1. 개요

최근 개인정보 유출로 많은 이슈화가 되고 있습니다. 이러한 개인정보 유출은 기업이 또는 조직이 타인의 개인정보를 임의 또는 동의를 통하여 수집한 정보를 제대로 보호조치 하지 못해 일어난 사건이라고 한다면 최근 SNS을 통하여 스스로 개인이 정보를 노출 하는 것을 보호조치 것은 더욱 어려울 것으로 생각이 됩니다.

특히, SNS 서비스의 대표주자 격인 트위터와 페이스북은 국외 서비스라서 제재 할 규제 조차 힘들고, 또한 적용하기까지에 많은 시간이 들기도 합니다. SNS에 대한 개인정보 유출에 대하여 알아 보겠습니다.


2. SNS의 과도한 개인정보 유출


보안에 관심 있는 사람으로 자신의 정보 공개의 범위를 뚜렷이 해 두는 것이 좋습니다. 제가 알고 있는 지인 한 사람은 과거에 공개된 정보로 인하여 많은 곤란한 사항을 경험 한 바가 있기에 지금은 SNS에 대하여 경고의 메세지를 보내고 있습니다. 너무 많은 정보를 노출 한다는 것은 스스로 정보에 대한 노출이기에 자신이 모든 책임을 져야 할 것입니다.

따라서, 개인에 대한 정보공개에 범위를 스스로 규제하고 경계의 선을 넘지 않는 것이 좋습니다.





3. SNS, 지인이기에 더욱 신뢰 하는 함정을 이용한다.


SNS의 첫번째 목적이 친구나 이웃입니다. 자신을 알고 있는 친구나 이웃이 어떤 느낌을 가지고 있고, 어떤 생각 또는 근황은 어떤지를 웹을 통하여 온라인으로 소통하는 것이죠. 또한 그 친구에 친구가 아는 사람이니 서로 그 공간을 통하여 새로운 교류를 하게 하는 맥락도 됩니다.

상황이 이렇다 보니 이러한 SNS 의 특징을 교묘히 이용하는 것이 최근 페이스북 등을 통하여 보여지고 있습니다. 아마도 지인들의 페이스북에 가보면 아래 그림과 같은 모습을 많이 볼 것입니다.

 




퀴즈와 질문을 통하여 상대방에 대한 궁금증을 유발 함으로 인하여 언락 할수 있도록 서비스화 해 놓은 것입니다. 하지만 이러한 서비스에 클릭을 하여 언락을 할려고 보면 제3의 서비스 즉, 서드파티 (Third Party)형태로 제공하는 어플리케이션의 일종으로 자신의 서비스로 연결 하겠는가? 라는 문구를 보여 줍니다.

여기까지 온 일반 이용자는 궁금증에 <예> 또는 <yes>를 클릭하겠지요.  물론 그렇게 되면 퀴즈에 대한 해답이나 물음에 볼수 있으나 대부분 자신의 사이트로 가입을 유도하고 있고, 실제 이렇게 되었을때에 그 사이트에 자신의 개인정보가 넘어갈 경우가 많습니다.

하지만 어떠한 곳에서도 그런 경고 문구는 없으며, 단지 자신의 사이트 서비스에 많은 가입자가 있다는 자랑스러운 숫자만 보여 주는 것이 많습니다.

그나마 다행인 것은 외국 서비스의 경우 국내 서비스처럼 과도한 개인정보를 수집하지 않아 다행이긴 하지만 만약 이러한 것이 스팸이나 다른 사이트에 지인을 통하여 궁금증을 유발 하게끔하면 어쩔수 없이 클릭 할 필요는 없겠습니다.


4. 어떻게 대처 할까?

사실 지인들이 재미 삼아 이런 퀴즈나 이벤트 같은 재밌는 것은 남의 담벼락에 올리는 것이 무엇이 문제겠느냐고 반문하는 사람이 있을지 모르지만 제 개인적인 관점에서는 가능하면 남의 담벼락에 홍보나 마케팅, 그리고 이러한 신빙성 없는 이벤트를 그냥 냅다 던져놓고 사라지는 그리고 당신이 답을 할려면 하고 말려면 말아라 하는 식의 모습은 썩 좋지 않게 보아 집니다.

그래서 저는 저 나름대로 늘 타인의 담벼락에 대하여 올라온 글이 있으면 "좋아요" 버튼과 댓글로써 관심을 표명하고 최대한 그 분에 프로필에 담벼락에 훼손을 주지 않으려고 합니다. 그래야 누군가 방문했을때 주인의 생각과 발자취를 고스란히 볼수 있으니까요.

댓글로도 얼마든지 안부를 전하고 소통할수 있으니 구지 담벼락은 주인의 몫으로 놔두는게 좋지 않을까요?

그래서 필자는 이렇한 성의 없는 홍보나 마케팅 이벤트가 담벼락에 올라 오면 친구나 이웃에게는 미안하지만 그냥 삭제 처리해 버립니다.

왜냐하면 그것의 신빙성을 알지 못하고, 교묘히 그 서비스 사이트로 유도하는 것을 지인을 통하여 이용하려는 목적이 있기 때문에 가입을 하더라도 직접 방문하여 가입하는 것이 올바르다고 보기 때문입니다.

보안은 실천입니다. 이러한 무부분별한 SNS서비스의 신뢰를 기반으로 하여 자신의 PC가 좀비가 되고 SNS의 사생활 노출과 개인정보가 알지 못하는 신뢰하지 못하는 사이트의 서비스로 넘어간다고 해서 그 지인을 욕할 순 없습니다. 스스로의 정보는 스스로가 지키는게 중요한 바로 당신의 몫일 것입니다. @엔시스.

Posted by 엔시스

2010 년 SNS를 겨냥한 공격이 급증, 약 7 %의 SNS 사용자가 스팸을 경험



영 Sophos는 현지 시간 2011 년 1 월 19 일, SNS (소셜 네트워킹 서비스)의 보안 위협을 조사한 결과를 발표했다. 이에 따르면 2010 년, SNS를 무대로 한 스팸이나 악성웨어, 피싱 공격이 크게 증가했다.

 SNS를 통해 스팸 메일을받은 적이있는 사용자의 비율을 2009 년 4 월과 2010 년 12 월 비교하면 33.4 %에서 67 %로 증가했다. 같은 기간 피싱 공격을받은 경험이있는 사람의 비율은 21 %에서 43 %로, 멀웨어을 보내 잡은 사람의 비율은 21.2 %에서 40 %로 모두 거의 배증하고있다.

 최근에는 직장에서 SNS에 액세스하는 사용자가 많아 SNS의 보안 위협은 기업 두통 타네이다. "직원의 SNS 이용이 회사의 보안을 위태롭게 가능성이 높다"라고 생각하는 경영자는 59 %에 달했다. 또한 기업의 57 %는 "직원이 과도하게 정보를 공유하고있다"고 걱정하고있다. 그러나 절반 이상의 기업은 SNS에 대한 액세스 특히 제한을두고 있지 않다. SNS에 대한 액세스를 금지하고있는 기업은 4 분의 1에 못 미쳤다.

 공격자가 이전보다 SNS에 높은 관심을 보이고있는 것은 분명하다. 5 억 명 이상의 사용자를 안고 Facebook 가장 타겟으로하고있다. 게다가 Facebook은 외부 사이트 및 응용 프로그램이 사용자 정보에 액세스할 수있는 데이터 공유 기능 등으로 종종 보안에 관한 논의를 야기해 온 (관련 기사 : Facebook, 외부 사이트에서 휴대폰 번호와 주소에 대한 액세스를 일시 중지 ) 개인 우려 Facebook 이용을 종료하는 것을 생각하는지 물어본 결과, "아마 종료" "종료 가능성이 높다"는 응답은 각각 30 %, "종료하지 않는다"는 12 %였다. 또한 16 %가 "이미 종료했다"고 답했다.


출처:  http://itpro.nikkeibp.co.jp/article/Research/20110120/356284/ 

====

2011년 국내 SNS에 대한 위협은 점점 더 증가 할 것입니다. 특히 스마트폰의 위협의 증가가 대두될 듯 합니다.



'Security Of SNS' 카테고리의 다른 글

SNS 겨냥한 공격이 급증 - 2010년 일본  (0) 2011.01.20
Posted by 엔시스

최근 쇼셜커머스가 우후죽순처럼 생겨난다. 이미 레드오션이 되지 않았나 생각을 한다. 하나의 유행이나 트렌드를 쫒기 보다는 긴 안목을 보고 롱런 할수 있는 아이템을 찾아야 하는 것이아닌가 하는 생각과 그래도 욕심이 있다면 남들과 차별화 할 수 있는 방법을 모색을 해야 하는데 하나 같이 붕어빵이다.

거기에 각종 큰 포털들도 쇼셜커머스에 진출하거나 진출 준비를 하고 있어 영세한 커머스 사업자들은 또 다시 타격을 입지 않을까 하는 생각을 해 본다.



그런데 여기에 한가지 보안상 주의 할 점이 있어 이렇게 블로그에 포스팅까지 하게 되었다. 그것은 바로 '개인정보보호'에 대한 문제이다.

최근 '개인정보보호법(안)' 제정을 앞두고 많은 관심을 받고 있는 것이 사실이다. 대부분 국내 사업이 마찬가지이겠지만 '쇼셜커머스'는 회원 확보가 하나의 가장 핵심적인 관건이 되고 있다. 회원 규모가 얼마나 되는가에 따라 시장지배와 성장 그리고 각종 할인을 하기 위한 사업자 유치에 커다란 잣대가 되는 것은 사실이다.

그런데, 이러한 '쇼셜커머스' 사이트에 가입하기 위한 개인정보 수집과 개인은 상당한 주의를 기울일 필요가 있다는 것이다.

다음과 같은 시나리오를 한번 가장해 보자.


A. 생명보험에 가입을 하라는 스팸 메일과 문자 그리고 사이트가 있어 가입을 권유한다면 과연 당신은 개인정보를 쉽게 주면서 회원 가입을 할 것인가?

B. 맛있는 음식점에서 기존 가격에 50% 할인하는 가격에 쿠폰을 제공을 한다면 당신은 적극 회원 가입을 하고 개인정보를 제공할 의사가 있는가?

두가지 시나리오만 놓고 본다면 당연히 B 시나리오에 개인정보를 제공하고 회원 가입을 할 가능성이 높다. 그것은 내가 무엇인가 이루고자 하는 확고한 의사결정이 A보다 B가 더 욕구가 크기때문이다.

이러한 이유로 요즘 '쇼셜커머스' 사이트가 성행중인데 개인정보에 대한 여러가지 체크해야 할 사항들도 점검을 해 보아야 할 것이다. 즉, 우후 죽순격으로 회원 가입유치에만 열을 올리다보면 결국 개인정보보호조치에 대한 소홀함이 있을수 밖에 없다. 필자가 일부 쇼셜커머스 사이트를 분석 한 결과 다음과 같은 개인정보 보호조치 결함 사항들이 있었다.

  • 개인정보보호취급 방침이 하나같이 일괄 똑 같은 곳이 많았다. 이는 유명한 곳에 개인정보보호취급 방침을 그대로 사용한 듯한 느낌이 들었다. 실제 자신의 사이트에 맞게 수정해서 사용하는게 올바른 것이다.
  • 개인정보보호를 위한 기술적.관리적 보호조치를 다 한다고 하였는데 과연 실제로도 그렇게 하고 있는지 의문이 드는 부분이 많다. 벌써 회원이 몇만에서 몇십만명이 넘어가면 반드시 현행법에서 요구하고 있는 기술적.관리적 보호조치를 지켜야 할 것이다. 그것이 추후 개인정보 유출로 인한 사업자 처벌에서 조금이라도 경감될 수 있는 사항이다. 암호화 저장이나 보안서버 구축, 침입차단시스템,침입탐지시스템을 구축하여 운영하는 사이트가 얼마나되는지 궁금하다. 영세하지만 규정을 지키는 것또한 중요하기에 관련 규정을 살펴볼 필요가 있다는 것에 포커스를 맞춘다.
  • 회원 가입탈퇴 조치의 경우 어떠한 사이트는 외부 메뉴에 포함하고 있어 쉽게 판별 할수 있는가 반면에 대부분의 사이트는 회원을 가입을 해야만 하고, 로그인 마이메뉴에서 탈퇴처리가 된다고 되어 있었다. 이마져도 개인정보보호 취급방침에는 명시되지 않고 있었다. 회원탈퇴는 가입보다 쉽게 해야 한다는 것이 현재 개인정보보호관점이다.
  • 대부분 사이트에서 제3자 제공과 위탁을 하지 않는다고 하는데 일부 몇몇 사이트는 이벤트광고를 하고 있고 이러한 상품배송을 배송업체에 넘길경우 이에 대한 공지를 해야 하는 것이다.


쇼셜커머스.

누구나 돈이 된다고 하면 일확천금을 벌고 싶은것은 인지상정이다. 또한 개인도 저렴한 가격에 상품과 서비스를 제공한다고 하면 분명 매력적인 것임에는 틀림이 없다. 하지만 자신의 개인정보를 얼마나 잘 수집하고 저장하고 이용제공 그리고 파기 하는지에 대한 관심도 분명히 중요한 사항중에 하나이다. 혹자는 그렇게 까다로운 규정을 어떻게 일일이 다 지키면서 사업하냐고 반문하겠지만 개인정보의 중요성은 그 침해사고 후 보이스피싱과 문자피싱,사기등 제 2차 3차 피해가 충분히 일어날 수 있기 때문이다. 그것이 범용적인 일반법으로서 '개인정보보호법'을 제정할려는 이유이기도 하다.

대부분 국민들이 이제는 너무 많은 개인정보유출로 인하여 자신의 소중한 개인정보를 아무렇지 않게 생각하는 경향이 있다. 하지만 개인정보 유출로 인하여 자신이나 가족이 피해를 입는다고 하면 상황은 달라 질 것이다.

가격이 싸다고 아무렇게나 자신의 개인정보를 담보하기 보다 소중한 개인정보는 언제나 자기스스로 지켜야 함에는 언제나 변함이 없을 것이다. 꼼꼼히 살펴보고 지키고 따지는 수 밖에는 없다. 정 불안하면 개인정보보호 자기결정권을 행사하길 권해 본다. 아직까지 현행법에도 개인정보 자기결정권을 행사할 권리가 주어져 있기 때문이다. @엔시스.


Posted by 엔시스