지구상의 위치를 어디든 단어 3 개로 표현할 수 있는 방법이 있지만 아직 잘 알려지지 않아서 안타까운 생각이 든다. 아직도 사람들은 자신의 위치를 알리기 위해 구구 절절히 전화로 설명하지만 엉뚱한 곳으로 가는 사례가 잦다. 소방서에서는 전봇대에 부착된 정보을 이용해서 피재자의 위치를 파악하기도 한다. 스마트폰의 위치정보를 이용하기도 하지만 기지국의 정보을 이용하는 방법인지라 그 위치가 정확하지 않다.
하지만 여기 부정확한 위치정보에 골머릴 앓던 이가 세로운 위치정보 시스템을 만들었다.
지구를 펼쳐 평면을 만들고 가로 X 세로 3m 의 격자로 만들어서 오차 범위 3m 이내로 , 지구 어디든 저 멀리 바다 한 가운데도 찾을 수 있도록 한 것이다.
스마트폰의 보안을 얘기할 때 아이폰은 다른 스마트폰에 비해 보안이 잘돼 있고 해킹이 되지 않는다는 말을 많이 합니다. FBI 가 범죄 용의자의 아이폰 잠금을 풀어 줄것을 애플사에 요구해도 승복하지 않는 등 보안에 민감한 정치인 등의 인사들은 애플사의 방침을 옹호하기도 하죠. 여러가지 면에서 아이폰은 보안에 있어서는 안심하고 쓸 수 있다는 생각들을 많이 합니다.
아이폰의 폐쇄성 애플사의 아이폰의 앱들은 샌드박스 안에서 작동되기에 다른 데이터에 영향을 미치지 않습니다. 샌드박스는 미국의 가정집에서 아이들이 다치지 않도록 만들어 둔 샌드박스(모래 상자) 처럼 앱이 설치될 때 부터 그 앱의 샌드박스를 만들어서 앱이 손상되도 시스템과 다른 데이터를 보호하도록 설계 되어 있다고 합니다.
안드로이드의 개방성 이에 비해 Google은 안드로이드를 설계할 때 최대한 개방성과 유연성을 고려했습니다. 이는 사용자와 개발자들에게 쉽게 접근할 수 있도록 해주었고 아이폰에 비해 더 많은 자유를 제공했습니다. 그러다 보니 보안성에 있어서는 아이폰에 비해 떨어질 수 밖에 없는 것이지요. 2021년 10월 기준으로 스마트폰 시장의 OS점유율은 안드로이드가 71.1%로 압도적 1위,iOS가 28.2%로 2위였습니다. 해킹이 더 쉽고 더 많은 먹이감이 있다보니 안드로이가 해커들의 타겟이 될 수 밖에 없습니다.
그럼 아이폰은 완벽한 철옹성일까요 ? 대답은 No 입니다.
AWDL(Apple Wireless Direct Link) 취약점 공격 2021년 11월 30일 Google Project Zero 소속의 유명 화이트해커 이안 비어가 아이폰 해킹에 성공했다고 밝혔습니다. 무슨 거창한 장비를 마련해 해킹에 사용하지도 않았고 라즈베리파이와 100달러 상당 와이파이(Wi-Fi) 장비 그리고 코드 몇 줄만으로 해킹에 성공했습니다. https://youtu.be/_sTw7GGoJ6g
이 취약점의 문제점은 사용자가 악성 링크를 클릭하게 하거나 악성 문서를 열게 할 필요도 없었단 점입니다. 공격자가 피해자와 와이파이망 거리 정도 안에 있기만 하다면 피해자는 아무런 행동을 하지 않아도 감염이 됐습니다. 이 취약점을 통해 피해자의 모든 사진과 이메일, 비밀 메시지를 열람할 수 있으며, 아이폰으로 사용자가 하는 모든 일을 실시간으로 모니터링 할 수 있었다고 합니다.
이스라엘 NSO 그룹의 페가수스 앱을 이용한 공격 2021년 12월 이스라엘의 보안회사인 NSO그룹이 제작한 스파이웨어인 페가수스를 이용한 미국 정부기관 관리의 스마트폰을 감시한 사례가 확인되었습니다. 피해를 입은 것은 아프리카 동부 우간다에서 근무하는 미국 국무부 직원들이었고. 일부는 미국 국적의 외교관이며 현지인 대사관 직원도 포함된 것으로 알려졌습니다. 로이터는 적어도 9명이 표적이라고 보도했고, 월스트리트저널(WSJ)은 애플이 공격을 탐지하고 표적이 된 11명에게 해당 사실을 알렸다고 전했습니다. 페가수스는 저널리스트, 인권활동가,반체제인사파,정부관계자,대사관직원 등을 표적으로 악용되어 왔으며 2018년 터키에서 살해된 사우디아라비아 언론인 자말 카쇼끄지와 그의 주변인물도 표적이 됐고, 2021년 7월에는 마크롱 프랑스 대통령의 아이폰도 해킹 피해를 당한 사실이 알려졌습니다.
애플사는 프로그램 제작사인 NSO그룹을 상대로 소송을 제기했는데 , 소장의 내용은 "NSO그룹이 페가수스를 이용해 아이폰 이용자의 이메일이나 문자 메시지, 웹브라우저 열람 이력 등의 정보를 수집할 수 있고 단말 카메라 및 마이크에도 접속할 수 있다"고 지적하며 NSO그룹이 자사 소프트웨어나 서비스, 단말 사용을 못하도록 하는 명령을 법원에 요청했습니다. 페가수스는 포스드엔트리(Forced Entry) 라는 해킹기법을 활용했으며 iOS 14.7.1 및 이하 버전들에서 작동하는 익스플로잇으로, 피해자가 아무런 클릭을 하지 않아도 아이폰에 침투해 공격의 활로를 열어두는 기능을 가지고 있습니다. GIF 파일들을 처리하는 iOS 요소들 속에 컴퓨터 에뮬 환경을 만든다고 합니다. 포스드엔트리를 분석한 구글사의 분석팀인 프로젝트 제로팀은 이런 소스를 본적이 없으며 “이걸 개발하는 데 공을 세운 인물이 누구인지 모르겠지만 천재 이상일 것”이라고 말하기도 했다고 합니다.
개인정보가 도대체 뭐지 ? 이름, 전화번호, 이메일 그 외에 뭐가 있는데 해다마 개인정보 침해 , 주민번호 노출 등에 대한 뉴스가 끊이지 않는 것일까?
개인정보보험에 따른 개인정보의 정의 개인정보의 개념 “개인정보”란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보를 말합니다(「개인정보 보호법」 제2조제1호). 1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으 로 고려해야 함) 3. 1. 또는 2.를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명정보"라 함) "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개 인을 알아볼 수 없도록 처리하는 것을 말합니다(「개인정보 보호법」 제2조제1호의2).
보험(건강, 생명 등) 가입현황, 회사의 판공비, 투자프로그램, 퇴직프로그램, 휴가, 병가
신용정보
대부잔액 및 지불상황, 저당, 신용카드, 지불연기 및 미납의 수, 임금압류 통보에 대한 기록
고용정보
현재의 고용주, 회사주소, 상급자의 이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록, 성격 테스트결과 직무태도
법적정보
전과기록, 자동차 교통 위반기록, 파산 및 담보기록, 구속기록, 이혼기록, 납세기록
의료정보
가족병력기록, 과거의 의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트 등 각종 신체테스트 정보
조직정보
노조가입, 종교단체가입, 정당가입, 클럽회원
통신정보
전자우편(e-mail), 전화통화내용, 로그파일, 쿠키
위치정보
GPS나 휴대폰에 의한 개인의 위치정보
신체정보
지문, 홍채, DNA, 신장, 가슴둘레 등
습관 및 취미정보
흡연, 음주량, 선호 스포츠 및 오락, 여가활동, 비디오 대여기록, 도박성향
개인정보의 침해유형
유형
예시
내/외부 인력에 의한 개인정보 유출
OO시 공무원이 사립묘지 연고자 개인정보 장묘업체 관계자에게 유출
영리적 목적을 위한 개인정보 매매
주민센터 직원이 심부름센터 등에 건당 만원씩 받고 개인정보 판매
무분별한 개인정보 오남용
차량등록시스템에 있는 차량번호, 주민번호, 이름 등 150명의 정보를 다른 공무원으로부터 건네 받아 개인적 목적으로 사용
허술한 관리에 의한 홈페이지 노출
민원인 수백명의 이름, 주민번호, 주소 등 개인정보가 포함된 보도자료를 인터넷 홈페이지에 공개
기업 및 담당자의 관리 미흡
은행 직원의 부주의로 고객의 개인정보가 포함된 리스트를 상품안내 이메일에 첨부하여 발송
개인정보 보호방법 (개인정보 오남용 피해예방 10계명) KISA(한국인터넷진흥원)에서는 개인 및 기업(개인정보처리자)에 대해 개인정보를 안전하게 보호하기 위한 가이드라인을 제공하고 있습니다. ▲ 개인정보 수집 및 이용목적 항목 검토 후 가입/제공 사업자는 [정보통신망 이용촉진 및 정보보호 등에 관한 법률]에 따라 회원가입 등의 방법으로 개인정보를 수집하고자 할 경우 개인정보 수집 및 이용목적, 보유 및 이용기간, 위탁업무의 내용 및 수탁자 등 개인정보 취급 관련 내용을 개인정보 취급방침에 포함하여 공개하도록 하고 있습니다.(제 27조의 2)
따라서 이용자는 회원가입을 하거나 개인정보를 제공할 경우 사업자의개인정보 수집 및 이용목적 등을 자세히 검토한 후 가입/제공해야 합니다.
▲ 비밀번호를 타인이 유추하기 어렵도록 영문/숫자 등을 조합하여 8자리 이상으로 설정 안전한 패스워드란 제 3자가 쉽게 추측할 수 없으며, 인터넷을 통해 전송되는 정보를 해킹하여 이용자 패스워드를 알 수 없거나 알 수 있어도 많은 시간이 요구되는 패스워드를 말합니다.
▲ 가급적 안전성이 높은 주민번호 대체수단(아이핀:i-PIN)으로 회원가입을 하고, 꼭 필요하지 않은 개인정보는 입력 지양 아이핀(i-PIN)은 인터넷상 개인식별번호(Internet Personal Identification Number)로써, 대면확인이 어려운 온라인에서 본인확인을 할 수 있는 수단의 하나입니다.
인터넷 이용자가 주민등록번호를 제공하지 않으면서 본인확인을 할 수 있는 방법 이므로 개인정보(주민등록번호)의 오/남용을 줄일 수 있습니다.
아이핀(i-PIN)은 이용자가 인터넷 사이트의 회원가입이나 성인인증 등을 위해 자신의 신원정보를 본인확인기관에 제공하고 본인확인이 필요할 때마다 식별 ID와 비밀번호를 이용하여 본인확인을 받는 방법으로 다수의 본인확인기관이 서비스를 제공하고 있습니다.
▲ 자신이 가입한 사이트의 비밀번호를 주기적으로 변경 권장하는 패스워드 변경주기는6개월이며 패스워드 변경 시 이전에 사용하지 않은 새로운 패스워드를 사용하고 변경된 패스워드는 예전의 패스워드와 연관성이 없어야 합니다.
▲ 타인이 자신의 명의로 신규 회원가입 시 이를 통지 받을 수 있도록 명의도용 확인 서비스 이용 자신의 개인정보가 노출되어 타인이 자신의 명의로 자신도 모르게 회원가입이 되어있는 경우가 있으므로 명의도용 확인 서비스를 이용하여 인터넷 가입정보 확인, 정보도용 차단, 실명인증기록 조회 등을 확인할 수 있습니다.
▲ 자신의 개인정보는 타인에게 공개 금지 주위의 친구나 가족에게 자신의 아이디나 비밀번호, 개인정보를 공개하여 타인이 본인의 정보를 악용하기도 하므로 가능한 자신의 개인정보는접근 권한을 제한하거나 주의하여 본인의 개인정보 오/남용을 최대한 막아야 합니다.
▲ P2P로 제공하는 자신의 공유폴더에 개인정보 파일이 저장되지 않도록 주의 P2P(Peer to Peer)서비스는 웹사이트로 한정되어 있던 정보추출 경로를 개인, 회사가 운영하는 DB까지 확대할 수 있습니다.
따라서 자신의 개인정보 또는 다른 사람의 개인정보를 공유폴더에 저장하여 P2P 사이트에 올리는 것은 개인정보 노출 및 오/남용을 극대화 하는 것이라 볼 수 있으므로, 개인정보가 포함된 파일은 홈페이지나 공유폴더에 게시하지 않고개인 메일로 전송하거나 오프라인에서 배포하여야 합니다.
▲ 금융거래 시 신용카드 번호와 같은 금융 정보 등을 저장할 경우 암호화 하여 저장 신용카드 번호와 같은 금융정보 등의 중요한 개인정보들은 문서에 작성하여 저장할 경우 암호화 기능을 제공하는 문서 프로그램을 사용하여야 합니다.
개인정보가 담긴 문서를 프린트하여 다른 사람들이 볼 수 있는 곳에 두거나 문서파일을 PC방 등 개방 환경에서 사용 및 복사를 자제하고 복시 시 반드시 삭제하여야 합니다.
▲ 믿을 수 있는 자료만 다운로드 인터넷상에서 정확히 모르는 파일을 다운로드 하게 되면 그 파일이 개인정보를 유출하는 프로그램일 경우도 있고 해킹 프로그램일수도 있으므로 파일을 다운로드 실행 시 이용자 개인 PC에 있는개인정보를 유/노출 시킬 수 있으므로 파일 내역을 잘 모르거나 의심이 가는 자료는 다운로드 하지 않습니다.
▲ 개인정보가 유출된 경우 해당 사이트 관리자에게 삭제를 요청하고, 처리되지 않는 경우 즉시 개인정보침해신고센터 (국번없이 118, privacy.kisa.or.kr)에 신고 개인정보침해신고센터는 신속한 신고 접수 및 대처 요령에 대해 상담을 하고 있습니다. 개인정보 유출 시 대응방법 ▲ 개인적인 대응
▲ 사회적 측면에서 할 일
개인정보 유출 신고 개인정보 유출시 미신고하면 3,000만원 이하의 과태료 처분됩니다.
개인정보 유출 : 법령이나 개인정보처리자 등의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자 등이 통제를 상실하거나 권한 없는 자의 접근을 허용한 것을 말합니다.
개인정보 유출신고 제도 : 개인정보처리자 등은 개인정보 유출이 발생하지 않도록 안전성 확보 조치를 취해야 하며, 개인정보 유출이 발생한 경우 아래의 기준에 따라 신고하여야 합니다.
개인정보 유출 시 처벌사항 개인정보를 유출·위조·변조 또는 훼손한 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제73조제1호).