웹사이트에 가입할 때 내는 정보들, 어디로 가는 것일까?

사이트에 가입할 때 우리는 많은 정보를 기입한다. 그리고 의심한다. 내 정보가 어디론가 팔릴 거라고 말이다. 그래서 보안 전문가들이 이를 실제로 확인하기로 했다. 그리고 몇 가지 결과를 얻어내는 데 성공했다.

[보안뉴스 문가용 기자] 새로 발견한 웹사이트에서 회원가입을 진행할 경우, 기입한 정보들은 어디로 갈까? 몇 보안 전문가들이 이를 추적해 보았다. 그리고 그 결과를 이번 주 열리는 블랙햇 USA 2021에서 발표했다. 강의 제목은 ‘개인정보의 활용과 남용(Use and Abuse of Personal Information)’이었다. 버지니아폴리테크 대학과 빌랙스버그 주립대학 연구원들이 연구에 참가했다고 한다.

[이미지 = utoimage]

이를 추적하기로 한 연구원들은 먼저 300개의 가짜 온라인 아이덴티티들을 만들었다. 고유한 주소와 전화번호 등 인적사항을 잘 갖춘 ‘가상의 페르소나’들이었다. 그리고 이것을 가지고 185개의 정상 웹사이트들에 등록했다. 타깃(Target)과 같은 거대 쇼핑몰은 물론 폭스뉴스(Fox News)와 같은 미디어 등 그 종류도 다양했다. 그렇게 가입한 후 이메일과 전화, 문자 메시지 등이 얼마나 들어오는지를 확인했다.

그 결과 들어오는 이메일 메시지와 걸려오는 전화에 대응하는 데에만 적잖은 시간이 사용될 수밖에 없음을 알게 됐다고 한다. 즉 개인 식별 정보를 활용한 ‘시간 낭비 유발’이 꽤나 심각한 수준이라는 것이다. 한 웹사이트에 등록했을 때 ‘낭비되는 시간’은 평균 한 시간 이상인 것으로 나타났는데, 어떤 웹사이트의 경우 20시간이 기록되기도 했다.

어디서 그렇게 연락이 왔을까? 발표를 통해 연구원들은 자동차 보험사, 사회 보장 번호 관련 사기 전화, 무료 호텔 숙박권을 제공한다는 연락 등이었다. 이건 예상 범주 안에 있었다. 하지만 놀라운 점은 “흔히 생각하는 것처럼 입력된 개인 식별 정보를 다른 곳에 판매하는 것보다 기업들이 계속 쥐고 있는 경우가 많았다”는 것이었다고 한다.

오늘 강연에서 연구원들은 “개인 식별 정보를 다른 마케팅 회사 등에 넘기는 경우는 거의 없는 것처럼 보였습니다. 저희가 만든 가짜 계정 300개 중 10개 정도만 타 기업에 판매된 것을 의심해볼 만한 패턴을 보였습니다. 다만 쿠키를 스크랩해가는 경우는 꽤나 많이 발견됐습니다. 특히 트위터와 틱톡이 이 부분에서 높은 적극성을 보여주었습니다.”

한편 가짜 계정을 탐지하는 데 가장 빠르고 정확했던 건 페이스북인 것으로 나타났다. 총 8개의 가짜 계정을 페이스북에 만들었는데, 6개가 거의 즉시 들통 났다고 한다. 나머지 2개도 1주일을 넘기지 못했다. 위챗도 가짜 계정으로 활용하는 게 쉽지 않았는데, 이는 중국 내에서 사용되는 실제 전화번호가 반드시 있어야만 계정 생성이 가능했기 때문이다.

이런 활동을 하면서 연구원들은 가짜 계정을 가지고 가입하는 사이트들의 프라이버시 정책들도 꼼꼼하게 읽고 분석했다. 또한 이 정책을 사이트 운영자들이 실제로 얼마나 잘 지키는지도 관찰했다. 재미있는 건 “프라이버시 정책의 질과, 가입 후 가입자에게 보내는 정보의 양 사이에 아무런 관련이 없다는 것”이었다. 프라이버시를 엄격히 지킨다고 표방하는 기업일수록 추가 연락을 하지 않을 것 같은데, 꼭 그런 것도 아니었다는 의미다.

연구원들은 이런 점을 두고 “법을 잘 아는 정책 담당자와 IT 기술을 담당하는 자들이 전혀 대화를 하고 있지 않다는 뜻”이라고 해석하고 있다. “온라인 서비스를 기획하고, 그와 관련된 수익 구조를 만드는 사람들과 준법 담당자들이 아직은 확연히 분리되어 있다는 건데, 이는 거의 대부분 모든 조직들에서 나타나는 특징이었습니다.”

연구원들은 깃허브를 통해 연구 결과의 데이터셋을 공개(https://github.com/humeESL/Use-and-Abuse-PII)하고 있다. 16436개의 이메일 메시지, 3482개의 전화 통화 로그, 949개의 음성 메시지, 774개의 문자 메시지들이 포함되어 있다. 뿐만 아니라 이들이 사용했던 300개의 가짜 아이덴티티와 171개의 프라이버시 관련 정책 점수표도 저장되어 있다고 한다.

연구원들은 곧 5만~10만 개의 가짜 아이덴티티를 만들어 같은 실험을 진행할 예정이다. 그리고 자동화 기술을 더해 이 가짜 아이덴티티들이 들어오는 메시지들에 자동으로 대응할 수 있도록 할 것이라고 한다. 이번 연구에서는 그런 기능이 전혀 없었고, 그렇기 때문에 가입 후 들어오는 여러 가지 연락들이 빠르게 줄어든 것이라고 보고 있기 때문이다. 계속 응대를 했다면 더 많은 것을 찾아낼 수 있었을 것이라고 그들은 말했다.

또한 대학 내부에서 실험을 진행했다는 것이 실험 결과에 영향을 미쳤을 가능성도 있다고 연구원들은 덧붙였다. 실험 기간 동안 받은 이메일 중 첨부 파일을 가지고 있는 것이 총 1423개였는데 악성 첨부 파일은 단 하나도 없었다고 한다. 알고 보니 대학교 네트워크 보안 시스템이 악성 파일을 자동으로 걸러냈던 것이었다. 이 때문에 다음 실험에서는 이러한 변수도 최대한 차단할 예정이라고 한다. 그 외에 가짜 아이덴티티들과 다크웹의 관련성도 조사할 것이라고 하며 이들은 발표를 마쳤다.

3줄 요약
1. 사이트 가입할 때 제출하는 정보 추적했더니, 의외로 다른 곳에 팔리는 경우는 많지 않음.
2. 하지만 각종 정보와 연락들이 이어지기 때문에 적잖은 시간 낭비가 발생할 수 있음.
3. 가짜 아이덴티티 찾는 데 도가 튼 건 페이스북. 쿠키를 많이 가져가는 건 트위터.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)