본문 바로가기

벌새::Security

국내 명의도용 검색 프로그램의 신뢰성

반응형

얼마 전 정부 차원에서 개인정보 도용으로 인한 클린 캠페인을 한국정보보호진흥원에서 실시하였습니다.


그리고 최근 해당 캠페인에 대한 결과를 이메일을 통해 통지를 받았는데 흥미로운 내용이 포함되어 있었습니다.

해당 캠페인을 통해 신청된 건수는 1,480만건이라는 엄청난 신청과 함께, 실제 캠페인에서 제공된 서비스를 통해 접수된 사이트 중 48% 정도는 존재하지 않은 사이트 또는 정지된 사이트라는 점입니다.

예를 들어 검색 사이트를 통해 특정 검색을 하였을 경우 노출되는 검색값 중 특정 결과는 실제로 사라진 정보의 흔적일 수 있듯이, 개인정보 도용과 관련된 서비스에서 검색된 값 중 절반 가까이는 이미 사라진 정보 또는 도용이 되어도 이미 해결할 수 없는 상태에 있는 것들일 수 있다고 해석할 수 있습니다.

특히 탈퇴 대행의 경우에도 해당 사이트 정책으로 인하여 실제 사용자가 직접 탈퇴를 신청하지 않으면 안되는 문제점도 갖고 있는 것을 확인할 수 있으며, 암호화 처리로 인하여 가입 여부를 확인할 수 없는 사이트도 존재합니다.

실제로 검색을 해 보면, 해당 사이트에 가입을 한 것이 아닌 일정 시간 또는 일회성으로 성인 인증을 받은 경우도 있기에 해당 사이트를 알아도 이 부분에 대해서는 특별히 제한할 수 있는 부분은 존재하지 않아 보입니다. 만약 알림 서비스를 이용하더라도 누군가 1회성으로 인증을 받는 경우 속만 더 썩일 수 있을 것도 같습니다.

최근의 다양한 개인정보 도용과 해킹 사고로 인하여 이슈가 되는 상황에서 국내의 경우 다양한 개인정보 도용 관련 검색 프로그램이 출현하고 있기에 이런 프로그램의 모습을 간단하게 살펴 보겠습니다.

[프로그램 테스트에 관하여]

1. 해당 프로그램의 이름은 Blur 처리를 통해 노출이 되지 않도록 하였습니다.
2. 테스트에 사용된 개인정보의 소유자는 컴퓨터를 한 번도 사용하지 않았습니다.
3. 프로그램은 해당 제작사 홈페이지를 통해 다운로드하여 총 6개 제품입니다.
4. 이 테스트는 일부 개인정보 도용 관련 프로그램에 대한 맹신은 위험하다는 것을 보여주기 위함이며, 특정 업체를 추천 또는 비방하는 글이 아님을 밝힙니다.

 

해당 제품 뿐 아니라 테스트에 나오는 프로그램에서 언급하는 공통적인 문구가 있습니다.

[명의도용 가능성이 높은 웹사이트를 찾아 드립니다.]

이 문구에서 밝히고 있듯이 실제 검색되어 나오는 사이트가 누군가 자신의 개인정보를 이용하여 해당 사이트에 회원 가입을 한 상태라고 단정짓지 못하다는 점입니다.

일단 이런 프로그램은 해당 사이트와 업무 제휴를 통해 가입 유무를 확인할 수 있도록 하고 있지 않나 생각됩니다. 그렇지만 그런 사이트 중에는 단순히 성인인증으로 사이트를 둘려보거나 하는 기능이 포함되어 있다면 이 역시 검색 결과에 노출될 가능성이 있고 이 결과만 믿고 해당 서비스를 유료로 이용한다면 실제로 자신의 개인정보 도용에 대처할 수 있는 방법은 많아 보이지 않습니다.

해당 제품의 경우 검색 결과로 5개 사이트가 의심스럽다고 밝히고 있지만, 그 진위는 알 수 없습니다.

 

 

해당 제품의 경우도 위의 제품과 동일하게 5개의 결과값을 표시하고 있습니다.

검색되는 결과는 유료 결재를 해야지 노출이 되는 구조로 보이지만, 일부 도메인의 경우 **.* 이라는 것을 통해 실제 존재하는 도메인인지 의심스럽게 만들고 있습니다.

 

이 제품의 경우에는 초기에 명의도용 가능성을 언급하였지만, 결과값에서는 사이트 가입을 언급하고 있으므로 실제 가입된 사이트인지는 확신할 수 없게 만들고 있습니다.

일부 제품에서 국내/해외 최대 사이트 정보 보유라는 홍보 문구는 과대 광고라는 점도 유념해 두셔야 할 부분이라고 보여집니다.

 

 

이 제품의 경우에는 검색 중 오류, 정책 변경, 인터넷 접속 지연 등의 변수로 인하여 결과에 오류가 생길 수 있다고 언급하고 있습니다.

과거 드림위즈에서 제공하던 명의도용 검색 중 결과값에는 일부 사이트 접속 지연 또는 불량으로 인하여 검색을 하지 못한 부분에 대한 내용이 안내된 적이 있었습니다. 이렇듯이 특정 시간대에 검색 오류는 분명 발생할 여지가 존재하다는 것도 유념해 둘 사항 중의 하나로 봐야겠습니다.

이 제품에서는 가입된 사이트가 존재하지 않다는 결과가 나왔습니다.

위의 국내 최대 DB 보유업체와 이 제품의 최대 DB 보유업체와는 누군가 거짓말을 하고 있지 않을까요?

이 제품은 바로 위의 제품과 제품명과 서비스 업체가 다릅니다. 하지만 쌍둥이입니다.

재미있는 것은 해당 제품은 자신의 제품명이 무엇인지 조차 깜빡하고 엉뚱한 이름을 제품에 표기까지 하고 있는 제품입니다.

모든 내용이 동일하므로 아마 위의 제품과 이 제품은 동일한 곳에서 제작하여 다른 이름으로 배포하고 있는 것으로 추정됩니다.

국내 악성코드 치료 프로그램 중에도 이와 유사한 방식으로 서비스하는 곳이 존재하기에 170여개 이상의 제품이 국내에서 존재할 수 있으리라 보여집니다.

 

 

이 제품의 경우에는 이런 종류의 프로그램 중 가장 최신에 나온 제품으로 현재 무료로 서비스하고 있는 것으로 보입니다.

정상적으로 어떤 사이트에도 가입이 된 것으로 추정되는 사이트가 없음을 표시하고 있습니다.

특히 이 제품의 경우 정확한 표현을 하였다고 볼 수 있는 부분이 [가입 추정 사이트]라는 부분이 아닐까 생각됩니다.

 

 

마지막으로 살펴볼 제품은 이전 제품들과는 다르게 웹상에서 ActiveX 방식으로 구현하는 제품입니다.

하지만 실제 프로그램을 설치하면 사용자 컴퓨터에 광고 관련 팝업 프로그램을 설치하고 프로그램 삭제 후에도 윈도우 폴더에서 계속 파일이 지워지지 않은 상태로 존재하고 있는 것을 확인하였습니다.

실제 해당 서비스 이용시 기입하는 이메일을 통한 결과 안내는 의심 사이트가 존재하지 않아서 통보가 되지 않는지 전달되는 이메일이 없었습니다.

현재 국내에 프로그램 설치 방식으로 제공되는 개인정보 도용 확인 서비스는 제가 파악하기로는 위와 같은 6종류가 있으며, 그 외에 S업체 등 유명 서비스 업체가 별도로 존재하고 있습니다.

처음에도 언급을 하였지만 확인 서비스를 통해 자신도 모르고 있던 도용을 확인할 경우에는 유용하지만 일부 추정되는 사이트로 인하여 금전적 피해를 볼 수 있다는 점도 유념해 두시는 것이 좋을 것 같습니다.

728x90
반응형