얼굴인식 기술로 SNS 사용자 추적하는 도구 나와

아마존이 판매중인 얼굴인식 프로그램 ‘리코그니션‘, 미국 국토안보부의 출입국 관린 시스템으로 제안되어 있으면, 플로리다중와 워싱턴 주 경찰을 이미 활용중이다. 요수아 벤지오 몬트리올대 교수는 아마존에 공개편지를 보내, 리코그니션을 사법당국에 판매하는 것을 중단하라고 요청한 바 있다.

[구본권의사람과디지털]
미국 보안기업 “사회공학 해킹 대비위해 서비스”
자동으로 계정-얼굴 인식해 개인별 프로파일링
기업 “공개정보 활용한 보안 취약점 테스트용”
소셜미디어에 공개한 정보의 위험성 “현실화”

소셜네트워크 서비스 계정을 사용하는 인터넷 이용자들의 프라이버시를 없애고 <1984>처럼 감시사회를 불러올 위험성이 있는 새로운 서비스가 등장했다.

미국의 사이버보안기업인 트러스트웨이브(Trustwave)는 다양한 소셜미디어 플랫폼에서 이용자들의 이름과 프로필 사진을 자동으로 연결시켜 프로파일링해주는 ‘소셜 매퍼(Social Mapper)’라는 오픈소스 도구를 출시했다.

이 회사 홈페이지와 <포브스> 등에 따르면, 소셜 매퍼는 일종의 해킹 도구로, 공개된 소셜미디어 계정과 사진, 이메일을 활용해 특정 사이트 접근계정을 탈취하고자 하는 시도를 하거나 이러한 해킹 시도를 감지해내는 데 쓰일 수 있다.

소셜 매퍼는 링크드인, 페이스북, 트위터, 구글플러스, 인스타그램, 웨이보, 브이콘탁테(VKontakte: 러시아 소셜미디어), 두반(Douban: 중국 소셜미디어) 등 다양한 소셜미디어 플랫폼에 있는 추적 대상자들의 이름을 검색하고 오픈 소스 얼굴인식 기술을 활용해 프로필 사진을 매칭시켜 추적 대상자에 관한 정보파일을 만들어낸다. 이 도구는 이름과 사진을 매칭시킨 뒤엔 각 소셜미디어 플랫폼에서 추적 대상자들의 계정에 접근해 친구를 맺고, 이들에게 특정 사이트에 대한 암호 등 보안정보 탈취를 노리는 피싱메일이나 링크를 보낸다. 이 회사는 홈페이지를 통해, 소셜 매퍼가 피싱메일이나 링크를 통해 사용자 개인정보와 사이트 비밀번호를 탈취하려는 침해범죄에 대응하기 위한 방어수단이 될 수 있다고 밝히고 있다. 해킹 범죄집단의 기술이 이들을 막는 침해사고 예방 대책에도 동일하게 활용되는 현실이다.

트러스트웨이브의 소셜 매퍼는 프로파일링 대상 인물들을 목표로 설정하면 이들의 소셜미디어 계정과 사진정보를 종합해, 상세한 개인정보 파일을 만들어낸다. 트러스트웨이브 제공.

사이버보안기업들은 고객기업들의 사이버보안 대책을 마련하기 위해서 종종 고객기업 직원들에게 피싱메일을 보내 해킹을 시도하는 테스트를 통해, 보안 취약점을 발견하는 방법을 사용하곤 한다. 가장 흔하면서도 결정적인 보안 취약점은 사람들의 심리를 이용하는 사회공학적 해킹이다. 직원들의 소셜미디어 계정과 개인정보가 모두 잠재적인 보안 취약점이기 때문에 보안기업들은 이러한 테스트를 진행하는데 많은 시간과 노력을 쏟아야 했다. 소셜 매퍼는 자동매칭과 검색을 통해 작업의 효율성을 높이고 필요시간을 크게 단축했다고 홍보한다.

트러스트웨이브의 침해전략관리자인 칼 시글러는 “우린 별도의 응용프로그램(API)을 전혀 사용하지 않았고 모두 공개적으로 접근가능한 데이터만을 활용한다”며 “(목표 대상자에 대한) 모든 정보를 수집하면 아주 강력한 피싱메일을 만들어낼 수 있다”고 <포브스>를 통해 밝혔다.

공개된 정보와 사진을 얼굴인식 기술로 매칭하고 개인정보 기반 맞춤화된 피싱메일을 보내는 도구가 등장했다는 것은 특정 기업만이 아니라, 소셜미디어와 인터넷 사용자 전체를 잠재적 피해자로 전락시킨다는 걸 의미한다.

페이스북은 이용자들의 공개 프로필 정보가 조직적으로 자동수집되고 있다는 발견함에 따라 최근 가입자가 이메일 주소나 전화번호를 알고 있는 사람의 계정을 자동 스크랩하는 기능을 비성활화시켰다.

하지만 소셜미디어에 공개된 계정과 이름을 자동얼굴인식 기술을 이용해 매칭시켜 개인정보 파일을 만들고 이를 이용해 피싱메일까지 보내는 도구가 등장한 상황에서 거의 실효성이 없는 조처에 불과하다.

구본권 선임기자 starry9@hani.co.kr