. 누군가가 다른 사람에게 ‘문서 노출(drop docs)’을 결정했을 때, 그 시점까지 사용자명이나 가명으로만 알려져 있었던 사용자의 법적 성명이 드러나면 해커 간 불화는 더 커질 수 있다.

‘문서(docs)’는 ‘독스(dox)’가 됐고, 결국 ‘노출(drop)’이 떨어져 나가 그 자체가 동사가 됐다. 때때로 ‘x’를 하나 더 추가해 ‘독싱(doxxing)’이라고 쓰이기도 한다.


신상털기의 의미는 어떻게 변해갔는가

그 이후, 신상털기의 의미는 해커라는 한정된 세계를 넘어 확장되어 이제는 단순한 정체성 노출을 넘어 개인정보의 노출을 포괄하고 있다. 이 용어는 여전히 익명 또는 가명 인터넷 게시자의 가면을 벗기는 것을 묘사하는 데 쓰이지만, 우리 대부분이 실명을 단 소셜 미디어 계정에서 활동하는 시대에는 덜 중요해졌다.

신상털기의 정보는 목표대상의 집 주소, 고용주, 사회보장번호, 개인적 편지, 범죄 이력이나 다른 방법으로 당황하게 만드는 개인적인 세부사항들을 포함한다. 신상털기를 하는 사람들은 그들의 목표대상과의 갈등을 인터넷에서 현실세계로 옮길 수 있는 정보를 공개하는 것을 목표로 한다. 피해자를 위협하거나, 창피를 주거나, 실직하게 만들거나, 관계를 끊게 하거나, 대상을 직접 괴롭히거나 폭행하는 등 목표가 다양하다. 


신상털기는 불법인가?

누군가가 자신의 집 주소를 인터넷에 올려 모든 이가 볼 수 있다는 것은 대부분의 사람에게 상당히 두려운 일이며, 이것이 불법이라고 생각할지도 모른다. 그러나 신상털기의 합법성은 사례마다 다를 수 있으며, 정확히 어떤 정보가 공개되고 해당 정보를 어떻게 입수했느냐에 따라 달라진다.

리브스 법률 그룹(Reeves Law Group)은 어떤 형태의 신상털기가 합법적인지, 그리고 미국에 없는 것은 무엇인지에 대한 좋은 분석을 했다. 미 연방법은 재판이나 형사 조사에서 배심원, 증인 또는 제보자뿐만 아니라 주 혹은 연방정부의 고용인이나 관리 등 특정 제한된 범주의 사람에 대한 개인정보의 공개를 제한한다(국내 법률은 신상털기에 대해 정통망법상의 명예훼손, 모욕죄 등으로 제한하고 있지만 신상털기를 통해 얻은 개인정보를 단순히 불특정 다수에게 유포하는 행위에 대한 처벌 조항이 없다. 하지만 상황에 따라 판례의 결과는 상당히 다르다. 편집자 주). 

만약 이런 신상털기가 괴롭힘의 일부로 행해졌다면, 피해자들은 법률에 근거해 고발하거나 피해에 대해 민사 소송을 제기할 수 있을 것이다. 물론 고발이나 민사 소송이 가능하려면 피해자가 신상유포자(doxers)의 실제 정체성을 알아내야 하는데, 역설적이게도 상당히 어려운 경우가 많다(국내에서는 신상유포자의 정체성을 확보하는 것은 그리 어렵지 않다. 다만 범죄를 입증하는 증거 확보나 고소, 고발에 대한 절차가 번거롭다. 편집자 주).

마지막으로, 신상털기 프로세스의 합법성은 노출된 개인정보가 처음에 신상유포자에 의해 어떻게 발견되었는지에 따라 일부 결정된다. 많은 경우에, 신상유포자들은 운영 보안(OPSEC)의 실패를 이용해 그들의 목표대상이 공공연히 인터넷에 올린 정보나 소셜 미디어에서 힌트를 얻을 수 있는 정보의 조각들을 결합할 수 있다. 

모으는 정보가 무엇인지, 그리고 어디에서 이런 정보를 찾을 수 있는지에 대한 세부적인 사항들을 살펴보겠지만, 이런 정보를 수집하거나 이를 통해 사람들의 관심을 끌어내는 행위를 침해라고 생각할 수 있겠지만, 불법은 아니다. 하지만 신상유포자들이 결국 무엇을 하든지 데이터를 수집하기 위해 사용하는 방법에는 불법적인 요소가 있다는 것을 알게 될 것이다.


신상털기는 어떻게 이뤄지는가?

신상을 터는 사람들은 개인 데이터를 어떻게 탐지하는가? 그럼, 합법적인 방법부터 시작해보자.

우선, 만약 신상유포자가 목표대상의 법적 이름을 안다면, 목표대상에 대한 많은 정보는 공공 기록인데, 이는 대상의 유권자 등록, 재산 기록, 결혼과 이혼 기록, 머그샷(범죄인 사진) 등이다. 이런 세부사항들이 반드시 구글 검색으로 빠르게 얻을 수 있는 것은 아니지만, 정부기관으로부터 충분히 쉽게 얻을 수 있으며, 저렴하거나 무료인 경우가 많다.

또한 목표대상이 특정 인터넷 도메인과 연관되어 있는 경우, 신상유포자는 목표대상의 이름, 주소 및 전화번호를 파악하기 위해 후이즈(whois) 기록을 사용할 수 있다. 많은 도메인 소유자는 해당 기록을 비공개로 설정할 수 있다는 것을 알지 못한다. 그리고 만약 포럼이나 온라인 커뮤니티에 글을 올린다면, 사이트 관리자들은 대중들이 볼 수 없는 정보에 접근할 수 있다.

신상유포자들은 온라인 가명을 실제 사람과 연결짓기 위해 다른 기술을 사용할 수 있다. 예를 들어, 많은 사람이 여러 사이트나 온라인 커뮤니티에 걸쳐 동일하거나 유사한 가명을 사용하기 때문에, 다른 맥락에서 드러난 개인 데이터의 부스러기는 그들이 인식할 수 있는 것보다 특정 개인에 관한 더 완전한 그림을 만들기 위해 결합할 수 있다. 

OPSEC 기법은 또한 온라인 가명이 특정 실제 인물과 연결되어 있을 수 있다는 의혹을 확인하는 데 사용될 수 있다(이것의 대표 사례에 대해서는 언론인 애슐리 파인버그가 제임스 코미 전 FBI 국장과 미트 롬니 미 상원의원의 트위터 계정에서 어떻게 단서를 알아냈는지 확인할 수 있다). 

목표대상을 겨냥하는 또 다른 방법은 파일 메타데이터이다. 마이크로소프트 오피스 파일에는 파일을 만든 사용자에 대한 정보가 포함되어 있다. 물론, 보통 온라인에 워드 파일을 게시하지 않을 수도 있지만, 사진은 어떠한가? 사진에는 EXIF 데이터가 내장되어 있으며, 이 데이터에는 사진을 찍은 정확한 지리적 위치가 포함되는데, 즉 집에서 사진을 많이 찍기 때문에 누군가가 어디에 사는지 알아내는 빠른 방법이 될 수 있다.

그러나 신상유포자들은 그들의 목표대상에 대한 정보를 추적하는 데 반드시 합법적인 방법에 국한하지 않는다. 그리고 실제로 더 사악한 방법들은 많은 노력이 필요하지 않다. 

목표대상에 대한 개인정보를 찾고 무기화하는 가장 빠른 경로는 단순하게 개인정보를 구입하는 것이다. 의심쩍기는 하지만 합법적으로 구입하거나 그동안 크고 작은 기업들이 당한 수많은 데이터 유출에서 파생된 다크웹에서 돌아다니는 데이터베이스를 구입할 수도 있다. 

만약 신상유포자가 목표대상의 이름, 이메일 주소 또는 소셜 미디어 가명을 이 데이터베이스 가운데 하나에 있는 기록과 연결할 수 있다면, 이들은 공개적으로 게시될 수 있는 풍부한 정보를 얻을 수 있다. 심지어 어딘가에는 유료로 해주는 신상털기 서비스도 있다. 

IP 로깅(IP logging)이나 패킷 스니핑(packet sniffing)과 같은 다른 기술은 계정 해킹을 목적으로 하는 공격과 더 자주 연관될 수 있지만, 물론 해킹된 계정은 이름, 주소, 사회보장번호 등과 같은 개인 데이터를 제공할 수 있다.

 
5가지 신상털기 사례

누군가가 특정인의 개인정보를 가지고 있다면, 이들은 어떻게 정확히 특정인의 신상을 털 수 있을까? 그리고, 조금만 더 들어가보면, 애초에 이들은 왜 피해자의 삶을 비참하게 만들고 싶어할까? 더 많은 것을 알기 위해 세상의 이목을 끈 몇몇 실제 사건들을 살펴보자.

- 댓글 올리는 사이트에서 신상이 털린 경우. 2013년 템플대(Temple University) 언론학과 교수는 네이만 저널리즘 랩(Neiman Journalism Lab) 홈페이지에 조직의 좌파 편향성을 비판하는 댓글을 남겼다. 디스쿠스(Disqus) 논평 플러그인을 사용해 이 사이트에 댓글을 달았고, 누구든지 이 교수의 ‘truthseeker’라는 사용자 이름을 클릭해 이슬람 교도들을 경멸하는 우익 사이트들을 포함한 다른 사이트에 대한 그녀의 댓글을 볼 수 있었다. 네이만 랩의 이사는 웹사이트 관리자로서 이 교수의 이메일 주소를 볼 수 있었다. 그는 이 주소를 트위터에서 그녀의 신원을 발견하고 이름을 확인하는 데 사용했고, 결국 그녀는 그녀의 고용주와 심각한 문제에 이르렀다. 

- 신상털기에는 윤리가 없음. 2014년, 게이머게이트(Gamergate) 운동은 비윤리적인 게임 저널리즘에 대한 십자군원정을 주장했지만, 비전통적인 게임에서 일하거나 페미니스트 테마를 논의한 여성 게임 개발자에 대한 특별한 증오를 가지고 있는 것처럼 보였다. 개발자 가운데 한명인 브리아나 우는 안티게이머게이트 밈(memes)을 올렸다. 포챈(4chan)에 있는 게이머게이트 지지자들은 그녀의 집 주소와 전화번호를 재빨리 찾아냈고, 살해 위협을 가하기 시작했다.

- 언론인들이 신상털기 할 때. 폴리티코(Politico) 편집장 마이클 허쉬는 워싱턴 D.C.에서 백인 민족주의자 리처드 스펜서의 연설문을 공개적으로 페이스북과 트위터에 올렸다. 워싱턴 D.C 소재 뉴스 및 의견 웹사이트인 데일리 콜러(Daily Caller)가 이 게시물에 관심을 가지면서 허쉬는 사임했고 폴리티코는 이 게시물을 ‘수용할 수 있는 담론의 한계를 벗어났다’라고 논평했다.

- 스와팅(Swatting)에 의한 신상털기. 특히 악의적인 형태의 신상털기 가운데 하나는 스와팅인데, 이 과정에서 피해자의 위치가 발견되면 현지 경찰에 인질극 현장으로 허위 신고해 중무장한 스왓(SWAT) 팀이 피해자 집 문을 부수게 만드는 것이다. 이는 게임 라이브스트림 중 장난으로 하는 빈번한 형태의 신상털기다. 피해자인 스트리머 조던 매튜슨은 스와팅을 하는 사람이 얻는 이점은 사건이 일어나는 것을 볼 수 있다는 것이라고 말했다.

- 신상털기의 착오. 신상털기는 피해자가 정말로 신상유포자가 신상을 유포하고자 하는 사람일 때 충분히 무섭고 혼란스럽다. 하지만 때때로 신상유포자들은 엉뚱한 남자(또는 여자)를 잡기도 한다. 예를 들어, 2013년 보스턴 마라톤 폭탄 테러범들의 정체를 알아내려고 했던 레딧(Reddit)의 아마추어 탐정들은 범인을 잘못 특정했고, 이 실종된 젊은이는 결국 자살한 채 발견되었다. 마찬가지로 2017년 유나이트 더 라이트(Unite the Right) 집회에서 성화를 휘두르며 행진하는 사람들의 사진을 보고있던 온라인 형사들은 한 특정인을 아칸소 대학교수로 오인했다.


신상털기를 예방하는 법

그러면 어떻게 신상털기의 피해자가 되는 걸 막을 수 있을까? 안타깝게도, 특히 개인정보가 공공 기록의 일부일 경우, 이 정보를 인터넷에서 완전히 제거하는 것은 불가능하다. 그래도 공격면을 줄일 수 있는 몇 가지 팁은 있다.

- 데이터를 가까이 두도록 한다. 자신에 대한 데이터가 많이 있더라도 상당수 통제할 수 있다.
 
  • 가능하면 식별 정보를 게시하지 않도록 한다
  • 소셜 미디어 설정을 가장 개인적인 수준으로 유지하고 모르는 사람의 친구 요청을 수락하지 않는다
  • 개인정보가 해당 파일에 포함되지 않도록 사무실 및 스마트폰의 사진 앱 설정을 변경한다
  • 실제 이름에 연결할 수 없는 계정을 등록하는 데 ‘임시’ 이메일 주소를 사용한다
  • 후이즈 기록이나 소유한 도메인을 비공개로 설정한다
  • 구글에 개인에 대해 사적으로 이용가능한 정보를 제거해달라고 요구하고 데이터 브로커 사이트에도 동일한 요구를 한다

- 안전한 인터넷 사용을 실천한다. 이런 단계는 어떠한 경우에도 인터넷 위생에도 도움이 되고, 잠재적 신상유포자에게 개인정보가 노출될 수 있는 사고도 예방할 수 있다.
 
  • 특히 안전하지 않은 퍼블릭 와이파이 네트워크를 사용하는 경우 VPN을 사용한다
  • 암호화가 내장된 보안 이메일 시스템으로 전환한다
  • 다양한 사용자명과 비밀번호를 사용한다

- 스스로의 신상을 털어 본다. 신상털기를 막는 가장 좋은 방법은 신상유포자처럼 생각하는 것이다. 뉴욕 타임스는 자신이 얼마나 취약한지를 이해할 수 있도록 스스로 신상을 털어보는 일을 시작할 수 있는 좋은 안내서를 가지고 있다. 조금이라도 공인이거나 온라인에서 논란이 될 소지가 있는 곳에 종사하고 있다면 신상털기의 가능성이 있기 때문에 대비가 필요하다.


신상털기를 신고하는 법 

앞서 언급했듯이, 신상유포자들에 대해 법적인 구제를 받는 것은 어려울 수 있다. 종종 그들이 어떤 법을 어기고 있는지 분명하지 않고, 특히 신상유포자는 피해자의 정보를 노출시키더라도 그들의 정체성을 감추기 위한 조치를 취한다. 법률 관련 업체 놀로(Nolo)는 피해자가 할 수 있는 한 가장 강력한 사건으로 만들기 위해 함께 작성해야 할 문서의 종류에 대한 좋은 가이드를 가지고 있다.

소셜 미디어에서는 많은 신상털기가 발생하고 있으며, 그런 면에서 좋은 소식이 있다. 신상털기가 합법적일지라도 대부분 플랫폼의 서비스 조건을 위반한다는 점이다. 개인정보가 포함된 트윗이나 페이스북 게시물을 신고하는 것은 일반적으로 게시물을 신속하게 제거하고 기분나쁜 신상유포자의 계정을 정지시킬 것이다. 불행히도, 만약 합동 공격의 대상이 된다면, 신상유포자들이 여러 계정을 넘나들며 계속해서 괴롭히는 것이 어려운 일이 아니다.

EFF의 에바 갤퍼린은 신상털기 공격에 대처하는 방법에 대해 몇 가지 조언을 제공했다. 슬프게도, 많은 경우에 피해자가 할 수 있는 최선의 방법은 계정을 잠그는 것이다. 

갤퍼린은 "이를 위해 얼마나 많은 정신적 대역폭을 가지고 있는지 스스로 평가해보길 바란다. 어쩌면 이 상황을 지켜볼 필요 없이 다른 사람을 임명할 수도 있다. 다른 사람이 이런 위협에 대처하고, 그들을 추적해 플랫폼에 신고하는 모든 감정 노동을 대신하도록 할 수 있다. 왜냐하면 이 일은 정말로, 정신적으로 힘들 수 있기 때문이다. 혼자 할 필요는 없다. 지원 네트워크를 활용하라”라고 조언했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.