Home > 전체기사

나의 전화번호를 수집하는 PUP 프로그램 바로 알기

  |  입력 : 2022-11-22 10:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
전화번호 수집 가능한 PUP 프로그램 통해 확인 가능...숫자와 문자 혼합해도 추출
카페, 블로그 등 사용시 번호 직접 노출 금지...번호 무단 수집 시 처벌 가능해


[보안뉴스 김영명 기자] 회원수 1,900만여명을 보유한 네이버 카페인 ‘중고나라’는 국내의 대표적인 중고물품을 직거래할 수 있는 카페다. 이곳에서는 카페 회원들이 다양한 종류의 중고물품을 사거나 판매할 수 있다. 이곳에서는 판매자가 자신이 팔고자 하는 물품의 정보와 함께 휴대폰 번호를 올리면, 사려고 하는 사람이 연락해 거래를 하게 된다. 그래서 이와 같은 중고거래 사이트에서는 개인정보인 전화번호가 노출되는 일이 많다.

▲OOO 중고나라 전화번호 추출 프로그램[이미지=안랩 ASEC 분석팀]


개인정보보호법(법률 제16930호)은 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 하는 법이다. 개인정보보호법에 정의된 개인정보란 ‘개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보’를 뜻한다. 전화번호는 대표적인 개인정보로 볼 수 있다.

안랩 ASEC 분석팀은 개인정보인 전화번호를 수집하는 PUP(Potentially Unwanted Program) 프로그램에 대해 소개했다. 아래는 ‘OOO 중고나라 전화번호 추출 프로그램’이라는 파일명을 갖는 PUP 프로그램이다.

▲중고나라 통합 운영정책 내용 중 일부(좌)와 판매글 예시(우)[이미지=안랩 ASEC 분석팀]


위 이미지의 왼쪽은 ‘중고나라 통합 운영정책(2021.10.20. 개정)’ 중 일부 내용이다. 이 글에 따르면 상품 판매를 위한 게시글 작성 시 연락처 정보 노출 동의를 하지 않은 경우 판매자 정보를 직접 입력하도록 한다.

오른쪽 이미지는 판매글의 예시로 판매자의 안심번호 혹은 진짜 전화번호 등 개인정보가 그대로 노출돼 있다. 구매자는 연락처 보기를 누르면 판매자의 연락처를 확인할 수 있다.

▲PUP 프로그램의 접속 기능[이미지=안랩 ASEC 분석팀]


다음 이미지는 개인정보인 전화번호를 수집하는 PUP 프로그램에서 홈페이지에서 게시글을 읽어오는 부분이다. 접속하는 주소는 모바일 접속 주소를 이용하며 UserAgent 값을 확인할 수 있다. 윈도우 10, x64 환경에서 크롬으로 접속하는 값을 사용한다.

접속해서 받아오는 페이지에 대해 result.saleInfo.phoneNo 값을 확인하며 해당 값이 ‘010-’으로 시작할 때 해당값과 ID를 저장하는 기능이 있다. 해당 값이 없을 때는 result.article.contentHtml 을 읽어온다. 정규식을 사용, 전화번호에 사용하는 숫자와 문자값을 검색해 아이디와 함께 저장한다.

▲PUP 프로그램의 전화번호 검색 기능[이미지=안랩 ASEC 분석팀]


카페의 글을 확인한 결과 전화번호를 본문에 그대로 노출한 경우도 있었고, 문자형태로 노출한 경우도 있었으며, ‘0 1 공 일 2 삼 4 5 육 7 팔’과 같이 숫자와 문자를 혼합한 형태도 존재했다. 전화번호를 수집하는 PUP 프로그램의 기능을 확인했을 때 모두 수집 가능할 것으로 보인다. 따라서 카페에 글을 작성할 때는 전화번호가 직접적으로 노출되지 않는 방법을 사용해야 한다.

안랩 ASEC 분석팀은 ”이와 같은 PUP 프로그램으로 개인정보를 무단으로 수집할 경우 처벌받을 수 있다“며 ”사용자도 인터넷 환경에서 개인정보를 작성해야 하는 경우 노출에 대해 주의해야 한다“고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야