사이버보안: '링크드인 7억 명 정보, 재미로 훔쳤죠'

당신은 소셜미디어 프로필 페이지에 얼마나 많은 정보를 올리는가? 보통은 이름, 사는 곳, 나이, 직업, 결혼 여부, 얼굴 사진 등을 게시해 둘 것이다.

물론 정보 공개 정도는 사람마다 다르다. 그러나 일단 대부분은 프로필에 기입하는 정보가 공공 도메인에 올라간다는 사실을 꺼리지 않는다.

그러나 만약 당신이 올린 정보가 깡그리 해커에게 넘어가며 방대한 개인정보 자료의 일부가 사이버 범죄자의 손에 들어간다면, 어떤 기분이 들까?

스스로를 ‘톰 라이너’라고 부르는 한 해커가 지난달 단순히 ‘재미’를 위해 이 같은 벌였다. 그는 소셜미디어 링크드인(LinkedIn)에서 전 세계 7억 명의 정보를 모아 5000달러(575만원)에 팔았다.

이른바 ‘소셜미디어 프로필 긁어 모으기’ 사건들은 이용자들이 공개 모드로 올려두는 정보의 보안 강화 문제를 둘러싼 치열한 토론으로 이어졌다.

문제의 글이 악명 높은 해킹 커뮤니티 사이트에 올라온 건 영국 시간 오전 8시57분, 한 아침이었다.

해커들이 깨어 있는 시간은 아니었다. 그러나 물론 우리는 톰 라이너가 어느 지역에 살고 있는지, 시차가 있는 곳인지 여부에 대해선 알지 못한다.

그는 "2021년 기준 7억 명의 링크드인 정보를 갖고 있다"고 썼다. 수백 만 명짜리 ‘샘플’도 공개했다. 다른 해커들에게 ‘가격을 제시하라’며 개인 연락처도 적어 놨다.

'고객들은 만족했다'

이 사건은 해커들의 커뮤니티에서 상당한 반향을 불러 일으켰다. 톰은 이렇게 끌어모은 자료를 여러 ‘고객’에게 팔아 넘겼다고 주장했다. 고객들이 ‘만족스러워했다’고도 덧붙였다.

다만 고객들이 어떤 사람들인지, 또 이들이 왜 이 같은 정보를 필요로 하는지에 대해선 언급하지 않았다. 그러나 톰은 이 자료가 악의적인 해킹 작전에 쓰일 가능성이 높다고 설명했다.

이 같은 소식은 사이버 보안 업계에서도 논쟁을 불러 왔다. ‘메가 스크랩’, 즉 방대한 규모의 정보 스크랩 사건이 잦아지는 현 상황을 우려해야 하느냐는 것이었다.

이런 데이터베이스는 특정 웹사이트나 네트워크에 침입해 얻어내는 게 아니다. 이미 공개돼 있는 플랫폼 내 자료들을 자동 프로그램을 사용해 긁어모으는 것뿐이다.

이론적으로, 이렇게 모아진 대부분의 데이터는 개별 소셜미디어 페이지에 들어가면 누구나 쉽게 찾아볼 수 있는 것들이다. 해커들이 모으는 양만큼 많은 양을 모으려면 일반인들은 오랜 시간이 걸릴 테지만 말이다.

올해에만 세 건의 주요 ‘메가 스크랩’ 사건이 있었다.

이 페이스북 사건의 배후에도 톰이 있었다.

나는 3주에 걸쳐 톰과 텔레그램(Telegram)을 이용해 대화를 나눴다. 근무 시간대엔 물론 한밤중에도 전화와 문자가 오간 탓에 톰의 위치를 파악할 순 없었다.

그의 일상에 대한 유일한 단서가 튀어나온 건 그가 ‘아내가 자고 있어서 전화로는 말을 못 한다’고 말했을 때였다. 그는 해킹은 "취미"일 뿐이라며 다른 직업이 있다고도 했다.

'매우 복잡한 작업'

톰은 페이스북 작업 때와 거의 똑같은 기술을 이용해 링크드인에서 일을 벌였다고 설명했다.

“몇 달 정도 걸렸어요. 상당히 복잡했죠. 링크드인의 API를 해킹해야 했어요. 한 번에 너무 많은 이용자의 데이터를 뽑아내려 하면 링크드인 시스템이 영구적으로 제 계정을 정지시킬 수도 있었거든요.”

API는 ‘어플리케이션 프로그래밍 인터페이스(Application Programming Interface)’의 준말이다. 대부분의 소셜 네트워크들은 다른 기업들이 광고나 앱 구상을 위해 자사 플랫폼에 접근할 수 있도록 API 계약권을 따로 팔곤 한다.

이 같은 대량의 스크랩 정보 판매 상황을 처음 인지한 프라이버시 샤크(Privacy Shark)는 무료 공개 샘플을 분석한 뒤, 이 자료들이 이름과 이메일 주소, 성별, 휴대전화 번호, 작업 정보 등을 담고 있다는 사실을 발견했다.

업체들 '유출 사고는 아냐'

링크드인은 톰이 API를 사용한 흔적은 없다고 주장했다. 그러나 문제의 데이터베이스가 링크드인에서 수집된 정보 외에 다른 자료들도 포함하고 있다는 사실을 인정했다.

링크드인은 “이번 사건은 링크드인 데이터 유출이 아닐 뿐더러 프라이빗 계정 이용자들의 정보는 빠져나가지 않았다”고 강조했다. 다만 “이런 데이터 스크랩 행위는 링크드인 이용 규약을 어기는 것이며 우리는 고객들의 사생활 보호를 위해 끊임없이 노력하고 있다”고 덧붙였다.

페이스북 역시 지난 4월 사건 이후 이 같은 행위를 ‘오래된 기술’ 정도로 치부했다.

그러나 해커들이 이 같은 행위로 돈을 벌고 있다는 사실은 분명 일부 사이버 전문가들에겐 우려스러운 일이다.

'생각보다 섬세한 정보들 빠져나가'

SOS 인텔리전스 창업자이자 최고경영자(CEO)인 아미르 하지파직은 다크웹의 해커들 커뮤니티를 밤낮이고 들여다 본다.

링크드인 사건 소식이 전해지자 아미르와 그의 팀원들은 즉각 데이터 분석 작업에 들어갔다.

그는 “위치 정보나 사적 휴대전화, 이메일 주소 등 세밀한 정보들이 빠져나갈 수 있다는 점을 고려하면 이런 대규모 스크랩 사건은 매우 우려스러운 수준”이라고 지적했다.

“대부분 사람이 이런 API 강화 서비스가 얼마나 많은 정보를 담고 있는지 알면 놀랄 것”이라고도 말했다.

톰은 자신이 모은 데이터가 나쁜 일에 쓰일 거란 사실을 알고 있다고 했다. 그는 “이 같은 사실이 거슬리긴 한다”면서도 자신이 왜 이런 일을 계속 벌이는지에 대해선 답하지 않겠다고 했다.

아미르는 이 링크드인 자료를 사들인 해커들이 자료를 기업 간부 등 ‘고위급 목표물’을 대상으로 해킹 공격을 벌이는 데 쓸 수 있다고 설명했다.

그는 또 실제 사용되고 있는 이메일 주소들의 개수만 감안하더라도, 이 자료들이 대규모 피싱 작전에 쓰일 가능성이 있다고 우려했다.

어쨌든 '공개 정보'일까?

사이버 보안 전문가 트로이 헌트는 일련의 ‘메가 스크랩’ 사건들을 크게 신경쓰지 않는다고 했다. 그러면서 이런 사건을 ‘프로필 공개’ 행위에 으레 잇따르는 일로 봐야 한다고 주장했다.

"분명 불법 유출은 아니거든요. 대부분의 데이터들은 어쨌거나 공개 자료니까요. 문제는 이런 정보들 중 얼마만큼이 이용자 선택으로 공개되는지 여부일 겁니다."

트로이는 소셜 네트워크의 API 프로그램 관리 주체들이 시스템을 더 개선해야 한다는 아미르의 주장엔 동의했다. 이번 사건들을 단순한 일로 치부할 수도 없다고 봤다.

"페이스북 등 업체들의 태도엔 동의하지 않습니다. ‘별 문제가 아닙니다’ 식의 대응엔 고객 정보가 얼마나 귀중한지에 대한 공감대가 형성되지 못했다는 생각이 듭니다. 이런 방대한 스크랩 자료가 생겨나는 상황에서 업체들이 자신들의 역할을 경시하고 있다 싶기도 하고요."

톰은 지적 재산 갈취 또는 저작권 침해 혐의로 소셜 네트워크 업체들로부터 고소를 당할 수도 있다.

붙잡히는 게 두렵지 않느냐는 질문에 그는 아무도 자신을 찾을 수 없을 거라고 했다. 그러면서 "좋은 시간 보내시라"는 말로 대화를 마쳤다.