[문화] 우리의 신상정보: 사회연결망서 이렇게 털리고 있다


 

 

입력 2021.7.18.

BBC 원문 2일 전

 

[시사뷰타임즈] 여러분들의 사회연결망 계정에서 당신은 얼마나 많은 정보를 사람들에게 공개하고 있는가?

 

이름, 사는 곳, 나이, 직종, 혼인 상태, 얼굴사진? 사람들이 편안하게 보는 신상정보란에 올라 있는 정보의 양은 다양하다.

 

그러나 대개의 사람들은 우리가 공개된 신상정보 난에 올린 것이 무엇이건 간에 자신 고유의 공공 인터넷 주소에 나가있다는 사실을 받아들인다.

 

그렇다면, 당신의 모든 정보를 어느 해커가 범주화하여 수백만 가지 항목으로 돼 있는 괴물같은 표계산 표에 넣어 놓고 인터넷상에서 사이버 범죄용으로 가장 비싼 값에 팔리는 상태가 돼 있다면, 어떤 느낌이 들겠는가?

 

그것이 바로 해커라는 사람들이 자기 자신을 탐 라이너라고 칭하면서 지난달 전세계 링틴 사용자 7억명의 자료를 재미 삼아모아서 5천 달러 (3,600파운드; 4,200유러) 정도에 팔고 있는 중인 현상을 말한다.

 

이 사건, 그리고 사회연결망 신상자료 퍼가기 등의 다른 유사한 사례들이 우리의 신상정보란에 공개적으로 올려놓은 기초적 개인 정보가 더욱 잘 보호돼야 할 지의 여부에 관한 맹렬한 토론을 촉발시켰다.

 

라이너의 사례에서 그가 가장 최근 약탈한 것이 영국 표준시각으로 08:57에 악명높은 해킹 공개토론회장에 올라온 게시물에 공표됐다.

 

이 시각은 해커들에겐 이상하게도 '하루 중 남을 맞아들이기 편안한 시간대' (civilized hour) 이지만, 물론 우린 해커들이 자신을 탐 라이너라고 부르는 시간대가 언제 인지는 전혀 모른다.



 uncivilized hour & civilized hour?...자세히 보기



안녕, 내겐 2021년도 링틴 기록 7억 개가 있어라고 그는 적었다.

 

사회연결망의 개인 신상정보 속에 포함돼 있는 것은 백만가지 기록들 중 하나의 표본으로서 연결되는 것 및 다른 해커들을 불러들여 그 해커가 사적으로 접촉하여 자신이 갖게된 자료창고를 제공하게 만들어 주는 것 등이 포함돼 있다.

 

당연한 일이지만, 이런 신상자료를 파는 것은 해킹 세계에서 소용돌이를 유발시켰고 탐은 내게 자신은 자신이 갖고 있는 많은 자료들을 복수의기뻐하는 고색들에게 5천 달러 (3,600파운드; 4,200유러) 정도에 팔고 있다고 말해 준다.

 

탐은 자신의 고객들이 누구인지, 또는, 왜 그들이 이러한 정보를 원하는지에 대해선 말하지 않지만, 이 자료들은 나중에 사악한 해킹 작전용으로 쓰이게 될 가능성이 크다고 말한다.

 

이 소식은 또한 뭉텅이로 퍼가는 추세가 점점 더 커지는 것에 대해 우리가 우려를 해야 하는 지의 여부에 대해 사이버 보안 및 사생활 세계에서의 논쟁에 불을 붙였다.

 

잘 이해하고 있어야 할 중요한 것은 이러한 해커들의 자료창고들이 사회연결망의 서버 또는 웹사이트를 몰래 파고 들어간 뒤에 만들어 지고 있는게 아니라는 점이다.

 

이러한 자료창고들은 대체적으로 사용자들에 대해 무료로 이용 가능한 정보ᄅᆞ면 뭣이든 취하는 자동 프로그램을 이용하여 누구라도 접근 가능한 표면에 있는 신상정보들을 긁어감으로써 만들어진다.

 

해커들이 할 수 있는 만큼 많은 자료들을 다 모으려면 여러 사람이 평생해야 하는 것이겠지만, 이론상, 수집되는 자료들 대부분은 그냥 개개인들의 사회연결망 신상정보란을 하나씩 고르면 된다.

 

올해 지금까지, 최소한 다른 세 가지 중대한 긁어 가기사건이 있어왔다.

 

4, 한 해커가 링틴에서 긁어 온 기록 5억 개 정도인 또다른 자료 창고를 팔았다.

 

같은 주에, 또 다른 해커는 무료 공개토론장인 동아리집 신상정보란에 있는 1,300만개 정보를 긁어서 모든 자료창고를 올렸다.

 

또한 4, 훼이스북 이용자 533백만 명의 세부사항들이 오래 전에 긁은 것과 새롭게 긁은 것 등이 섞인 채 수집된 채로 기증을 위한 요청에 따라 해킹 공개토론장에서 무료로 양도됐다.

 

훼이스북 자료창고를 자기가 긁은 것이라고 말하는 이 해커는 자신을 탐 라이너라고 칭한다.

 

난 이 탐과 자료집약 즉각 전갈 앱인 텔러그램 문자로 3주에 걸쳐 대화를 했다. 일부 전갈들 및 받지 못한 전화들은 한 밤중에 한 것이었고, 나머지 것들은 일하는 시간에 한 것이었기에 탐의 위치에 대해선 단서가 전혀 없엇다.

 

그의 평상시 생활에 대한 유일한 단서는 자신은 아내가 자고 있는 중이어서 전화상으로는 말을 할 수 없다고 했을 때와 자신이 낮에는 일을 해야 하며 해킹은 자신의 취미라고 했을 때뿐이었다.

 

탐은 거의 정확히 똑같은 기법을 이용하여 훼이스북 목록을 만든 7억명 것이 담긴 링틴 자료창고를 만들었다고 내게 말해주었다.

 

그는 이 일을 하는데 몇 달이 걸렸다. 매우 복잡한 작업이었다. 난 링틴의 API를 뚫고 들어가야 했다. 한 번에 너무 많은 사용자 자료를 요청하면 그곳에선 나를 영구 금지시켜 버린다.” 고 했다.

 

API란 응용프로그램 접속기 (application programming interface) 를 줄인 말이며 대부분의 사회연결망들이 API 동업자를 판매하는데, 이것이 다른 회사들로 하여금 그 사회연결망 자료에 접근을 할 수 있게 하며, 시장 조사 목적 또는 앱 구축 등을 위해 접근들을 한다.

 

탐은 링틴 API 기술이 자신에게 경고를 발하지 않고 기록의 엄청난 부분을 제공하게 만드는 방법을 알아냈다고 말한다.

 

자료창고 판매를 최초로 발견한 사생활 상어는 무료 표본을 검사하면서 이것에 성과 이름 전체, 전자우편 주소, 성별, 전화번호 그리고 산업정모도 들어있음을 발견했다.

 

링틴은 탐 라이너가 자사의 API를 사용하지 않았다고 강변했지만 개개의 자료들에는 링틴에서 긁어간 정보는 물론이고 다른 자료들에서 취득한 정보도 포함돼있다.” 고 밝혔다.

 

이 회사는 이것은 링틴 자료 위반은 아니었고 링틴 회원들 중 자료가 노출된 사람은 아무도 없었다. 링틴에서 자료를 긁어가는 것은 우리의 영업조건을 위반하는 것이며 우린 우리 회원들의 사생활이 반드시 보호되도록 지속적인 노력을 할 것이라고 덧붙였다.

 

자사의 4월 달 자료 불안에 대해, 훼이스북은 그 사건은 옛날에 퍼간 것이라고 무시했다. 언론 홍보 담당 부처는 우연히 한 기자에게 자사 전략은 자료 긁어가는 것을 광의의 산업문제로 규정하며 이러한 활동이 주기적으로 행해지는 것이라는 사실을 정상적인 것으로 만드는 것이라고 밝혔다.

 

하지만, 해커들이 이러한 자료창고로 돈을 벌고 있다는 사실은 사이버보안상의 일부 전문가들을 우려케 한다.

 

여러 회사에 위협적인 정보를 제공하는 SOS 정보의 최고책임자이자 설립자인 아미르 하지파식은 밤낮으로 지하 웹사이트상의 해커 공개토론장들을 휩쓸고 있다. 7억 명이 담긴 링틴 자료창고라는 소식이 퍼지자 마자, 그와 그의 연구진은 이 자료를 분석하기 시작했다.

 

하지파식은 이 사례에서의 세부 사항들 및 다른 대규모 긁어가기 사례들은 사함들 대부분이 공공 인터넷 고유 주소에서 이용가능할 것이라고 예상하지 않는 것이라고 말한다. 그는 일반 대중들이 볼 수 있는 것보다 더 많은 정보를 사용자들에게 제공하는 API 프로그램들은 더욱 강력히 통제되어야 한다고 생각한다.

 

이 사례와 같은 대규모 누출은, 이러한 정보의 일부 세부적인 내용의 복잡성을 생각할 때, 걱정스런 것인바 - 지리적인 위치 또는 개인 휴대전화 그리고 전자우편 주소 등이 그 예이다.”

 

대부분의 사람들에게 이 사건은 이러한 API 농축 업무가 너무도 많으 정보를 쥐고 있다는 놀라움으로 다가올 것이다.”

 

잘못된 사람들의 수중에 있는 이러한 정보는 일부에게 심각한 영향을 줄 수 있다.” 고 그는 말했다.

 

탐 라이너는 자신은 자신이 갖고 있는 자료창고가 사악한 공격용으로 쓰일 가능성이 있다고 말한다.

 

그는 이러한 사실이 자신을 괴롭힌다고 하면서도 자신이 왜 아직도 긁어오는 작업을 계속 하는지 그 이유에 댛해선 말하려 하지 않았다.

 

남부 영국에 본사를 두고 있는 하지파식은 링틴 자료들을 구입하는 해커들은 그 자료집을 이용하여 이를 테면 회사 사장들과 같은 고위층을 목표로 표적을 설정하는데 쓸 수 있다고 말한다.

 

그는 또한 자료창고들 속에 있는 활용 가능한 전자우편들은 남의 돈을 갈취하는 작전용 (피싱) 으로 사용될 수도 있다는 것이 중대성이 있다고 했다.

 

 

애매한 구석은 전혀 없다

 

 

그러나 사이버 보안 전문가 트로이 헌트 -자신의 직장 생활 대부분을 자신이 운영하는 웹사이트인 haveibeenpwned.com,에서 해킹된 자료들의 내용을 자세히 조사해온- 는 최근의 자료 긁어가기 사건에 대해 걱정을 많이 하지는 않으며 공공 신상정보를 나누는 것의 일부로 받아들일 필요가 있다고 말한다.

 

"이것은 확실히 위반이 아니며 모호함이란 전혀 없다. 이 자료 대부분은 어쨌건 간에 공개된 것이다.“

 

"그래도 각각의 경우에 물어봐야 할 질문은, 이 정보 중 사용자가 선택하여 공개적으로 접근을 허용하는 것 및 공개적으로 접근 불가능한 것의 양이 얼마나 되느냐 이다.“

 

트로이는 사회연결망의 API 프로그램에 대한 제어가 개선될 필요가 있다는 아미르r의 의견에 동의하면서 이러한 사건을 무시할 수는 없는 일이라고 말한다.

 

난 훼이스북과 다른 회사들의 기조에 동의하지 않지만, '이것은 문제가 아니다' 라는 대답은 기술적으로 정확할 수는 있어도, 이 사용자 자료가 얼마나 가치 있으며, 사용자들이 이러한 자료를 생성시킬 때 그들의 역할을 아마도 경시하는 정서가 있다는 것을 느낀다."

 

라이너의 행동은 지적 재산권 절도 또는 저작권 침해로 소사회연결망 회사들이 소송을 제기할 가능성이 높다. 그는 그가 한 행위가 적발돼도 법의 전면적인 힘에 직면하지는 않겠지만, 체포될까 걱정 되느냐는 질문에는 "아무도 나를 찾을 수 없다" 면서 좋은 시간 되시길이라는 말로 대화를 마무리했다.




How your personal data is being scraped from social media

 

By Joe Tidy

 

Cyber security reporter, BBC News

 

Published2 days ago

 

IMAGE COPYRIGHTGETTY IMAGES

image captionHackers can manipulate software attached to social media platforms and extract data

 

How much personal information do you share on your social media profile pages?

 

Name, location, age, job role, marital status, headshot? The amount of information people are comfortable with posting online varies.

 

But most people accept that whatever we put on our public profile page is out in the public domain.

 

So, how would you feel if all your information was catalogued by a hacker and put into a monster spreadsheet with millions of entries, to be sold online to the highest paying cyber-criminal?

 

That's what a hacker calling himself Tom Liner did last month "for fun" when he compiled a database of 700 million LinkedIn users from all over the world, which he is selling for around $5,000 (£3,600; 4,200).

 

The incident, and other similar cases of social media scraping, have sparked a fierce debate about whether or not the basic personal information we share publicly on our profiles should be better protected.

 

In the case of Mr Liner, his latest exploit was announced at 08:57 BST in a post on a notorious hacking forum.

 

It was a strangely civilised hour for hackers, but of course we have no idea which time zone, the hacker who calls himself Tom Liner, lives in.

 

"Hi, I have 700 million 2021 LinkedIn records", he wrote.

 

LinkedIn logo

IMAGE COPYRIGHTGETTY IMAGES

image captionCareers networking site Linkedin was the target for Tom Liner's data scraping

 

Included in the post was a link to a sample of a million records and an invite for other hackers to contact him privately and make him offers for his database.

 

Understandably the sale caused a stir in the hacking world and Tom tells me he is selling his haul to "multiple" happy customers for around $5,000 (£3,600; 4,200).

 

He won't say who his customers are, or why they would want this information, but he says the data is likely being used for further malicious hacking campaigns.

 

The news has also set the cyber-security and privacy world alight with arguments about whether or not we should be worried about this growing trend of mega scrapes.

  

What's important to understand here is that these databases aren't being created by breaking into the servers or websites of social networks.

 

They are largely constructed by scraping the public-facing surface of platforms using automatic programmes to take whatever information is freely available about users.

 

In theory, most of the data being compiled could be found by simply picking through individual social media profile pages one-by-one. Although of course it would take multiple lifetimes to gather as much data together, as the hackers are able to do.

 

Clubhouse

IMAGE COPYRIGHTNURPHOTO

image caption1.3 million user records were scraped from audio-only social media app, Clubhouse

 

So far this year, there have been at least three other major "scraping" incidents.

 

In April, a hacker sold another database of around 500 million records scraped from LinkedIn.

 

In the same week another hacker posted a database of scraped information from 1.3 million Clubhouse profiles on a forum for free.

 

Also in April, 533 million Facebook user details were compiled from a mixture of old and new scraping before being given away on a hacking forum with a request for donations.

 

The hacker who says he is responsible for that Facebook database, calls himself Tom Liner.

 

I spoke with Tom over three weeks on Telegram messages, a cloud-based instant messenger app. Some messages and even missed calls were made in the middle of the night, and others during working hours so there was no clue as to his location.

 

The only clues to his normal life were when he said he couldn't talk on the phone as his wife was sleeping and that he had a daytime job and hacking was his "hobby".

 

Tom told me he created the 700 million LinkedIn database using "almost the exact same technique" that he used to create the Facebook list.

 

He said: "It took me several months to do. It was very complex. I had to hack the API of LinkedIn. If you do too many requests for user data in one time then the system will permanently ban you."

 

Tom Liner's profile

image captionTom Liner posted about his data scrape on a hacker forum

 

API stands for application programming interface and most social networks sell API partnerships, which enable other companies to access their data, perhaps for marketing purposes or for building apps.

 

Tom says he found a way to trick the LinkedIn API software into giving him the huge tranche of records without setting off alarms.

 

Privacy Shark, which first discovered the sale of the database, examined the free sample and found it included full names, email addresses, gender, phone numbers and industry information.

 

LinkedIn insists that Tom Liner did not use their API but confirmed that the dataset "includes information scraped from LinkedIn, as well as information obtained from other sources".

 

It adds: "This was not a LinkedIn data breach and no private LinkedIn member data was exposed. Scraping data from LinkedIn is a violation of our Terms of Service and we are constantly working to ensure our members' privacy is protected."

 

In response to its April data scare Facebook also brushed off the incident as an old scrape. The press office team even accidentally revealed to a reporter that their strategy is to "frame data scraping as a broad industry issue and normalise the fact that this activity happens regularly".

 

Mark Zuckerberg gestures with arms open in front of a padlock symbol on stage during a privacy speech

IMAGE COPYRIGHTGETTY IMAGES

image captionFacebook was hit by a data scrapping incident, with 533 million user records collected

 

However, the fact that hackers are making money from these databases is worrying some experts on cyber security.

 

The chief executive and founder of SOS Intelligence, a company which provides firms with threat intelligence, Amir Hadžipašić, sweeps hacker forums on the dark web day and night. As soon as news of the 700 million LinkedIn database spread he and his team began analysing the data.

 

Mr Hadžipašić says the details in this, and other mass-scraping events, are not what most people would expect to be available in the public domain. He thinks API programmes, which give more information about users than the general public can see, should be more tightly controlled.

 

"Large-scale leaks like this are concerning, given the intricate detail, in some cases, of this information - such as geographic locations or private mobile and email addresses.

 

"To most people it will come as a surprise that there's so much information held by these API enrichment services.

 

"This information in the wrong hands could be significantly impacting for some," he said.

 

Tom Liner says he knows his database is likely to be used for malicious attacks.

 

He says it does "bother him" but would not say why he still continues to carry out scraping operations.

 

Mr Hadžipašić, who is based in southern England, says hackers who are buying the LinkedIn data could use it to launch targeted hacking campaigns on high-level targets, like company bosses for example.

 

He also said there is value in the sheer number of active emails in the database that can be used to send out mass email phishing campaigns.

 

'No ambiguity'

 

But cyber-security expert Troy Hunt, who spends most of his working life poring over the contents of hacked databases for his website haveibeenpwned.com, is less concerned about the recent scraping incidents and says we need to accept them as part of our public profile-sharing.

 

"These are definitely not breaches, there's no ambiguity here. Most of this data is public anyway.

 

"The question to ask, in each case though, is how much of this information is by user choice publicly accessible and how much is not expected to be publicly accessible."

 

Troy agrees with Amir that controls on social network's API programmes need to be improved and says we can't brush off these incidents.

 

"I don't disagree with the stance of Facebook and others but I feel that the response of 'this isn't a problem' is, whilst possibly technically accurate, missing the sentiment of how valuable this user data is and their perhaps downplaying their own roles in the creation of these databases."

 

Mr Liner's actions would be likely to get him sued by social networks for intellectual property theft or copyright infringement. He probably wouldn't face the full force of the law for his actions if he were ever found but, when asked if he was worried about getting arrested he said "no, anyone can't find me" and ended our conversation by saying "have a nice time".

 

[기사/사진: BBC]


[이 게시물은 SVT님에 의해 2021-08-22 19:35:08 [종합 NEWS]에서 복사 됨]

Comment



번호 제   목 글쓴이 날짜 조회
1 [국제] 美 NSA 개발: 엄청 심각한 몸값악성프로그램, 99개국 컴퓨터 덮쳐 SVT 17-05-13 1005

[ 시사 View 社說 ]

고사성어의 나라 … 입력: 2021.10.10. [시사뷰타임즈] 우리 속담에 “소문난 잔치에 먹을 것 없다... 더보기

[BTI] 베스트 번역·통역

[BTI] 베스트 번역·통역원은 어떤 곳인가? ◇ 영어전문업체 [영작·한역·통역] <시사뷰타임즈> 우측 상단에 베스트 번역·통역 안... 더보기

[ 시사뷰타임즈 영상 ]

라셔 해군, 사상최초 핵잠함 발사 대함 초음속 순항미사일 실험 성공 (영상) Credit: Russia’s Ministry of Defense [RT 제공 동영상으로 보기] 입력 2021.10.4.RT원문 2021.10.4. [시사... 더보기

[지카 바이러스]

주민들, 빌게잇스 범죄적 실험 비난 불구 GMO 모기떼 방사 예정 자료사진: 에이이디즈 애집티 (Aedes aegypti) 모기가 코스타 리카 산 호세에서 잎사귀에 앉아 ... 더보기

[SVT 영어회화]

[POP 영어 26] Alizée - La Isla Bonita 프랑스 여가수 알리제[YOUTUBE으로 들으며 가사 보기] Alizée - La Isla Bonita Last night I dreamed of Sa... 더보기

[역사 속의 오늘]

[인사말씀] 그동안 오늘의 역사를 읽어주신 독자 여러분 감사합니다! 2015년 첫눈 풍경. 아직 열린감을 따지도 않았는데 감과 나뭇가지 위에 눈이 쌓여있다 <시... 더보기

[시사뷰 클릭 베스트]

독자분들께 말씀드립니다 ‘시사뷰타임즈 클릭 베스트’는 조횟수가 1천이 넘는 기사 또는 글을 올려놓는 곳입니다... 더보기

[ 세계의 독재자들 ]

풀헨시오 바티스타 이 살디바르 풀헨시오 바티스타 이 살디바르(Fulgencio Batista y Zaldívar, 1901년 1월 16일 ~ 1973년 8월 6일)는 큐... 더보기

[건강 Health ]

영국 WYTS: 미국산 고형설탕고명에 인공색소, 제과점 사용 금지령 도넛에 뿌려져 있는 고형설탕고명들 그리고 어매전 (아마존)에서 판매 중인 것의 모습※ ... 더보기

[ 전국 맛집 기행 ]

[복수한우날고기] 한우우거지국밥, 선지국밥 모두 3,500원? 위치: 대전광역시 중구 태평로 120(테평동 375-8) 입력 2020.6.3. [시사뷰타임즈] 이곳은 이미 ‘... 더보기

[고사성어]

박찬종의 격화소양 (隔靴搔癢) 입력 2019.6.5. [시사뷰타임즈] ‘강적들’이라는 프로그램에 출연한, 박찬종, 이재오는 ‘보... 더보기

[SVT 촛불문화제 보도물]

공공기관을 국민의 품으로! 민영화반대, 민주수호 범국민 촛불 http://wjsfree.tistory.com/75 March 22, 2014 Pan-Citizen Action Day Park Geun-hye who was illegally elected take respons... 더보기

[터져나오는 시국선언!]

[역대 대통령 개관]

박정희-1 한국:새로운 위험 요소들 이란 제목의 타임지 박정희(朴正熙, 1917년 11월 14일(음력 9월 30일)... 더보기

[역대 정당 개관]

민주당의 역사 출처 1987년 대통령선거 직전 김대중의 대통령후보 출마를 위해 창당된 평화민주당(平和民... 더보기

[SVT 컴퓨터문제 해결]

quantum computing 출처- QUANTAMAGAZINE ※ 양자 계산 (quantum computing): 원자의 집합을 기억 소자로 간주하여 원자... 더보기

[18대 대선 부정선거실체]

'제18대 대선 선거무효소송인단, 부정선거 관련 책 발간 (광고) 『제18대 대통령 부정선거 전자개표기 미분류표 집계 총람』책을 냈습니다! 안녕하... 더보기