개인정보 프로파일링, 다양한 방법으로 수집된 데이터가 개인정보가 돼
정보를 모아 만들어진 가상의 ‘페르소나’...표적화된 사이버 범죄에 이용
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다.[편집자주]
[보안뉴스 박은주 기자] 사이버 범죄자에게 개인정보는 퍼즐과 같다. 퍼즐 한 조각만 가지고 전체 그림을 파악할 수 없듯, 하나의 정보만으로는 인물을 특정할 수 없다. 그러나 퍼즐 조각을 맞추듯 이름, 나이, 취향, 활동 범위, 생년월일 등 개인정보를 하나씩 모으다 보면 한 인물을 특정할 수 있게 된다. 조각이 모여 그림이 완성되는 퍼즐처럼 말이다.
[이미지=gettyimagebank]
△이 주의 보안 용어
개인정보 프로파일링(Privacy Profiling)이란 다양한 방법으로 수집된 데이터를 분석해 개인 또는 그룹에 대한 새로운 특성이나 행태 정보를 생성하는 작업을 의미한다. 또한, 개인의 경제적 상황, 위치, 이동경로 등에 대한 분석과 예측 등 모든 형태의 자동화된 처리를 일컫는다. 일반적으로 알려진 범죄자의 신원이나 행적을 찾아내는 수법과는 다른 의미를 가지며, 프로파일링 자체는 범죄라고 볼 수 없다. 다만, 프로파일링을 이용한 사이버 범죄가 성행하고 있어 주의가 요구되고 있다.
사이버 범죄자는 인터넷에 떠돌아다니는 정보와 개인정보 유출사고로 다크웹에 업로드된 정보, 인터넷 검색 등 다양한 방법을 이용해 데이터를 수집한다. 데이터를 조합해 개인 또는 그룹의 특성을 파악하고 프로파일링하게 된다. 정보를 토대로 일종의 가상인물인 ‘페르소나’를 만들어 각종 공격에 사용하게 된다.
△이런 일이 있었다
사이버 범죄자들은 페르소나의 정보를 이용해 당사자나 혹은 주변 인물을 타깃으로 피싱 또는 스미싱을 이어간다. 가족이나 친구의 정보를 언급하며 교통사고나 핸드폰 분실 등을 이유로 금전을 요구하는 것. 상세한 정보를 알고 있으며, 긴급한 상황임을 연출하는 방법으로 상대방의 경계심을 허물고 피해로 이어지도록 한다.
한편, 2022년 9월 개인정보보호위원회에서 구글과 메타를 상대로 시정명령과 함께 과징금 1,000억을 부과한 일이 있었다. 이용자의 동의 없이 프로파일링 정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보보호법을 위반한 혐의였다. 구글과 메타를 이용하는 고객의 타사 서비스 행태 정보를 프로파일링 해 맞춤형 광고 등에 사용한 것이다. 이 과정에서 사전 고지와 이용자의 동의를 구하지 않았다.
△피해는 이렇게 막을 수 있다
결국 신뢰의 문제다. 비대면 환경일수록 상대방을 함부로 신뢰해선 안 된다. 프로파일링을 통한 공격의 경우 더 다양하고 세부적인 개인정보를 사용한다. 공개된 정보와 수집한 정보를 결합해 프로파일링을 진행했기 때문이다. 이는 표적화된 보이스피싱, 스피어피싱으로 발전될 확률이 높아 더욱 주의가 요구된다. 가족이나 지인을 언급하며 연락이 오더라도 당사자와 직접 연락을 통한 확인 과정이 필요하다.
한편, 프로파일링 정보를 가장 많이 가지고 있는 서비스는 ‘구글’이다. 구글에 개인정보 프로파일링 설정을 해제하면 더 이상 개인에 대한 프로파일링을 진행하지 않는다. 구글 계정관리에서 ‘광고 개인 최적화’ 사용을 비활성화하면 된다. 이렇게 되면 내게 알맞은 광고를 제공받지 못하게 되지만, 개인정보가 추정되고 사이버 범죄로 이어지는 위험을 줄일 수 있게 된다.
[도움말=보안119]
[박은주 기자(boan5@boannews.com)]
정보를 모아 만들어진 가상의 ‘페르소나’...표적화된 사이버 범죄에 이용
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다.[편집자주]
[보안뉴스 박은주 기자] 사이버 범죄자에게 개인정보는 퍼즐과 같다. 퍼즐 한 조각만 가지고 전체 그림을 파악할 수 없듯, 하나의 정보만으로는 인물을 특정할 수 없다. 그러나 퍼즐 조각을 맞추듯 이름, 나이, 취향, 활동 범위, 생년월일 등 개인정보를 하나씩 모으다 보면 한 인물을 특정할 수 있게 된다. 조각이 모여 그림이 완성되는 퍼즐처럼 말이다.
[이미지=gettyimagebank]
△이 주의 보안 용어
개인정보 프로파일링(Privacy Profiling)이란 다양한 방법으로 수집된 데이터를 분석해 개인 또는 그룹에 대한 새로운 특성이나 행태 정보를 생성하는 작업을 의미한다. 또한, 개인의 경제적 상황, 위치, 이동경로 등에 대한 분석과 예측 등 모든 형태의 자동화된 처리를 일컫는다. 일반적으로 알려진 범죄자의 신원이나 행적을 찾아내는 수법과는 다른 의미를 가지며, 프로파일링 자체는 범죄라고 볼 수 없다. 다만, 프로파일링을 이용한 사이버 범죄가 성행하고 있어 주의가 요구되고 있다.
사이버 범죄자는 인터넷에 떠돌아다니는 정보와 개인정보 유출사고로 다크웹에 업로드된 정보, 인터넷 검색 등 다양한 방법을 이용해 데이터를 수집한다. 데이터를 조합해 개인 또는 그룹의 특성을 파악하고 프로파일링하게 된다. 정보를 토대로 일종의 가상인물인 ‘페르소나’를 만들어 각종 공격에 사용하게 된다.
△이런 일이 있었다
사이버 범죄자들은 페르소나의 정보를 이용해 당사자나 혹은 주변 인물을 타깃으로 피싱 또는 스미싱을 이어간다. 가족이나 친구의 정보를 언급하며 교통사고나 핸드폰 분실 등을 이유로 금전을 요구하는 것. 상세한 정보를 알고 있으며, 긴급한 상황임을 연출하는 방법으로 상대방의 경계심을 허물고 피해로 이어지도록 한다.
한편, 2022년 9월 개인정보보호위원회에서 구글과 메타를 상대로 시정명령과 함께 과징금 1,000억을 부과한 일이 있었다. 이용자의 동의 없이 프로파일링 정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보보호법을 위반한 혐의였다. 구글과 메타를 이용하는 고객의 타사 서비스 행태 정보를 프로파일링 해 맞춤형 광고 등에 사용한 것이다. 이 과정에서 사전 고지와 이용자의 동의를 구하지 않았다.
△피해는 이렇게 막을 수 있다
결국 신뢰의 문제다. 비대면 환경일수록 상대방을 함부로 신뢰해선 안 된다. 프로파일링을 통한 공격의 경우 더 다양하고 세부적인 개인정보를 사용한다. 공개된 정보와 수집한 정보를 결합해 프로파일링을 진행했기 때문이다. 이는 표적화된 보이스피싱, 스피어피싱으로 발전될 확률이 높아 더욱 주의가 요구된다. 가족이나 지인을 언급하며 연락이 오더라도 당사자와 직접 연락을 통한 확인 과정이 필요하다.
한편, 프로파일링 정보를 가장 많이 가지고 있는 서비스는 ‘구글’이다. 구글에 개인정보 프로파일링 설정을 해제하면 더 이상 개인에 대한 프로파일링을 진행하지 않는다. 구글 계정관리에서 ‘광고 개인 최적화’ 사용을 비활성화하면 된다. 이렇게 되면 내게 알맞은 광고를 제공받지 못하게 되지만, 개인정보가 추정되고 사이버 범죄로 이어지는 위험을 줄일 수 있게 된다.
[도움말=보안119]
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)