내 계정은 누가 보호해주나
얼마 전 카카오톡에 채팅방 하나가 만들어졌다. 말을 걸어온 사람은 어딘지 알 수 없는 외국 풍경을 프로필 사진으로 걸어놓고 ‘vitaly’라는 의문의 이름을 설정해놓았다. 그는 대뜸 내 이름을 불렀다. ‘덩말 스윗하시네요. 우리 친하게 지내요’라는 말과 함께. 일면식도 없는 사람이 내 이름을 부른다는 것도 소름끼쳤지만 나를 더욱 당황시킨 건 내 카카오톡 프로필은 본명으로 되어 있지 않다는 점이다. 내 번호를 저장한 사람이 아니라면 본명 대신 별명으로 보일 텐데…. 지금 벌어지고 있는 일이 어떤 상황인지 알아볼 새도 없이 초 단위로 카카오톡 알람이 울려댔다. 누구냐고 물으니 의문의 사내는 자신은 두바이에서 왔고 서울에 살고 있다며 친구 하잔다. 두바이를 가본 적도 없고 그쪽 사람을 만난 적도 없는데 무슨 말일까. 쇼핑몰이나 다른 웹사이트는 카카오톡을 연동시켜 가입할 수 있도록 하는 간편하고 편리한 서비스를 제공한다. 다양한 사이트와 연동한 탓에 내 계정이 전 세계에 흩뿌려지게 된 건지 싶어 카카오톡 웹사이트를 뒤졌다. 계정을 안전하게 보호하기 위해서는 카카오톡 계정을 이중 인증받는 게 좋다는 공지가 눈에 띄었다. 내 계정은 이중 인증을 받지 않았고 카카오톡뿐만 아니라 넷플릭스 계정마저 털렸다.
넷플릭스 계정을 해킹당했을 땐 이보다 심각했다. 당시에도 모르는 번호로부터 영문으로 문자가 왔다. 지금 당장 통화할 수 있느냐고, 네 이름이 이게 맞냐고. 궁금하기도 했고 상황 파악을 위해 답장했다. 그는 ‘네 넷플릭스 계정이 우리 단톡방에 떠돌아다니고 있어. 나는 너를 위하는 거고, 너는 최대한 빨리 조치를 취해야 해’라고 답했다. 내 넷플릭스 계정 캡처 화면까지 친절히 보내줬다. 화면에는 계정 ID, 카드 정보, 주소 등이 기재되어 있었다. 얼른 넷플릭스를 실행해 구독을 해지했다. 해지한 지 1분도 채 안 되어 다시 접속하니 해지가 취소되어 있었던 것이다. 내 넷플릭스 화면을 동시에 켜놓고 있었다. 구독 요금이 나가는 신용카드는 한도가 꽤 놓아서 더욱 마음이 조급해졌다. 넷플릭스 계정을 완전히 탈퇴했고 그 친절한(?) 남자에겐 ‘F’로 시작하는 욕설을 친절히 퍼부어줬다.
‘이루다’가 논란을 이루다
‘이루다’가 뜨거운 감자다. 이루다는 인공지능 챗봇이다. 이루다 개발사 ‘스캐터랩’은 또 다른 개발 서비스 ‘연애의 과학’ 앱을 통해 연인 간의 카카오톡 대화를 억 단위로 수집해 챗봇 개발을 위한 데이터베이스로 활용했다. 이루다 챗봇 이용자들은 불특정 다수의 대화를 챗봇을 통해 엿볼 수 있었고, 그 대화 속에는 주소, 계좌번호, 전화번호, 하다못해 실명까지 담겨 있었다. 이를테면 이런 거다. 챗봇에게 어디 사냐고 물으면 특정인의 주소를 아주 상세하게 대답했다. 아파트명과 동, 호수까지 말이다. 연애의 과학 이용자들은 자신들의 개인 정보가 유출된 것에 대해 분노를 금치 못했고 스캐터랩은 사건 발생 5일 후에야 사과문을 올렸다. 내용은 이렇다. ‘연애의 과학 사용자 데이터는 사용자의 사전 동의가 이루어진 개인정보취급방침의 범위 내에서 활용했다. ‘연애의 과학 사용자분들 중 AI 학습에 데이터가 활용되길 원치 않으시는 분들은 데이터베이스 삭제와 함께 앞으로 이루다의 데이터베이스에 활용되지 않도록 추가 조치를 진행할 예정입니다.’ 연인 간의 대화 속 개별 문장은 총 1억 건에 달하며 모든 문장은 세세히 검토하기 어려워 알고리즘을 통해 기계적인 필터링을 거쳐서 이러한 사태가 벌어졌다는 게 그들의 입장이다. 그들의 사과문은 요약하면 ‘너희가 가입했고 개인정보취급방침에 동의했잖아. 화났어? 그럼 항의해, 삭제해줄게.’ 하지만 사실 관계를 확인해본 결과 스캐터랩이 개인정보취급방침에 대한 동의를 구하지 않은 것으로 나타났다. 이루다는 연이어 더 큰 사고를 쳤다. 성희롱부터 성소수자 혐오 발언까지 내뱉은 것. 이에 대해서도 개발사는 서비스 초기 단계인 데다 테스트 진행 중에 놓친 것 같다며 변명했다. 인간이 만든 인공지능의 비약적인 발전은 인간으로 하여금 두려움을 초래한다. 앞으로 어떠한 서비스들로 우리의 개인 정보를 뽑아갈지는 알 수 없다. 개발사는 세세한 검토 과정을 거치고 난 후 서비스를 공개해야 할 것이다.
전화 한 통으로 수천만원을 잃다
전화 한 통으로 수천만원을 잃다 작년 12월 즈음이었다. 야근 중에 전화 한 통이 걸려왔다. 국제전화였다. 전화는 3초가량 울리다 끊겼다. 해외에 거주하는 친척이 있기는 한데 통화할 정도로 가까운 사이는 아니다. 그래도 혹시 몰라 다시 걸었다. 통화연결음이 울렸고 왠지 전화를 당장 끊어야 할 것 같은 예감이 들었다. 통화연결음이 긴급 상황 알람처럼 들렸다. 상대방이 곧장 받지 않은 게 다행이었던 걸까. 걸려온 국제전화 번호를 구글에 검색하니 ‘보이스피싱’ 관련 뉴스와 온갖 후기와 글들이 쏟아졌다. 001, 006, 00682로 시작하는 국제전화는 100%는 아니지만 99% 보이스피싱이라는 거다. 받거나 다시 걸어 통화가 연결될 경우 최소 수백만원에서 많게는 수천만원까지 요금이 부과된다고 한다. 한 번 전화가 오기 시작하면 지속적으로 걸려온다. 통신사를 통해 국제전화 차단 서비스를 가입하는 방법이 최선이다.
내 카드가 왜 거기 있어?
새벽 4시, 카드사에서 연락이 왔다. 상담사는 내게 지금 머무는 곳이 해외냐고 물었고 (정확한 국가명은 기억나지 않는다) 방금 80만원가량의 결제 요청이 해외에서 들어왔단다. 당시 대구에 머무는 중이었고 정확히는 숙면 중이었다. 꿈인가 싶었다. 상담사는 해외 승인 요청을 거절하길 원하는지 물었고 내 대답은 당연히 ‘예’였다. 추가로 해외 결제를 차단해줄까 하는 제안에 당장 그렇게 해달라고 했다. 금융 정보가 유출될 경우 신용카드 정보, 은행 계좌번호, 주민등록번호, 휴대전화번호까지 금융과 개인 신상에 관련된 정보가 모두 탈탈 털린다고 한다. 금융 정보가 유출되는 주요 경로는 현금자동입출금기(ATM), 포스 단말기, 멤버십 가맹점 해킹을 통해서라고 한다. 최근 개인 금융 정보가 1.5TB가량 유출된 사건이 발생했고 4백억 건에서 5백억 건 분량의 카드 번호와 유효기간 및 비밀번호가 유출되었다고 한다.
법적 대응 : AI 챗봇 ‘이루다’와 개인 정보 유출 건
‘이루다’라는 이름의 스무 살 여대생 인공지능(AI) 대화 서비스 챗봇. 스캐터랩이 만든 연애 상담 앱 ‘연애의 과학’ 유저들이 은밀하게 나눴던 1백억여 건가량의 각양각색 카카오톡 사랑의 대화를 AI가 학습하고, 이를 알고리즘화해 상대방이 말을 건네면 적절한 답변을 찾아 대화를 이어가는 방식의 서비스다. 직접 대면이 어려운 코로나 시대에 대화가 필요한 젊은 층 사이에서 폭발적인 관심을 끌었다. 그런데 뜻하지 않게도 논란이 일었다. 대화를 나누는 과정에서 실제 사람들의 이름과 애칭, 집 주소, 금융 정보 등 개인 정보가 그대로 노출되는 사례들이 생겨났던 것. 스캐터랩에서 ‘연애의 과학’ 앱 유저들의 카카오톡 대화를 수집하면서 챗봇 개발에 이용에 대한 동의를 받지 않고 무단으로 수집·이용했을 뿐만 아니라 익명 처리도 제대로 하지 않았다는 주장에 힘이 실리면서, 일부 앱 유저들은 집단소송까지 준비하고, 개인정보보호위원회에서도 사실 관계를 파악하고 있는 상황. 그러는 사이 ‘이루다’는 서비스를 잠정 중단했다. 구체적 사실 관계는 알 수 없지만, ‘이루다’의 학습에 쓰인 방대한 대화 중 개인 정보가 명시적인 동의 없이 수집·이용되었고, 그 개인 정보는 익명 또는 가명 처리가 제대로 되지 않은 것은 분명해 보인다. 이는 한 예일 뿐, 앞으로 이런 일은 수도 없이 반복될 예정이다. 머신러닝을 위해서는 방대한 데이터 수집부터 이루어져야 하는데, 그 데이터에는 분명 우리 개인 정보가 필연적으로 포함될 수밖에 없기 때문. 하지만 개인 정보가 어떻게 쓰이는지 개인이 일일이 감시하는 건 불가능하다. 서비스 하나 이용할라치면 개인 정보 수집·이용 동의 클릭 없이는 불가능하다. 그 깨알 같은 동의서 문구를 하나하나 읽어봤자 별 의미 없다. 눈만 아프다. 그래서 개인 정보 유출에서 살아남으려면 어떻게 해야 하는 거냐고? 사실 유출보다 중요한 건 예방이다. AI의 딥러닝에 사용되는 데이터 중 개인 정보는 철저하게 익명 또는 가명 처리하도록 법령을 통해서 명확한 지침을 만들고, 이를 기업이 철저히 지키는 것. 그럼에도 불구하고 내 개인 정보가 유출되었다면, 그때는 개인 정보를 동의받지 않고 수집·이용한 기업을 상대로 개인정보보호법 위반으로 형사 고소하고, 민사상 손해배상 청구를 하는 방법뿐이다. 이미 유출된 내 개인 정보는 돌이킬 수 없다. 그렇기에 유출된 개인 정보를 악용하여 우리를 공격하는 자들에게서 스스로 지켜내야 한다. 점점 더 교묘해지고 지능화되는 보이스피싱 등에 낚이지 않도록 우리는 항시 긴장의 끈을 놓아서는 안 된다. WORDS 최재윤(변호사)
기술적 해법 : 사이드트리
모던 글로벌 사회에 프라이버시는 단연 인권이다. 보안은 디지털 시대의 관건이고, 디지털화된 일상은 급속도로 클라우드로 퍼졌다. 그렇다면 권리를 보호받으려면 개인이 디지털 신원을 제어할 수 있는 권한을 어떻게 부여받아야 할까? 21세기 모든 사물은 인터넷에 연결돼 있고 사이버 위협은 계속해서 진화한다. 그로 인해 뉴스를 읽는 사람들은 기업이 개인 정보를 과하게 많이 통제하고 있음을 느끼고, 구글, 페이스북, 애플, 마이크로소프트 등은 유저 데이터를 보호하기 위해 책임져야 한다는 요구를 끊임없이 받는다. 그러나 유저에게 더 큰 통제력과 프라이버시를 제공하지 않는다면 최고의 보안만으로는 충분하지 않다. 디지털 제어는 정체성이 출발점이다. 인터넷 세계에서는 이 모든 것이 본인으로 시작되기 때문이다. 사용자 정체성은 본인일 뿐이다. 테크 기업은 더 이상 새로운 ID를 발급할 필요가 없을뿐더러, 서비스 측은 이러한 민감한 정보를 수집하거나 보호할 필요성이 전혀 없다. 유저의 신원과 디지털 데이터를 제어할 때 제약을 설정해 비즈니스를 수행하는 데 필요한 정보만 공유하면 된다. 따라서 소프트웨어는 데이터를 직접 저장하지 않고 개인과 함께 저장 여부를 결정할 수 있다. 서로 교환된 정보는 신뢰받을 수 있으며, 책임은 줄어들고, 규정 준수를 개선한다고 단연 확신할 수 있다. 말 그대로 개인이 본인 데이터의 지배자가 된다.
언급된 패러다임 전환을 위한 업계의 지원은 ‘탈중앙화 아이덴티티 파운데이션(DIF 재단)’에서 수행하는 작업을 통해 볼 수 있다. 마이크로소프트는 이 재단에 오픈소스 코드를 제공하고 개발자가 분산된 식별자 ID를 활용할 수 있도록 한다.
한 예로, 전 세계 사람에게 개인 소유의 신원을 부여한다는 미션으로, 마이크로소프트사는 수십억 명의 사용자와 기기를 포함해 모든 종류의 개체를 지원할 수 있는 사이드트리(Sidetree) 테크놀로지를 제공했다. 사이드트리는 DIF 재단의 구성원인 컨센시스(ConsenSys)와 트랜스뮤트(Transmute)의 협력하에 개발된 기술이며, 탈중앙 식별자 네트워크를 생성하기 위한 블록체인 기반 프로토콜이다. 이 협력의 일환으로, ‘아이온’이라는 비트코인 블록체인을 베이스로 하는 사이드트리 탈중앙 식별자 네트워크 기술이 개발됐다. 아이온은 비트코인 블록체인에 존재하는 탈중앙화의 속성을 모두 보존하며 탈중앙 식별자 자체에 필요한 속성을 제공하도록 설계된 최첨단 기술이다. 향후 10여 년간 테크 기업들의 숙제는 얼마나 빨리 분산화된 식별자를 채택하느냐일 것이다. WORDS 최유진(마이크로소프트 실리콘밸리 소프트웨어 엔지니어)
보안 기업의 충고 : 악성 URL 주의
코로나19가 멱살 잡아끌고 왔다는 디지털 시대, 개인 정보 유출에서 살아남기란 쉬운 일이 아니다. 하지만 공격자를 알고 그들의 방법을 안다면 불가능한 일도 아니다. 먹이가 많은 곳에 해충이 꼬이는 것은 만물의 이치다. 모바일 시대를 맞아 사이버 공격자들의 관심도 PC에서 스마트폰 등 모바일 기기로 이동했다. 공격자는 생활밀착형 가짜 문서를 이용해 개인 정보 탈취를 위한 악성 URL을 정송하는 경우가 많다. ‘택배 배송 안내’는 공격자들의 영원한 고전이다. ‘재난지원금’ 등 최신 이슈를 이용하기도 하고, 이미 유출된 정보를 악용해 지인을 사칭하기도 해 주의를 기울이지 않으면 깜빡 속을 수 있다. 공공장소에서 무료 와이파이에 접속할 때도 주의해야 한다. 공격자가 미리 해킹해놓은 공유기에 접속해 내 정보를 해커에게 그대로 전달할 수 있기 때문이다. 만일 문자나 메신저로 URL 또는 앱 설치 파일을 받았다면 실행하지 말고, 앱 설치는 공인된 스토어에서만 하는 것이 상책이다. 이중(다중) 인증을 생활화하고 스마트폰 적용 백신 설치도 내 정보 보호를 위한 첫걸음이다. 또 제공자가 확실치 않은 와이파이 접속을 자제하고 특히 회사 업무나 인터넷 뱅킹, 주식 등 중요한 정보가 오가는 업무를 모바일 기기로 처리할 경우 공개된 와이파이 사용은 자제해야 한다. 공짜 점심은 조심히 먹어야 한다.
스마트폰이 주목받는다고 PC가 안전한 것은 아니다. 공격자가 PC 사용자의 개인 정보 탈취에 사용하는 가장 흔한 방법 중 하나는 피싱(Phishing) 메일이다. 저작권 위반, 견적 요청 등 업무 내용을 비롯해 해외 배송 조회, ‘품절 대란’ 게임이나 제품 판매까지 그 내용도 다양하다. 메일 속 URL을 클릭하면 정상 사이트와 유사한 피싱 사이트로 연결될 수 있고, 첨부파일을 실행하면 PC 속 개인 정보를 유출하는 악성코드가 설치될 수도 있다. 이외에 공격자가 미리 해킹해놓은 광고가 올라가 있는 페이지를 방문하는 것만으로도 악성코드에 감염되기도 한다. WORDS 박태환(안랩 ASEC대응팀 팀장)
<아레나옴므플러스>의 모든 기사의 사진과 텍스트는 상업적인 용도로 일부 혹은 전체를 무단 전재할 수 없습니다. 링크를 걸거나 SNS 퍼가기 버튼으로 공유해주세요.
KEYWORD