SNS의 보안위협 및 대응방안

소셜 네트워크 서비스(Social Network Service, 이하 SNS)는 온라인상 동일한 관심사를 가진 사람들 간의 인적 네트워크 형성을 지원하는 서비스로 우리나라에서도 ‘아이러브스쿨’과 ‘싸이월드’를 비롯하여 많은 서비스들을 접할 수 있다. 이러한 서비스가 최근 해외에서 열풍이 일고 있는데, ‘트위터’와 ‘페이스북’ 등이 대표적이다. ‘트위터’와 ‘페이스북’은 미국에서 시작한 서비스임에도 불구하고 지난해 6월부터 국내에도 폭발적인 서비스 참여가 이루어지면서 높은 성장을 거두고 있다. 하지만 SNS의 인기가 높아지면서 그에대한 보안위협도 증가하고 있다. SNS의 활용과 그 중요성이 점차 확대됨에 따라 발생할 수 있는 SNS 환경에서의 역기능은 어떤 것이 있는지 살펴보고 대응방안을 알아보자.

소셜 네트워크 서비스의 개념

웹2.0 환경에서는 개인이 직접 콘텐츠를 생성하고, 정보를 공유·전파하며, 분류하고 평가하는데 주도적인 역할을 수행한다. 이러한 온라인상 인적네트워크 형성을 도와주는 것이 바로 소셜 네트워크 서비스(SNS)다. SNS는 쉽게 말해 특정 관심사를 가진 이용자 간의 온라인 커뮤니티 공간이라고 보면 된다.

국가별 주요 SNS 사이트

국내에서도 이미 ‘싸이월드’, ‘아이러브스쿨’ 등과 같은 사이트들이 인맥관련 서비스로 성공을 거둔 바 있다. 이러한 인맥관련 서비스의 새로운 형태가 해외를 중심으로 다시 인기를 끌기 시작하면서 국내에서도 또 다시 관심을 받기 시작했다. 국내외에서 대표적인 주요 SNS 사이트를 살펴보면 다음과 같다.

소셜 네트워크 서비스에서의 보안위협

SNS 서비스가 활발하게 이용됨에 따라 이에 따른 보안위협도 더불어 증가되고 있다. 어떠한 서비스라도 성장하게 되면 반드시 그에 따른 역기능이 발생하기 마련인 것이다.

유럽의 정보보호 전문기관인 ENISA는 SNS에서의 주요보안 위협분류를 다음과 같이 제시하고 있다.

1. 프라이버시 위협

최근 정보검색 기술의 발전으로 개인 프로파일을 수집할 수 있다. SNS의 특성상 익명으로 온라인상에서 활동하는 것이 아닌 자신의 소속, 연락처, 취미, 활동내역, 개인사진 등의 모든 정보를 오픈한 상태에서 상호 신뢰성을 가지고 소통하기를 원하기 때문에 이러한 개인 프로파일이 수집되어 개인 프라이버시 침해가 발생할 수 있다. 이러한 정보추적은 쉽게 이루어질 수 있으며 개인 프로파일 정보가 위·변조되어 오남용 될 수 있는 소지가 있다. 또한 이러한 프로파일 수집으로 2차 데이터 수집을 할 수 있는데, 예를 들면 SNS 접속시간, 장소, 이동경로, 개인 송수신 메시지, 개인 사진 등이 악용될 수 있다.

2. 기존 네트워크 위협과 스팸

SNS는 신뢰를 바탕으로 서로 관심사가 동일한 온라인 네트워킹이다 보니 서로의 신뢰감이 상당히 중요한 역할을 한다. 하지만 누가 보냈는지 모를 파일에서 바이러스나 스팸에 노출되어 나 자신은 물론 다른 사람에게 피해를 입힐 수 있다. 필자도 이러한 스팸이나 불투명한 링크를 받게 되면 다시 한번 상대방에게 확인을 한 후에 정보에 접근하지만, 수많은 사람에게 일일이 물어볼 수도 없기에 결국 자신의 관리가 잘 안 되는 사람과는 SNS를 하지 않게 된다.

3. ID 관련 위협

최근 SNS 서비스 중 ‘트위터’와 ‘페이스북’은 해외에서 하는 서비스인 만큼 탈퇴나 계정 폐쇄가 쉽지 않다. 최근 필자도 ‘트위터’에 로그인을 하려고 보니 정상적인 로그인이 되지 않았다. 필자는 일정 시간 내에 비밀번호의 오류 등으로 과도한 로그인 시도를 할 때에는 트위터가 자동으로 잠김이 되게 운영하고 있는데, 누군가 필자 모르게 로그인을 시도하다 트위터가 잠긴 것이다. 다행히 패스워드 리셋을 통하여 메일로 새 비밀번호를 통보받은 후에 재접속에 성공할 수 있었다.

4. 사회적 위협

SNS를 이용하면서 가장 위험한 것은 계정 도용을 통해 사회적 위협에 처할 수 있다는 것이다. 이미 국내에서도 유사한 사례가 있는데, ‘허경영 트위터’나 ‘손담비 트위터’ 등이 이미 가짜로 밝혀진 경우가 있다. 또한, 최근에는 기업이나 조직에서 트위터를 이용하는 경우가 많이 있는데, 소통의 창구로 이용하는 SNS가 원칙과 기준 없이 운영된다면 더 큰 이미지 손실로 이어질 수도 있다.

5. 모바일 SNS의 보안위협 증가

최근 국내에서 많이 사용하고 있는 ‘트위터’의 경우 오픈 API를 사용할 수 있도록 지원하고 있기에 서드파티 애플리케이션을 이용하는 경우가 많다. 이런 경우 실제 웹에서 존재하는 취약점도 있겠지만 서드파티 응용 애플리케이션 취약점을 이용한 보안위협도 증가할 것이다. 특히, 모바일 인터넷과 애플리케이션이 많이 보급되는 상황에서 모바일이 해킹을 당한다면 SNS에도 쉽게 위협을 가할 수 있을 것이다.

SMS 보안위협에 대한 대응방안

1. 개인정보에 대한 검색결과 통제

SNS에서 기본 프로파일이 공개로 설정됐을 경우, 검색 엔진을 통해 해당 프로파일이 검색이 되면서 제한된 데이터까지 공개되어 타인에게 제공될 수 있다. 특히, 구글에서는 아예 SNS의 키워드를 실시간으로 검색해 보여주는 기술도 제공하고 있다. 그만큼 많이 노출될수록 개인 프라이버시 위험은 높아진다고 볼 수 있다. 이러한 개인정보에 대한 부분은 적절한 통제가 있어야 할 것이다.

2. 과도한 SNS 이용자제

서비스 이용을 위해 이곳저곳에서 SNS를 이용하다보면 결국 그 사용자에 대한 현황파악이 쉽게 이루어질 것이다. 따라서 가급적이면 과도한 개인 프라이버시를 노출시키는 행위나 언행들은 자제하는 것이 좋다. 그리고 너무 많은 SNS 이용은 결국 조각내어진 자신의 정보가 결합이 되면 결국 하나의 개인정보가 될 수 있음을 명심해야 한다.

3. SNS 가이드라인 필요

SNS 이용자가 쉽게 이해할 수 있는 가이드라인 및 정보보호 지침을 개발하여 초보 사용자들로 하여금 SNS 서비스 보안위협으로부터 안전하게 사용할 수 있도록 관련 기관에서 대국민 인식제고 및 홍보교육을 시행하는 것이 필요하다. SNS에 대하여 아직 제대로 갖추어진 가이드라인을 볼 수 없기 때문이다. 관련기관에서 가이드와 SNS 사용 시 유의사항 등을 알리는 것도 중요하다.

4. 사이버윤리 교육 강화

온라인 인맥 형성과 소통을 주제로 하는 SNS인 만큼 사이버 상에서 윤리교육과 홍보를 강화하는 것이 중요하다. 이는 SNS뿐만 아니라 사이버 윤리교육의 연장선으로도 반드시 필요한 교육이다.

5. 강력한 사용자 인증 및 접근통제 기능 마련

ID 위·변조 사용자 및 악의적인 목적을 가진 스패머를 통제하고 접속을 차단할 수 있도록 하는 기술적 방법이 필요하다. 실제 ‘트위터’에서는 가입 시 아무런 본인인증 절차가 없기 때문에 마음만 먹으면 누구든지 상대방을 사칭하여 악용할 수 있다. 스스로 패스워드 관리 등 SNS에 대한 주의가 필요하다.

6. 사용자 운영체제와 애플리케이션 최신 업데이트 및 패치

악성코드, 웜 등으로 인한 정보유출 피해를 방지하기 위한 기본적인 업데이트 패치 유지 및 보안 소프트웨어 설치가 필요하다.

마무리 글

웹2.0이 대두된 지 얼마 되지 않아 참여와 공유, 나눔이 이제는 SNS로 발전해 가고 있다. 그만큼 투명성이 강화되면서 신뢰를 쌓은 사람들이 온라인상에서 서로 커뮤니케이션 하고자 하는 것이다. 하지만 과다한 SNS 이용 시 스스로 개인 프라이버시 노출을 하게 되는 건 아닌지 점검이 필요하고, 반드시 자신만의 운영원칙을 세워 그 이상의 한계를 넘지 않도록 하는 것이 중요하다. 이젠 비밀이라는 것은 없다. 누군가 어디에서 일어난 일을 바로 실시간으로 모바일 SNS로 업로드하면 그것은 자신을 알고 있는 소셜 네트워크 인맥을 통하여 삽시간에 퍼져 나간다. 자유롭고 투명한 커뮤니케이션이 악의적인 목적과 자신을 더욱 옥죄는 족쇄로 돌아오지 않도록 각별한 주의가 필요하다.

<글 : 전 주 현 │ 보안인닷컴 운영자(sis@sis.pe.kr), www.twitter.com/boanin>

[월간 시큐리티월드 통권 제157호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)