대/한/민/국
스타트업을 응원합니다.

스타트업 소식

[에스이웍스] [동아일보]30분만에… 애인 이름 - 동생 학력까지 좍~-SEWORKS




[대한민국 온갖 정보 다 샌다]
[덫에 걸린 신용사회]일반인 12명 신상 직접 추적해보니


백발을 풀어헤친 맨발의 기인(奇人)이 천막 안에 앉아 “다른 사람의 마음을 읽을 수 있다”고 주장한다. 이어서 천막을 찾은 시민들의 직업, 문신 모양, 즐겨 타는 오토바이 색상 등을 척척 맞혀낸다. 초능력이 따로 없다. 이때 장막이 걷히고 컴퓨터 자판을 바쁘게 두드리며 인터넷 검색을 하는 남성 4명이 나타난다. 기인은 이들이 찾아낸 시민들의 신상 정보를 이어폰으로 듣고 읊었던 것. 시민들은 아연실색한다. 벨기에 재무부가 2012년 9월 브뤼셀에서 벌인 개인정보 보호 캠페인 홍보영상의 한 장면이다.

○ 검색만 해도 정보 ‘와르르’

정말 인터넷 검색만으로 ‘초능력’을 방불케 하는 신상 정보를 확보할 수 있을까. 동아일보 취재팀은 고려대 정보보호대학원 디지털포렌식연구센터 이상진 교수팀과 인터넷 보안업체 에스이웍스와 함께 지난달 28일 일반인 12명의 ‘신상 털기’를 시연했다. 연령은 10∼50대로, 직업은 학생 회사원 자영업자 주부 등으로 고루 분포했다. 분석팀은 1차적으로 이들의 이름과 인터넷에서 즐겨 쓰는 ID만 활용했다. 이름과 ID는 2012년 한국인터넷진흥원 조사 당시 누리꾼 3000명 중 과반이 “공개해도 무방하다”고 꼽은 기본적인 개인정보다.

분석팀은 우선 인터넷 커뮤니티 사이트 ‘코글리(cogly.net)’의 복합 검색엔진에 일반인 12명의 ID를 입력했다. 코글리는 구글 네이버 등 검색엔진뿐 아니라 뉴스 댓글, 싸이월드 뒷주소, 게임 ID 등 주요 사이트 95곳을 검색할 수 있는 ‘신상 털기’ 전용 검색엔진이다. 2010년경 이름을 떨쳤다가 폐쇄된 사이트 ‘코글’과 유사하다. 복합 검색 기능을 편리하게 사용할 수 있도록 개발된 소프트웨어 ‘슈퍼신상털기 3.0’도 동원됐다. 인터넷에서 자유롭게 내려받을 수 있는 이 소프트웨어를 이용하면 클릭 몇 차례만으로 주요 사이트 63곳의 정보를 검색할 수 있다.

회사원 정모 씨(29)의 이름과 ID ‘sin30**********’을 구글 검색창에 입력하자 정 씨가 2009년 ○○대 ○○학과 게시판에 해당 ID로 게시한 글이 나타났다. 정 씨는 이 글에 “○○○○ 시험과 관련된 학습자료를 구한다”며 휴대전화 번호 ‘010-28××-××××’를 남겨뒀다. 즐겨 쓰는 대화명 ‘sha***’도 적혀 있었다. 분석팀은 단 1건의 게시글만으로 정 씨의 휴대전화 번호, 출신학교 및 학과, 대화명 등 신상 정보 4건을 확보했을 뿐 아니라 대학 시절 준비했던 시험이 무엇인지도 추론할 수 있었다.

추가로 확보한 정보는 다시 새로운 신상 털기 단서로 활용했다. 분석팀이 정 씨의 휴대전화 번호를 검색 창에 넣으니 정 씨가 해외 물품 거래 사이트에 가방을 판매하기 위해 올린 글이 나타났다. ‘판매자 정보’ 칸에는 정 씨의 직장 주소 ‘서울 강서구 내발산동 ○○○ 아파트 ○○○동 ○○○호’와 또 다른 e메일 주소가 적혀 있었다. 이 e메일 주소를 검색하자 또다시 정 씨가 다른 인터넷 커뮤니티에 올렸던 글이 검색됐다.

이렇게 개별적인 정보를 추적해 인접 정보들과 종합하자 △정 씨의 군 복무 부대 △아르바이트 경력 △남동생이 한 사립대 공대에 2010년 합격했던 사실 등 개인정보 13종이 30여분 만에 고구마 줄기처럼 줄줄이 드러났다. 정두원 디지털포렌식연구센터 연구원(26)은 “시간만 충분하다면(2∼3시간 정도) 정 씨 직장 사무실 면적과 매매가(인터넷 부동산 사이트 활용)와 건물을 담보로 대출한 내용이 있는지(대법원 인터넷등기소) 등도 조사할 수 있다”고 말했다. 본보의 의뢰에 따라 진행된 개인정보 신상 털기에 소요된 시간은 1인당 30분에서 1시간 정도였다. 분석 결과를 전해들은 정 씨는 “나름대로 신상 정보를 철저히 관리했다고 자부했는데 삭제하고 싶은 정보가 너무나 많다”며 충격을 감추지 못했다.

분석팀이 이렇게 일반인 12명의 이름과 ID만으로 확보한 신상 정보는 58건이었다. 여기에 휴대전화 번호까지 활용하자 검색된 신상 정보는 79건으로 늘었다.

○ 신상 털기로 이력서 작성할 정도

분석 대상 12명 중 4명은 신상 정보가 13∼16건씩 노출됐다. 기업 입사 지원서에 기재하는 개인정보가 평균 15건 안팎이라는 점을 고려하면 온라인에 노출된 것만으로도 이들의 이력을 거의 다 채울 수 있다는 뜻이다. 페이스북 등 소셜네트워크서비스(SNS)에 올린 사진으로 이력서 증명사진까지 대체할 수 있을 정도였다.

신상 정보 16건이 검색된 주부 최모 씨(48·여)는 인터넷 시민기자와 청소년 상담가로 활동한 경력 때문에 블로그와 트위터 등에 작성한 글도 919건 검색됐다. 이 중에는 육아 카페에 공개한 아들의 이름과 학교, 나이도 포함돼 있었다. 최 씨가 가명으로 게재한 칼럼도 ID를 통해 추적됐다. 여러 사이트에 같은 ID로 많은 글을 ‘전체 공개’로 설정해 게시한 점이 원인으로 지적됐다. 이를 전해들은 최 씨는 “해킹이 아니라 검색만으로 알아낸 정보가 맞느냐”고 취재팀에게 재차 확인했다.

30대 이하 분석 대상 중에는 대학생 박모 씨(27)가 유일하게 검색된 신상 정보가 0건이었다. 2008년경 이름을 고치고 ID를 새로 만든 뒤 인터넷에 별다른 글을 올리지 않았기 때문이었다. e메일 주소만 만든 뒤 인터넷을 거의 사용하지 않았던 자영업자 박모 씨(53)와 회사원 강모(52) 김모(49) 씨 등 3명도 신상 정보가 거의 검색되지 않았다.

조건희 기자 becom@donga.com

http://news.donga.com/3/all/20140203/60529523/1

에스이웍스

San Francisco의 offensive & Defensive Cybersecurity 서비스 회사

[에스이웍스] 를(을) 서포트하고 있는 사람들

댓글 0
건전한 토론문화를 위해, 주제에 맞지 않거나 타인에게 불쾌감을 주는 욕설 또는 특정 계층/민족, 종교 등을 비하하는 경우 삭제 될 수 있습니다.