본문

GDPR(유럽연합 개인정보보호 규정)을 적용받지 않는 페이스북(Facebook) 데이터 유출

개인정보보호

등록일  2021.04.09

조회수  57

프로필 이름(profile names), 휴대폰 번호 및 위치 데이터를 포함하여 약 53,300만 명의 사용자에 대한 데이터 유출이 발생된 소셜 미디어 플랫폼에 대한 규제 조치에 대한 논의가 촉발되었다. 그러나 GDPR(유럽연합 개인정보보호 규정, 이하 GDPR)에 따라 유출 사례를 처리하는 것은 가능하지 않을 것 같다 

 

아일랜드 데이터 보호 위원회(Ireland’s Data Protection Commission, 이하 DPC)에 따르면-아일랜드에서 페이스북이 상당히 성행했기 때문에 발생된 사건에 대한 조사를 일찍 시작했지만-데이터 유출 시기(data age)GDPR의 시행 이전이었다 

 

DPC는 다음과 같이 설명했다. 2019년과 2018년에 페이스북 웹사이트의 대규모 데이터 추출(scraping, 이하 스크래핑)*이 공개되었는데, 이에 대해 페이스북은 20176월부터 20184월까지 폰 검색 기능(phone lookup functionality)의 취약점을 차단하면서 스크래핑이 발생했다고 밝혔다. GDPR 시행 이전에 스크래핑이 발생했기 때문에, 페이스북은 이를 GDPR에 따른 개인 데이터 침해로 통보하지 않기로 결정했다.

* 데이터 스크래핑 : 컴퓨터 프로그램이 다른 프로그램에서 생성된 결과물로부터 데이터를 추출하는 기법 

 

새로 공개된 데이터셋(dataset)*2018(GDPR 이전) 데이터 셋으로 구성되고, 이후에 추가된 레코드(records)와 결합 된 것 같다.”

* 데이터셋 : 특정한 작업을 위하여 지리적 자료를 확인 가능하게 서로 관련된 자료를 모아 놓은 것으로 자료 원(Source)으로부터의 여러 형식(Format)으로 된 자료를 포함할 수 있음. 

 

DPC는 페이스북의 데이터셋은 제3자에 의해 수집된 것으로, 잠재적으로 여러 출처에서 수집된 것으로 판단된다며 추가 조사가 필요하다고 말했다. 페이스북은 데이터셋 유출과 관련하여 전적으로 협력하고 있는 것으로 파악된다 

 

GDPREU 법에 따라 2,000만 유로(20m) 또는 연간 매출의 4%에 해당하는 과징금을 부과하고, 영국 법에 따라 17.5백만 파운드(£ 17.5m) 또는 연간 매출의 4% 중 더 큰 과징금을 부과한다. 미국에서는 캘리포니아 프라이버시 규정(California’s benchmark privacy regulations)에 따라 법무부 장관이 위반 1건당 2,500달러의 벌금을 부과할 수 있다. 만약 부과된다면, 벌금은 수십억 달러에 이를 수 있다 

 

이스라엘에 본사를 둔 사이버범죄 정보업체 허드슨 록(Hudson Rock)의 공동 창업자 겸 최고기술책임자(CTO)인 앨런 갤(Alon Gal)에 따르면 유출된 데이터는 20211월까지 비합법적인 곳(underground forum)에서 발견되었다고 한다. 앨런 갤은 비합법적인 곳을 이용하는 사용자가 적은 비용으로 데이터베이스를 조회할 수 있는 봇(bot)을 만들어 다양한 사이버 사기 행각에 활용하고 있음을 보여주는 증거를 제시했다 

 

지난 12개월 동안 급격히 급증한 스미싱(SMS 피싱)* 공격과 같이, 데이터 유출로 인해 주로 소비자를 대상으로 하는 사기행각이 크게 증가할 것이라는 관측이 많았다.

* 스미싱(SMisihing) : SMS와 피싱(Phishing)의 합성어로 문자메시지를 이용한 휴대폰 해킹 기법 

 

프루프포인트(Proofpoint)의 클라우드마크(Cloudmark) 부사장인 자킨타 토빈(Jacinta Tobin)은 사기성 브랜딩(fraudulent branding)*을 사용하여 링크를 클릭하도록 하는 문자 메시지 사기가 이메일 피싱(phishing)**보다 더 성공적이라고 말했다.

* 사기성 브랜딩(fraudulent branding) : 제품 광고를 문자 메시지로 전달하여 링크를 클릭하게 하는 사기 기법

** 이메일 피싱(phishing) : 이메일을 통해 개인 정보를 알아내어 사기를 치는 범죄 수법 

 

자킨타 토빈은 소비자들은 모바일 메시지를 신뢰(trust)하며, 이메일보다 모바일 메시지 텍스트에 포함 된 링크를 읽고 접근 할 가능성이 훨씬 더 높다.”라고 말했다 

 

또한 모바일 장치와 결합된 이러한 수준의 신뢰(trust)는 사기 및 신원 도용에 적합한 모바일 채널(mobile channel)에 대비하여야 한다. 소비자는 출처를 알 수 없는 모바일 메시지에 대해 매우 회의적이어야 한다. 문자 메시지의 링크가 아무리 현실적이라 하더라도 절대 클릭하지 않는 것이 중요하다.” 고 하면서, 

 

링크를 보내는 공급업체에 문의하려면 해당 업체의 웹 사이트를 통해 직접 연락하고 항상 수동으로 URL을 입력하라. 코드를 제공받으려면, 해당 업체 사이트에 직접 방문하라. 또한 낯선 문자나 알려지지 않은 출처의 문자에는 반응하지 않는 것이 중요하다. 그렇게 하는 것은 종종 여러분이 미래의 사기꾼들에게 당신이 실제 사람(real person)이라는 것을 확인시켜 줄 것이다.” 라고 말했다 

 

카스퍼스키(Kaspersky)의 최고 비즈니스 책임자 알렉산드로 모이세프(Alexander Moiseev)는 페이스북 사용자들에게 소셜 미디어 플랫폼에 제공하는 정보에 대해 더 주의 할 것을 권고했다 

 

알렉산드로 모이세프는 인터넷에 자신에 대한 다른 정보를 남기는 데 익숙할 수 있지만, 우리가 정말로 공개하고 싶은 것과 그렇지 않은 것은 구분해야 한다고 말했다. 

 

그렇기 때문에 피싱(phishing)*, 소셜 엔지니어링(social engineering)** 또는 계정 침입을 통한 계좌 탈취(account takeovers)***에 대해 데이터가 잘못 표시되는 경우 데이터를 어떻게 사용할 수 있는지 이해하는 것이 중요하다. 또한 이러한 상황이 발생한 경우 장치에 대한 전용 보호 기능을 준비하고 사용하는 것이 중요하다.”

* 피싱(phishing) : 전자 우편이나 메신저를 사용해서 믿을 만한 사람이나 기업이 보낸 것처럼 가장하여, 비밀번호나 신용 카드 정보와 같이 기밀을 유지해야 하는 정보를 부정하게 얻으려는 수법

** 소셜 엔지니어링(social engineering) 공격 : 시스템에 침입하는데, 기술적인 해킹 기법을 사용하는 대신 사람의 심리를 악용해 시스템 또는 데이터, 건물에 대한 출입 권한을 확보하는 기술로, 사회공학적 공격이라고도 함

*** 계정 침입을 통한 계좌 탈취(account takeovers) : 컴퓨터 자동 프로그램으로 타인의 계정에 접속하여 계좌의 돈을 탈취하는 신원 도용 금융 범죄 

 

전례 없는 높은 관심으로, 페이스북에서 유출 된 전화번호는 이제 HIBP(HaveIBeenPwned, 페이스북 이용자의 개인정보 유출 여부를 확인해주는 사이트)에서 검색 할 수 있게 되었다. HIBP는 데이터에 전화번호를 포함시킨 것은 처음이다 

 

페이스북 사용자는 데이터 유출 후 며칠 동안 생겨난 여러 다른 사이트 중 일부는 피싱(phishing)을 시도하는 사이트 일 수 있기 때문에, 오랫동안 확립되고 신뢰할 수 있는 HIBP 서비스를 이용하는 것이 좋다 

 

기사 및 사진 :  https://www.computerweekly.com/news/252498884/Facebook-data-leak-could-be-outside-scope-of-GDPR

국내 관련 기사 :

더 팩트, 페이스북 53000만 명 개인정보 유출...한국인도 12만명 (http://news.tf.co.kr/read/world/1852143.htm)

데일리 시큐, 유출된 페이스북 이용자 정보, 사이버공격에 악용될 위험 커 (https://www.dailysecu.com/news/articleView.html?idxno=122913)

ZDNet Korea, 페이스북 “53천만명 정보 유출, 해킹사고 아냐” (https://zdnet.co.kr/view/?no=20210408132252)

YTN, 페이스북 “20199월 이전 53천만명 개인정보 추출당해” (https://www.ytn.co.kr/_ln/0104_202104071235369191) 

 

<참고자료>

GDPR(유럽연합 개인정보보호 규정) 

 

유럽 의회에서 유럽 시민들의 개인정보 보호를 강화하기 위해 만든 통합 규정 

 

2016년 유럽 의회에서 공표되었으며(Regulation(EU) 2016/679), 2년 간의 유예 기간을 가진 후 2018525일부터 EU 각 회원국에서 시행되었다. 유럽 연합(EU)의 시민의 데이터를 활용하는 경우 GDPR을 준수해야 한다. 

 

GDPR 개인정보 처리 원칙

- 합법성·공정성·투명성의 원칙

- 목적 제한의 원칙

- 개인정보 최소처리 원칙

- 정확성 원칙

- 보유기간 제한의 원칙

- 무결성·기밀성의 원칙

- 책임성의 원칙 

 

GDPR 주요 권리

- 정보를 제공받을 권리(the right to be informed)

- 정보 주체 접근권(the right of access)

- 정정권(the right to rectification)

- 삭제권리(the right to erasure(the right to forgotten))

- 처리 제한권(the right to restrict processing)

- 개인정보 이동권(the right to data portability)

- 반대권(the right to object)

-      프로파일링을 포함한 자동화된 의사결정(rights in relation to automated decision making and profiling)

 

출처 : 방송통신위원회·한국인터넷진흥원, 우리 기업을 위한 2020 EU일반개인정보보호법(GDPR)  가이드북, 2020.5.

 

 

 

 

 
 

 

 

첨부파일
이미지 2021-04-09 (페이스북).jpg (13.9KB / 다운로드  7)