[스크랩] 나의 개인정보, 공공의 정보가 되기까지

나의 개인정보, 공공의 정보가 되기까지
안철수연구소 | 2010-03-25
얼마 전 인기 그룹 멤버들의 개인 정보 및 사생활이 인터넷에 공개되어 사회적인 이슈가 되었으며 급기야 경찰에 수사를 의뢰하는 상황에까지 이르렀다. 이는 인터넷상에 노출되어 있는 각종 정보들을 다양한 방법을 통해 수집된 정보들을 재가공해서 인터넷상에 공개했기 때문이다. 하지만 과거 개똥녀, 루저녀와 같은 사건을 보면 그 대상이 유명 연예인에 국한되지 않고 일반인 역시 포함된다는 것을 알 수 있다. 다시 말하면 누구나 다 이런 개인정보 및 사생활 노출의 대상이 될 수 있음을 의미한다. 또한 이렇게 개인정보가 외부에 공개적으로 노출 되었을 경우 여러 다양한 방법을 통해 정신적, 물질적 피해를 입어 정상적인 사회생활이 곤란해질 수도 있다. 개인정보의 수집 경로 그렇다면 어떤 방법을 통해 나의 개인 정보들이 검색되고 수집되는 것일까? “아니 땐 굴뚝에 연기나랴?”는 옛말이 있다. 대부분 인터넷상에 노출되어 있는 개인 정보는 본인이 직접 입력한 경우가 많다. 물론 본인이 직접 입력하지 않아도 노출되는 사례 역시 존재한다.   먼저 본인이 입력한 개인 정보엔 어떤 것들이 있는지 살펴보자.   - 개인 홈페이지와 검색 엔진에 저장된 데이터 현재는 그 사용자가 많이 줄었지만 과거 몇 년간 개인 홈페이지가 유행했었다. 이 시기의 개인 홈페이지는 대부분 자신을 홍보하기 위한 수단으로 주로 사용되었다. 따라서 대부분의 개인 홈페이지들은 프로필이라는 항목을 가지고 있었는데 여기에 보면 그 홈페이지 주인에 대한 자세한 정보가 기록되어 있다. 또한 현재는 해당 홈페이지 서버가 없어져 운영을 하지 않더라도 검색 엔진에서 해당 데이터의 사본을 저장해 두는 경우가 있어 대략적인 프로필 확인이 가능하다. 심지어는 주소 및 연락처까지 공개되어 있는 경우도 있다.   참고로 필자가 1997~1999년도에 운영했던 개인 홈페이지의 경우 필자의 아이디를 이용해 검색했을 경우 지금도 그때 당시의 홈페이지 주소 및 당시 제작 및 배포했던 프로그램의 성격에 대해 대략적으로 알 수 있었다.   - 카페 게시물 인터넷 카페의 경우 나와 비슷한 취미나 목적을 가진 사람들을 손쉽게 만나고 의견을 교환할 수 있는 장이다. 대부분 서비스 업체의 노력으로 인해 검색 엔진에서 쉽게 검색되지는 않지만, 사용자가 작성시 무심코 검색엔진의 검색을 허용한 상태라면 인터넷에서 쉽게 검색될 수 있다. 또한 카페 회원끼리만 볼 수 있다는 점을 믿고 편하게 작성한 글 역시 다른 카페 회원에 의해 쉽게 복사되어 다른 곳에 게시될 수 있다. 특히 학교 연구실이나 동기회의 모임 장소로 자주 사용되는데 여기에 보면 회원 명부나 연락처가 게재되어 있는 경우가 많다. 학번, 이름, 연락처, 직장 등이 매우 상세히 기록되어 있어 외부에 노출 되었을 경우 직접적인 피해를 당할 수 있다.   - 댓글 특정 게시물에 자신의 의견을 가장 손쉽게 작성할 수 있는 방법이다. 하지만, 작성시 아이디와 작성한 컴퓨터의 인터넷 주소(IP Address)가 기록되므로 다른 게시물등과 연계해 검색 시 충분히 개인 정보로 활용될 소지가 높다. 디지털 포렌식(Digital Forensics)에서도 이러한 정보들이 수집된 각종 정보들을 묶어주는 중요한 연결 고리가 될 수 있다.   - 블로그(Blog)와 마이크로 블로그(Micro Blog) 블로그 역시 최근 유행하는 매체로 자신의 생각을 불특정 다수의 사용자들에게 전달할 수 있는 가장 효과적인 수단이다. 특히 최근 유행하고 있는 마이크로 블로그(짧게 한줄로 자신의 생각이나 의견을 남길 수 있으며 해당 글에 댓글 등을 달 수 있다. Twitter, Me2Day등이 대표적 서비스이다)의 경우 PC는 물론이고 스마트폰(Smart Phone)을 사용하여 언제 어디서든 손쉽게 접속해 글을 작성하고 또 다른 사람의 글을 확인하며, 의견 또한 전달할 수 있다. 그만큼 개인의 일상이 그대로 노출될 가능성이 높다. 마이크로 블로그의 한줄 한줄을 모아보면 그 글을 쓴 사용자에 대해 보다 손쉽게 파악할 수 있다. 또한 기본적으로 외부의 검색을 허용하고 있으며 RSS(Really Simple Syndication)등을 지원하고 있다. 그리고 공개되어 있는 API를 사용하여 다양한 응용 서비스를 만들어 낼 수 있으므로 사용자의 정보를 보다 손쉽게 가공할 수 있다.   퍼즐조각 맞추기 이러한 개인 정보 및 사생활 정보들은 개별적으로 놓고 보면 단편적이며 노출이 된다 하더라도 조각 퍼즐의 한 조각 처럼 큰 문제가 생기지 않는다. 하지만 이런 정보들을 특정인이 자주 사용하는 아이디, 닉네임, 이메일, 그리고 과거 글을 작성할 때 사용했던 인터넷 주소 등등 다양한 키워드를 주제로 잡고 수집한 뒤 가공하면 마치 조각 퍼즐이 맞춰져 하나의 완성된 그림이 만들어지듯, 개인 정보와 사생활 정보 역시 조각 조각 흩어진 정보들이 하나로 뭉치면 특정 사람에게 직/간접적으로 피해를 줄 수 있을 만큼 선명한 그림이 만들어질 수 있다.   그림 1 개인의 특정 키워드로 의미 있게 조합되는 개인 정보와 사생활 정보   이렇게 만들어진 개인 정보 및 사생활 정보는 단편적인 정보들의 조합으로 특정 사실을 과도하게부풀리거나 왜곡된 정보를 만들어낼 수 있으며 중요 연락처와 같이 민감한 개인 정보가 알려졌을 경우 직접적으로 지탄 및 공격의 대상이 되기도 한다.   나도 모르게 떠도는 나의 정보, 범죄에 악용될 수도 하지만 본인의 의지와는 상관 없이 다른 곳에서 입력된 정보들로 인해 개인 정보가 노출되는 사례도 종종 발견되고 있다. 대표적인 사례로는 보안에 대해 충분히 주의를 기울이지 않은 인터넷 서비스 운영업체에 의한 것이 있다. 홈페이지 접속 시 존재하지 않는 페이지에 접속될 때가 있는데 이때 에러 메시지 대신 해당 서버의 디렉토리에 존재하는 파일 목록을 보여주는 경우가 있다. 이 경우 해당 서버의 파일 중 데이터가 저장된 폴더로 이동해서 그곳에서 관리하는 다양한 데이터 파일에 직접 접근이 가능하게 된다. 또는 엑셀과 같은 데이터 파일 자체가 검색되기도 하는데 인터넷 검색 엔진을 통해 간단한 검색 키워드만 입력하면 수 많은 개인 정보들을 너무나 쉽게 얻을 수 있다. 이렇게 수집된 개인 정보들은 다양한 스팸 문자, 전화는 물론이고 범죄에도 악용할 수 있다.   다음은 실제 특정 검색 엔진에서 2개의 검색 키워드로 찾아낸 개인 정보의 일부분이다. (일부 중요한 개인 정보는 모자이크 처리 했음)   그림 2 인터넷에서 간단하게 검색된 개인 정보들   위의 사례에서 보면 두 개의 키워드로 약 324명의 이름, 집 전화번호, 핸드폰번호, 전자메일, 팩스번호, 우편번호, 집주소, 회사, 직위등을 알 수 있다. 이런식으로 인터넷 검색엔진을 통한 검색만 해도 손쉽게 수 많은 사람들의 중요한 개인 정보를 수집할 수 있다. 이렇게 구체적인 개인 정보들은 당연히 스팸 메일이나 전화 또는 다른 범죄의 대상이 되기 쉽다. 만약 저런 명단들 속에 나의 개인 정보가 있다면? 설마라고 생각할 수도 있지만 상당수 개인 정보들은 이렇게 인터넷의 어딘가에 떠다니고 있다.   개인정보 관리하기 그렇다면 이렇게 개인 정보 유출을 예방하기 위해서는 어떤 방법이 있을까?   첫째, 인터넷상에 게시물을 작성할 때 개인 정보는 가급적 기입하지 않는 것이 바람직하다. 단편적인 개인 정보라 괜찮다고 생각할지 모르지만 특정 키워드로 하나 하나 검색하다 보면 어느새 충분히 활용 가능할만큼 모일 수 있기 때문이다. 이는 블로그 또는 마이크로블로그에 글을 작성할 때도 중요한 사항이다. 만약 어쩔 수 없이 개인 정보를 적어야 한다면 자동으로 검색하기 어렵도록 기입하는 것이 바람직하다. 예를 들어 이메일의 경우 “abcd@efghi.com” 으로 기입하는 대신, “abcd 엣 efghi 쩜 com” 등 사람이 해석해야 알아볼 수 있는 형태로 기입하면 어느 정도 도움이 된다. 전화번호 역시 마찬가지이다. 그리고 이렇게 적은 개인 정보들은 그 목적이 달성 되었을 경우 가급적 삭제하는 것이 좋다.   둘째, 게시물 작성시 검색 허용 여부를 꼭 확인해야 한다. 자신이 적은 글 중 개인 정보가 조금이라도 포함되어 있다면 인터넷 검색을 허용하지 않도록 설정해야 한다. 대다수 인터넷 서비스들은 글 작성시 인터넷 검색 허용 여부를 체크하게 되어 있으므로 이를 확인 후 저장해야 한다.   셋째, 신뢰하는 사이트와 그렇지 않은 사이트를 잘 판단하고 아이디, 비밀번호 또는 닉네임을 구분해 관리할 필요가 있다. 아무리 보안에 신경을 잘 쓴다고 해도 상대적으로 보안에 취약한 사이트의 개인 정보가 유출되었을 경우 이는 보안이 잘 되어 있는 사이트의 개인 정보 역시 유출될 수 있기 때문이다.   넷째, 개인 컴퓨터의 보안 업데이트를 충실히 수행하고 신뢰할만한 컴퓨터 보안 업체의 보안 제품을 사용하는 것이 좋다. 개인 정보 유출의 시작점이 나 자신이 되는 것을 막기 위함이다. 또한 보안 제품의 경우 한번 설치 했다고 해서 끝이 아니다. 자동 업데이트를 통해 수시로 최신 버전의 엔진을 사용해야 하며 예방을 위해선 실시간 감시를 꼭 사용 해야 한다.   보안 담당자의 지속적 관리는 필수 그리고 인터넷 서비스등을 통해 개인 정보를 관리하는 관리자 및 담당자의 경우 자신이 관리하는 개인 정보가 외부에서 검색 가능한지 여부를 지속적으로 모니터링 해야 하며, 시스템적으로 허점이 없는지 점검하고 보완하는 노력이 필요하다.   마지막으로, 최근 발전된 인터넷 인프라와 스마트폰 보급의 활성화로 언제 어디서든 손쉽게 인터넷에 연결해 다양한 정보를 얻을 수 있으며 또 본인 역시 그러한 정보를 만들어 낼 수 있게 되었다. 하지만 쉽고 편리한 만큼 보안에 대한 위협은 더욱 더 높아 졌다고 볼 수 있다. 따라서 인터넷상에 글을 적을 때는 개인 정보의 한 조각 퍼즐이 될 가능성이 없는지 한번 더 생각해 보고 작성해야 한다.   우리가 집 밖에 나갈 때 본인이 문 단속을 확인하듯, 인터넷상의 보안 역시 그 시작점은 본인이며 보안 사고가 발생했을 경우에 가장 피해를 보는 사람 역시 본인이 될 수 밖에 없다는 것을 명심해야 한다.@
| 악성코드 분석가 박시준 안철수연구소에서 악성코드 분석 업무를 담당하고 있으며 “안랩 칼럼니스트”로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음 가짐으로 오늘도 열심히 하루를 살아가려고 노력하고 있다. 보안정보의 저작권은 저자 및 ㈜안철수연구소에 있으므로 무단 도용 및 배포를 금합니다.