이용자 인증이 필요한 사이트를 프리월(freewalled)이라고 지칭하는 것, 나름 재미있음
이 앱은 기본적으로 Peeple과 거의 똑같은 구조고 단지 여성만 가입할 수 있게 제한한 버전임. Peeple이 실패한 이유는 편견과 험담을 100% 차단할 수 없었기 때문임. 누군가 질투나서 상대를 비방하고 그게 사실인 것처럼 올려버리면, 피해자는 취업이나 연애에서 타격 있게 됨. 그래서 VC나 온 인터넷이 비웃다 결국 문 닫음. Tea는 도대체 어떻게 합법적인지 의문이고, 합법적으로 명예훼손 타이머 달린 느낌임
명예훼손(비방 또는 모욕)은 사실이 아니거나 직접적으로 사실이라고 오해할 수 있도록 하는 것만 성립함. 실제 위험에 노출된 손해를 발생시키거나 법적으로 이미 손해로 간주되는 것만 해당임. "이 남 지 creepy하고 연인을 끔찍이 대함" 이런 건 순전히 의견일 뿐임. 의견이 명예훼손이 되려면 "나 이 사람에 대해 ~하게 생각하는데 이유는 이러이러한 사실을 목격했기 때문" 같은 구체적이고 허위 사실을 포함해야만 가능함. "느낌이 이 사람은 사냥을 즐기나봄"은 명예훼손이 아님. 미국법상, 앱 서비스 업체는 사용자가 올린 명예훼손적 게시물에 대해서 법적 책임 거의 지지 않음. 서비스에서 특정 컨텐츠를 유도했다는 특수한 입증이 필요하고, 현실에선 앱 개발사가 이 기준을 넘기 어려움
실제로는 이러한 앱이 범죄 성향자 혹은 악의적 이용자가 타인을 팔로우하고 조작하는데 적합한 도구라는 생각임. '안전'을 주장하지만 실상은 근거 없는 말임
만약 Tea가 불법이라면, glassdoor, yelp, Google reviews 등도 모두 불법이어야 하는 의문임. 채용 과정에서 신원 확인도 마찬가지의 논리임
Peeple이 편견과 험담을 막지 못해 망했다고 하지만, 사실 편견과 험담이 없다면 누가 이런 앱을 사용하겠냐는 자조적 의견임
Tea도 다른 소셜미디어처럼 Section 230 법적 면책 적용을 받는다고 생각함
금융서비스와 직접 관련 없는 회사들이 정부 발급 신분증을 요구할 수 없게 해야 된다고 생각함. Facebook도 마찬가지임. 결국 이런 앱 때문에 수만명이 개인정보 도용 위험에 노출됨. 이는 성장 해킹 구상이라 하기엔 너무 비윤리적임
Apple 또는 Google이 보안성 높은 Know Your Customer API를 개발자에게 제공하면 좋을 듯함. 앱에서 이용자가 허락한 정보만 추출 가능하게 하면 여러 앱에 활용 가능함. 이미 있는지 모르겠지만, 최소한 Tea는 그걸 안 쓴 것 같음
지금이야말로 이런 심각한 보안 위반에 대응할 정책을 고민해야 할 때라고 생각함 (Tea의 데이터 저장소도 무방비 상태였던 듯함)
App Store 등록심사 때 서버 보안 체크리스트 점검이 필수로 되어야 함
App Store 차단 킬스위치를 만들어서 퍼블리셔가 비공개 토큰을 Apple에 제출하고, 그 토큰이 유출되면 앱을 바로 삭제할 수 있어야 함
앱 퍼블리셔에게 스스로 귀중한 개인정보(예: 주요 은행계좌 접근권한)를 소비자 데이터와 같이 백엔드에 저장하게 의무화시켜야 함
회사가 보안 침해시 실질적 손해배상을 법적으로 지게 해야 함. 회사가 보안에 관심 갖게 만드는 유일한 방법은 재정적 불이익임. 이 경우 초고수 해커의 소행이 아니라, 그냥 공개 게시로 모두 노출된 상황임
이용자 입장에서는 진짜 상식적으로 얼굴사진과 운전면허를 험담 앱에 올리면 안 되는 거임. 어릴 때부터 실명 노출을 직업적 용도 외에 안 한다는 게 기본 상식이었음. 시스템이 뭐라 해도 결국 최종 책임은 이용자임. OS가 아무리 보호해도 자기 행동까지 막을 수 없음
이번 사건은 단순히 공개 Firebase 버킷을 쓴 것이고 앱을 차단한다고 해결되는 게 아님. 백엔드가 따로 중계했을 수도 있지만 Apple이 그 보안은 판별 못함
퍼블리셔가 자기 개인정보를 백엔드에 포함하라는 제안은 기발함. 모든 관리자 DB에 MY_PERSONAL_INFO 테이블 의무화 아이디어임
앱 심사자의 권한을 늘리는 것은 반대임. 이미 이유 없이 앱을 거절하는 일이 자주 있는데, 왜 거절됐는지 알아내는 게 너무 고역임
왜 사용자 운전면허 이미지를 인증 끝난 후에라도 한순간이라도 더 저장했는지 의문임
이런 행위엔 엄청난 과징금을 부과해야 함. 제대로 벌칙 없어 이런 행태가 반복됨. 매출의 10% 이상 벌금 먹여야 하고, 정말 심하면 법인만 아니라 실제 지분 보유자 개인 자산까지 손해배상을 물어야 소비자 보호가 실현됨
개인정보를 이렇게 다루는 앱이 실제로는 다른 사람의 사진(동의 여부와 관계없이)과 험담까지 업로드하게 디자인된 앱임. 프라이버시를 정말 신경쓰지 않는 서비스임
아무 근거는 없지만, 이 앱의 수익 모델이 궁금함. 운전면허와 전화번호 정보 팔다가 돈 벌려고 한 것 아닌지 추측됨
이런 게 바로 vibe coding의 현실임
다른 보도에 따르면 신규 계정 인증 대기열이 17시간이 넘었다고 함. 4chan 유저들이 털어간 게 아마 인증 대기열 이미지였을 수 있음
누군가 LLM를 활용해 가짜 프로필을 만들고 활동을 자동생성할 수 있으면, 이런 사용자 데이터 신뢰성이나 효용성이 전혀 없을 것임. 운전면허도 위조 가능하고, 실제 운전면허를 들고 다른 사람인 척 할 수도 있음. Tea의 서비스 자체와 구현, 프로세스는 설계 결함이고 개발자들에게 법적 리스크임
민감한 정보 제출할 때 조금 더 신중해지라는 교훈이면 좋겠음. 앱이 예쁘다고 혹은 누가 서비스하는지 모를 때 ID 제출을 쉽게 하면 안 됨. 예전에 캐나다 정부 기관과 일하다가 신분증을 이메일로 달라고 해서 암호화 링크로 보냈더니 거부해서 직접 찾아갈 수밖에 없게 됨. 인터넷이 10년 만에 '유튜브에 실명 쓰지마'에서 '아무 앱이나 신분증 제출'로 변한 현실이 미침
내 운전면허가 유출되고 스토커가 집에 찾아오면, 그 사람이 명백히 위조 면허일 거라며 돌려보낼 것임
운전면허 위조나 타인 명의로 등록하는 건 실제로는 꽤 어렵다고 생각함. 실제로 내 주변에 자기 면허를 남에게 빌려줄 사람 없음
IT 창업할 사람이 최소 한 명은 기술적 배경이 있어야 한다고 확신함. 외주를 다 맡겨도 직접 보안 관련 질문을 할 줄 알아야 함. 문제는 데이터베이스가 그냥 인터넷에 노출된 게 아니라 실제로 완전 공개되어 있었음. 사람들 ID를 공개 DB에 보관했다는 건 그야말로 충격임
이제는 vibe coding 도구가 있으니 기술적이거나 뭐 그런 거 필요 없고, 그냥 결과만 내면 된다는 분위기임. LinkedIn 인플루언서나 창업가들은 배포 방식에 관심 없고 결과만 본다는 것임. IT와 보안을 최소화해야 할 비용으로만 여긴 것이 최적의 보안 결과가 아니라는 걸 깨달은 지금, 또다시 다 던지고 남 걱정만 하게 생김
실제로 인증 없는 공개 firebase 데이터베이스가 수십만 개 넘게 풀려 있음. 포춘 500 기업까지 포함해서 무방비 노출이 심각함 [bleepingcomputer 기사]
기술적 역량만으로 불충분함. 보안 배경이 필수임. 정말 보안에 관해 최악이었던 사람 중에는 기술에 자신감만 있고 보안 소양이 없던 사람들이 많았음
의사, 변호사, 건축사는 5~8년 혹은 더 공부하고 시험을 봄. IT도 앞으로는 몇십 년 더 지나면 법적으로도 규제받게 될 것임. 이제까지는 자유롭고 재미있었지만, 앞으로는 모든 게 IT에 의존하게 되므로 매우 엄격해질 거라고 생각함
“데이터 유출”이라는 표현이 언론에선 쓰였지만, 실제로는 노출된 DB였음. 이런 경우엔 더 정확한 제목이 필요함. 기사 헤드라인에서 해커 탓보다 서비스 운영진 잘못을 먼저 강조해야 함
“유출”이라는 말이 잘못된 선택임. 최근 뚫린 걸로 오해받지만, 실제론 앱 시작 시점부터 아무나 볼 수 있었고 오늘에서야 밝혀진 거임. 오히려 더 심각한 상황임
내 경험상 404media 발 기사들은 HN에 실릴 만한 퀄리티가 아닌 경우가 많았음
국가나 지방정부가 ID 인증을 강화하는 흐름에서, 이런 사고가 왜 나쁜 결과를 낳을 수 있는지 잘 보여주는 사례임
Hacker News 의견
archive.today의 링크에서 볼 수 있음
이 앱은 기본적으로 Peeple과 거의 똑같은 구조고 단지 여성만 가입할 수 있게 제한한 버전임. Peeple이 실패한 이유는 편견과 험담을 100% 차단할 수 없었기 때문임. 누군가 질투나서 상대를 비방하고 그게 사실인 것처럼 올려버리면, 피해자는 취업이나 연애에서 타격 있게 됨. 그래서 VC나 온 인터넷이 비웃다 결국 문 닫음. Tea는 도대체 어떻게 합법적인지 의문이고, 합법적으로 명예훼손 타이머 달린 느낌임
금융서비스와 직접 관련 없는 회사들이 정부 발급 신분증을 요구할 수 없게 해야 된다고 생각함. Facebook도 마찬가지임. 결국 이런 앱 때문에 수만명이 개인정보 도용 위험에 노출됨. 이는 성장 해킹 구상이라 하기엔 너무 비윤리적임
지금이야말로 이런 심각한 보안 위반에 대응할 정책을 고민해야 할 때라고 생각함 (Tea의 데이터 저장소도 무방비 상태였던 듯함)
MY_PERSONAL_INFO테이블 의무화 아이디어임왜 사용자 운전면허 이미지를 인증 끝난 후에라도 한순간이라도 더 저장했는지 의문임
누군가 LLM를 활용해 가짜 프로필을 만들고 활동을 자동생성할 수 있으면, 이런 사용자 데이터 신뢰성이나 효용성이 전혀 없을 것임. 운전면허도 위조 가능하고, 실제 운전면허를 들고 다른 사람인 척 할 수도 있음. Tea의 서비스 자체와 구현, 프로세스는 설계 결함이고 개발자들에게 법적 리스크임
IT 창업할 사람이 최소 한 명은 기술적 배경이 있어야 한다고 확신함. 외주를 다 맡겨도 직접 보안 관련 질문을 할 줄 알아야 함. 문제는 데이터베이스가 그냥 인터넷에 노출된 게 아니라 실제로 완전 공개되어 있었음. 사람들 ID를 공개 DB에 보관했다는 건 그야말로 충격임
“데이터 유출”이라는 표현이 언론에선 쓰였지만, 실제로는 노출된 DB였음. 이런 경우엔 더 정확한 제목이 필요함. 기사 헤드라인에서 해커 탓보다 서비스 운영진 잘못을 먼저 강조해야 함
국가나 지방정부가 ID 인증을 강화하는 흐름에서, 이런 사고가 왜 나쁜 결과를 낳을 수 있는지 잘 보여주는 사례임
“‘안전’이라는 단어가 제목에서 너무 중요한 역할을 하는데, 사실 그냥 험담 앱임”