과장하거나 지어내 공포감을 조장하려는 이야기가 아니다. 지난 수개월 새 인터넷과 스마트폰을 통해 개인 정보를 캐낼 수 있는 새로운 방법이 5가지나 더 발견됐다.
이전에도 개인정보 보안을 위협하는 요소들이 없었던 것은 아니다. 구글이나 페이스북 같은 기업들은 오래 전부터 개인정보를 추적, 수집하고 있었고 사용자의 정보를 노리는 해커들도 여전하다. 하지만 새롭게 이름을 더한 이번 5가지 위협 요소들은 기존에는 생각지도 못했던 방식으로 개인 정보가 유출될 수 있음을 시사한다.
1. 셀카에서 지문을 추출해 낼 수 있다고?
일본 국립정보학연구소 연구팀의 최근 발표에 따르면, 손가락이 찍힌 사진만으로도 지문을 추출해 낼 수 있으며 그렇게 확보된 지문은 생체보안시스템을 뚫는데 활용될 수 있다. 오늘날의 스마트폰 카메라가 워낙 고해상도, 고화질을 자랑하기 때문에 고유의 지문을 구성하는 골과 융기를 얼마든지 복사해 지문인식 시스템을 속이는 데 활용될 수 있다는 설명이다. 이는 특히 사진을 찍을 때 손가락으로 ‘브이’나 ‘피스’ 제스처를 취하는 관습이 있는 일본에서는 큰 문제가 될 수 있다고 연구팀은 지적했다.
물론 이를 회의적으로 바라보는 시선도 없지 않다. 우선 일본의 ‘연구팀’이 제시한 해결책부터가 미심쩍다는 지적이다. 국립정보학연구소 연구팀은 셀카를 찍을 때 특정 패턴이 프린팅된 티타늄옥사이드 필름을 손가락 위에 올려놓고 찍을 것을 해결책으로 제시하고 있다.
실용성에 의문을 품게 하는 다른 조건들도 있다. 셀카에서 지문을 추출하기 위해 요구되는 촬영 조건이 그것이다. 손가락 부위에 초점이 맞아야 하고, 조명 조건이 완벽해야 한다. 또 카메라로부터의 거리가 약 2.7미터 정도여야 하고, 무엇보다 하이엔드 스마트폰으로 찍은 사진이어야 한다. (고성능 폰들은 대부분 인물 얼굴에 초점을 맞추는 기능을 내장하고 있다.)
그러나 지문 추출은 실제로 매우 심각하고 현실적인 문제일 수 있다. 우선, 사진을 통해 지문을 추출해내는 일이 어렵지 않다. 이미 충분히 알려진 사실이다. 2년 전, 얀 크라이슬러(Jan Krissler)라는 이름의 한 독일인이 독일 국방부장관 우르줄라 폰 데어 라이엔의 사진에서 지문을 추출해 그녀의 손가락을 3D 모형으로 만든 후 그것으로 스마트폰 잠금을 해제할 수 있음을 입증한 바 있다.
둘째, 이런 일을 하는 데 필요한 추가적인 연구나 테크놀로지 같은 것도 없다. 누구나 마음만 먹으면 가능하다.
셋째로, 지문은 태어날 때 결정된 모양대로 평생 동안 유지된다. 따라서 임의로 변경이 가능한 비밀번호 유출과는 차원이 다른 문제다.
넷째로, 스마트폰 카메라 성능이 계속해서 좋아지고 있다. 머지 않아 대부분의 스마트폰에 아이폰 7이나 갤럭시 S7과 비슷한 성능의 카메라가 탑재될 것이다.
마지막으로, 해커들은 특정 인물을 노리기보다는 온라인에 업로드된 사진들을 무작위로 노리고 그것을 시작점으로 삼을 가능성이 크다. 특정 인물을 지정해 지문을 추출하려면, 그 사람의 손가락이 찍힌 고화질 사진을 찾아야 하기 때문에 시간이 오래 걸린다. 하지만 구글 이미지 검색을 통해 고화질의 손가락 사진을 검색한다면 아마도 수백, 수천 명의 지문을 어려움 없이 추출해 낼 수 있을 것이다.
시험 삼아 필자의 구글 포토 계정을 쭉 살펴보았는데 지문 정보가 유출되기 적합해 보이는 사진이 적지 않았다. 만일 이 사진들을 공개된 곳에 올렸다면, 그리고 마침 그 사진이 악의를 가진 이의 눈에 띄었다면, 얼마든지 내 지문을 재구성해 낼 수 있었을 것이다.
필자의 구글 포토 계정에서 찾아냈다. 지문 정보를 뽑아낼 만한 사진이 생각보다 흔했다.
2. 온라인 논쟁에서 ‘협박 수단’으로 이용되는 개인정보
그렇지 않아도 각종 정치적 이슈들로 날카로운 말들이 빗발치듯 오가는 요즘이다. 악에 받친 독설들이 소셜 공간을 지배하고 있다. 온라인 상에서 정치를 주제로 말싸움이 일어나는 건 어제오늘 일이 아니지만, 요즘은 특히 상대방의 개인정보를 캐내는 ‘신상 털기’가 유행이다.
전화번호나 집 주소 같은 것은 온라인으로도 비교적 어렵지 않게 찾아낼 수 있어 이를 이용해 말싸움 상대방을 괴롭히기도 매우 쉽다. 심기가 불편해진 한 사람이 마음먹고 개인 정보를 캐내어 이를 유포하면 당사자는 수백 명의 사람으로부터 살해 협박을 받기도 한다. 당사자의 주소지에 테러나 폭발 위험 요소가 있다고 신고해 경찰과 SWAT 팀이 출동하게 만드는 경우도 있다.
온라인 커뮤니티 ‘레딧(Reddit)’에서는 이 문제가 너무 통제할 수 없을 정도로 심각해지자 아예 극약 처방으로 서브레딧 r/altright과 r/alternativeright을 폐쇄하기도 했다. 답답한 일이지만, 온라인 상에서 개인 정보를 캐내기란 생각보다 훨씬 쉬운 일이다. 이를테면 다음에 설명하면 가계도 웹사이트가 개인 정보 출처 중 하나다.
3. 가계도 웹사이트를 통해 확산되는 개인정보
개인 가계도 웹사이트나 인물 검색 웹사이트는 수 년 전부터 존재해왔다. 이런 사이트들의 비즈니스 모델은 우선 약간의 정보를 공개한 후, 더 많은 정보를 원하는 이들이 유료 결제해 전체 정보를 볼 수 있게 하는 것이다. 하지만 최근 깜짝 놀랄만한 소식이 두 가지 있었다.
하나는 패밀리 트리 나우(Family Tree Now)라는 개인정보 웹사이트의 등장이다. 이 사이트는 기존 개인정보 웹사이트들이 유료로만 제공하던 정보를 완전히 다 공개해버렸다. 지난달 한 여성이 이 웹사이트에 대한 트윗을 올리면서 이와 관련된 우려의 목소리가 높아지고 있다. 단순히 이름과 그 사람이 사는 주(州)만 입력하면 그 사람의 가계 내에 있는 다른 인물들의 이름과 나이, 심지어 현재 및 과거 거주지 주소까지도 알려주기 때문이다.
두 번째는 일부 ‘인물 검색’ 웹사이트가 소셜 엔지니어링을 ‘이용해’ 유저들의 개인 정보 유출을 유도하고 있다는 것이다. 예를 들어 트루스파인더(TruthFinder)라는 웹사이트는 사용자를 상대로 더 정확한 데이터를 제공하는 데 활용된다는 명목 하에 개인정보(자신 혹은 타인의)를 요구한다.
몇몇 ‘인물찾기’ 웹사이트는 특정 개인에 대해 놀라울 정도로 상세한 정보를 제공한다. 이를 위해 사용자들로부터 각종 정보를 취득해내는 절차를 갖추고 있다.
4. 모바일 앱이 원격 서버로 송신하는 개인 정보
중국에서 만든 아이폰 셀카 보정 어플 ‘메이투(Meitu)’는 사진 속 얼굴 피부를 하얗고 밝게 만들고, 눈 크기를 키운 후 여러 가지 시각적 효과를 줌으로써 초현실적인 만화 캐릭터 같은 얼굴로 바꿔주는 앱이다.
이 앱은 그 성능이 매우 뛰어나 2주 전 폭발적인 이용자 수 증가를 기록했다. 마치 순정만화 속 주인공 얼굴처럼 외모를 바꿔줬기 때문이다.
그러나 이 앱이 사용자의 위치 정보, 이동통신사 및 IP 주소, 그리고 안드로이드 사용자의 경우 IMEI 번호까지 모두 중국으로 송신한다는 사실이 알려지면서 논란이 되고 있다. 앱 제작사는 성난 사용자들의 항의에 대해 자신들은 데이터를 상업용 목적으로 활용하지 않으며 단지 앱 품질 개선에만 이용하고 있다고 해명했다.
이 사건은 여전히 많은 앱들이 사용자 몰래, 혹은 명시적인 동의 하에 개인정보를 수집하고 있다는 불편한 진실을 다시 한 번 상기시켜 주었다.
그럼 대체 이런 앱들이 어떻게 대처해야 할까? 보안 앱을 따로 깔아야 할까? 하지만 불행하게도, 그것조차도 완벽한 솔루션은 못 된다.
5. 보안 앱마저도 보안 위협으로 작용할 수 있다
온라인 상에서 프라이버시를 지키는 가장 확실한 방법 중 하나는 VPN(virtual private network)를 이용하는 것이다. 이론적으로, VPN을 통하면 공용 인터넷을 마치 사설 네트워크처럼 이용할 수 있다. 온라인 상의 활동을 암호화해 감춰주기 때문이다. 심지어 자신의 ISP로부터도 말이다. 또한 현재 위치도 조작할 수 있어 전혀 다른 도시나 국가에서 인터넷에 접속하고 있다고 속일 수도 있다.
그러나 최근 한 연구에 따르면 안드로이드 앱에서 제공하는 상당수의 VPN 서비스들이 이용자의 프라이버시를 지키는 것이 아니라 오히려 침해하는 데 앞장서고 있다.
호주 사우스웨일즈 대학 연구팀의 연구 결과에 따르면, 안드로이드 VPN의 38%는 맬웨어에 감염된 상태이며 18%는 암호화가 되어있지 않고, 75%가 유저의 활동을 추적하고 있다. 일부 안드로이드 VPN은 앱 제작사에서 쇼핑몰 등으로부터 돈을 받고 사용자의 폰에 자바 스크립트 프로그램을 주입해 해당 쇼핑몰로 온라인 쿼리를 리디렉팅 하는 행위도 서슴지 않았다.
이러한 위협들에 어떻게 대처하면 좋을까?
프라이버시 보호를 위한 일반적 지침들은 이미 몇 번 들어 보았을 것이다. 언제 어디서든 다중 인증 기능을 켜놓을 것. 라스트패스 같은 패스워드 매니저를 활용할 것. 믿을 수 있고 공신력 있는 리뷰어가 추천한 앱만을 다운 받을 것 등등.
하지만 앞서 소개한 새로운 유형의 위협들에 대처하기 위해서는 이 외에도 다음과 같은 추가적인 대비가 필요하다.
우선, ‘Have I Been Pwned?‘라는 웹사이트에 회원 가입을 해둔다. 이 웹사이트는 해킹으로 인해 개인 정보가 온라인에 유출되면 본인에게 그 사실을 알려준다. 해커들은 대개 웹사이트를 해킹한 후 모든 유저 데이터를 다운로드 해 이를 다른 곳에 포스팅 하거나, 다크웹에서 돈을 받고 판매하기 때문이다.
둘째로, 가입은 해놓고 자주 들어가지 않는 웹사이트들을 찾아가 데이터를 삭제하고 회원에서 탈퇴한다.
셋째로, 가짜 정보 기입도 한 가지 방법이 될 수 있다. 웹사이트 가입 시 개인 정보를 넣어야 하면, 가짜 정보를 입력하는 것이다. 이 경우 정보가 해킹 당하거나, 혹 신상 털기의 피해자가 되더라도, 진짜 내 개인정보는 안전할 수 있다.
넷째로, 온라인 상에 업로드 한 사진들 중 손이나 손가락이 자세히 나와 있는 사진이 없는지 확인하고 이것이 악용되지 않도록 미리 대비한다.
다섯째, 인터넷 상에서 극단적인 태도를 취하는 상대와의 논쟁을 피하고, 소위 말하는 ‘어그로’에 휘둘리지 않도록 유의하자.
마지막으로, 패밀리 트리 나우에 가입되어 있는 사람이라면 지금이라도 개인 정보를 지워야 한다.
인터넷은 하루가 머다 하고 개인 정보 및 프라이버시를 침해할 새롭고 기발한 방법들을 고안해 낸다. 하지만 그렇다고 손 놓고 있을 수는 없다. 약간의 호들갑은 독이 아니라 약일지도 모른다.
*Mike Elgan은 기술 및 기술 문화에 대해 저술하는 전문 기고가다. dl-ciokorea@foundryco.com
