유출된 정보가 이름·생년월일·주소·전화번호 정도라면 이제 새롭지도 않음
지난 2~3년 동안 내 정보도 이미 여러 번 새어나갔고, 기업이나 기관이 받는 처벌이 고작 사과 메일 한 통이면 이런 일은 절대 안 바뀜
애초에 정부가 모든 사소한 행위마다 KYC를 강제하지 말아야 함
바나나를 사거나 배달을 시키는 데까지 왜 신원확인이 필요한지 모르겠고, 유출이 필연적인 이상 KYC 자체가 더 큰 불법 행위처럼 보임
원래는 사기와 자금세탁 방지가 명분이었지만 실제로는 잘 막지도 못했고, "largest money laundering settlements"를 찾아보면 큰 은행들과 암호화폐 사기가 그대로 나옴
정부 기관에는 벌금이 잘 안 먹힘
결국 세금으로 내게 되고 유인도 안 생기니, 차라리 다른 기관·병원·은행·인프라·대기업을 상대로 공격적으로 펜테스트하는 전담 정부 기관을 두고 민간 수준 급여를 줘야 함
문제를 고칠 법정 시한을 강제하고, 민간은 벌금, 공공은 infosec 책임자 강등 같은 실질 제재가 있어야 함 컴플라이언스 체크리스트나 KPMG식 감사보다 정부 지원 해커가 실제 공격자처럼 침투를 시도하는 편이 훨씬 나음
프랑스는 지난 1년간 여러 수준에서 정부 해킹이 너무 많았으니 더 절실함
1년 무료 신용 모니터링도 빠뜨리면 안 됨
이런 제안을 너무 많이 받아서 전부 가입하면 오히려 해킹당할 만한 곳에 내 개인정보를 두 배는 더 뿌리게 될 것 같음
이런 유출을 또 보니 local-first software를 다시 보게 됐고, https://lofi.so도 떠오름
대규모 유출을 줄이려면 결국 왜 이렇게 거대한 중앙집중형 데이터 저장소가 있어야 하는지부터 아키텍처 차원에서 깨야 한다고 봄
정부가 중앙 권한을 가져야 하더라도 피해 반경을 줄이는 저장 방식은 고민할 수 있음
물론 안 된다는 반론은 많겠지만, 지금 주류 대안이 절망과 무력감뿐이라면 진전은 주변부 혁신에서라도 나와야 함
한 달도 아니고 무료 신용 모니터링조차 못 받는 건가 싶음
오늘 내가 영향받았다는 메일을 받음
아이러니하게도 몇 년 전 실업급여 기관에서 같은 데이터가 이미 한 번 유출돼서 내 입장에선 달라진 게 없음
새 직장을 구한 뒤에도 그 계정을 안 지운 내가 바보 같긴 함
기록용으로 메일 사본은 있으면 좋겠음
그래야 Anthropic이랑 OpenAI 데이터셋에도 들어갈 테니까 :)
ANTS에서 온 건지 궁금함
나는 아직 아무것도 못 받음
이런 판국인데도 인터넷용 중앙집중형 ID를 계속 밀어붙이는 게 황당함
전 세계 해커 집단과 AI 기업에게 거대한 허니팟만 만들어 주는 셈이고, 실제로는 두 달이 멀다 하고 유출이 터짐
정부가 내 개인정보를 가치 없는 것처럼 다룬다면, 나도 저작권물을 가치 있는 것처럼 대할 생각이 없음
정보 사회를 만들 거라면 가장 중요한 집단을 빼먹으면 안 됨
원칙대로 정부와 정면으로 맞붙는 건 현실적으로 거의 지는 싸움일 가능성이 큼
변화가 필요해도 그 방식보다 더 나은 방법이 있을 것 같음
이제는 랜섬웨어나 데이터 보호를 걱정하는 단계를 이미 지나간 느낌임
모두의 PII가 이미 털렸다고 보고, 정부 혜택 같은 데서 온라인으로 신원을 어떻게 검증할지에 더 집중해야 함
네덜란드나 일본의 국가 디지털 ID, 인도의 생체인증 같은 사례가 떠오르고, 미국이 결국 뭘 택할지 궁금함
생체정보는 유출될 항목이 하나 더 늘어나는 것뿐이라 최악의 아이디어에 가까움
카메라 추적 같은 데도 악용될 수 있어서 훨씬 민감하고, 이 문제는 이미 연합형 IdP와 MFA로 오래전에 해결 가능했음
OTP 장치나 물리 토큰처럼 가진 것과 SSN·세금번호·비밀번호처럼 아는 것을 조합하면 되는데, 정부는 대체로 시민 프라이버시와 반대 방향을 원하니 생체정보를 선호하는 듯함
지금 돌아가는 꼴을 보면 미국식 해법은 결국 망막 스캔을 요구하는 쪽으로 갈 것 같음
타깃에서 바지 하나 온라인으로 사려 해도 스캔해야 하고, 그 정보는 내 음성 지문과 운전면허 스캔본과 함께 다크웹에 뜰 듯함
네덜란드는 모든 공식 정부 서비스에 쓰는 단일 ID가 있음
사실상 정부가 발급한 username/password + MFA 구조이고, 여권 NFC 칩을 스마트폰으로 스캔해서 신원을 검증하는 방식도 가능함
다만 이게 데이터 유출 문제를 어떻게 해결하는지는 잘 모르겠음
프랑스는 이미 온라인 신원 검증 수단이 여러 개 있음 France Connect SSO는 일종의 연합형 SSO이고, 우체국에서 주소와 신원을 확인하는 코드 우편을 보내거나 직접 방문 확인을 하게 하거나, 세무·사회보장 계정처럼 물리적으로 검증된 계정 하나만 있으면 다른 정부 서비스에도 로그인 가능함
별도로 실물 신분증의 NFC 칩을 읽고 생체정보와 셀피를 대조해서 인증하는 앱도 제안돼 있음
면허에 새 표기를 추가하는 식으로 문서를 새로 만들거나 수정할 때마다 상상 가능한 모든 신분증 사본을 요구하더니, 정작 내 데이터를 다 유출했다는 게 특히 아이러니함
애초에 자기들이 이미 다 갖고 있었을 텐데 싶음
본인 확인을 하려면 결국 신분증 제시와 시스템 조회가 필요함
그래서 그 절차 자체는 이상하지 않고, 원래 댓글의 문제의식은 잘 이해가 안 됨
1900만 프랑스인이라니, 나도 포함임
예전식 관료제에는 나름 장점이 있었음
이런 대형 유출은 훨씬 일으키기 어려웠고, 설령 터져도 가치가 훨씬 낮았음
그 체계는 절차 준수와 부정 방지를 위해 일하는 사람들이 민주적 참여를 떠받치기도 했음
이런 시스템이 결국 뚫릴 건 다 알고 있었던 만큼, 이제는 "터지면 어떻게 사람과 제도를 보호할지"를 전제로 설계해야 함
편의나 감시, 권위주의 때문이든 계속 이 길로 갈 거라면 침해 이후 시나리오를 제대로 준비해야 함
이 일이 Microsoft와 미국 기업들에서 시스템을 쉽게 이전할 수 있다고 자랑한 직후 벌어진 것도 묘하게 흥미로움
어쩌면 내년이야말로 Linux desktop의 해일지도 모르겠음
이런 데이터가 쓸모없어질 만큼 노이즈를 대량으로 섞는 방법은 없을까 싶음 LLM이 그런 데 도움 될지도 궁금함
진지한 질문이라면 답은 아니오임
이미 권위 있는 원본 데이터베이스가 털린 상태라서, 공격자는 진짜 데이터셋이 무엇인지 알고 있고 외부에서 섞인 노이즈는 그냥 무시하면 됨
Hacker News 의견들
유출된 정보가 이름·생년월일·주소·전화번호 정도라면 이제 새롭지도 않음
지난 2~3년 동안 내 정보도 이미 여러 번 새어나갔고, 기업이나 기관이 받는 처벌이 고작 사과 메일 한 통이면 이런 일은 절대 안 바뀜
바나나를 사거나 배달을 시키는 데까지 왜 신원확인이 필요한지 모르겠고, 유출이 필연적인 이상 KYC 자체가 더 큰 불법 행위처럼 보임
원래는 사기와 자금세탁 방지가 명분이었지만 실제로는 잘 막지도 못했고, "largest money laundering settlements"를 찾아보면 큰 은행들과 암호화폐 사기가 그대로 나옴
결국 세금으로 내게 되고 유인도 안 생기니, 차라리 다른 기관·병원·은행·인프라·대기업을 상대로 공격적으로 펜테스트하는 전담 정부 기관을 두고 민간 수준 급여를 줘야 함
문제를 고칠 법정 시한을 강제하고, 민간은 벌금, 공공은 infosec 책임자 강등 같은 실질 제재가 있어야 함
컴플라이언스 체크리스트나 KPMG식 감사보다 정부 지원 해커가 실제 공격자처럼 침투를 시도하는 편이 훨씬 나음
프랑스는 지난 1년간 여러 수준에서 정부 해킹이 너무 많았으니 더 절실함
이런 제안을 너무 많이 받아서 전부 가입하면 오히려 해킹당할 만한 곳에 내 개인정보를 두 배는 더 뿌리게 될 것 같음
대규모 유출을 줄이려면 결국 왜 이렇게 거대한 중앙집중형 데이터 저장소가 있어야 하는지부터 아키텍처 차원에서 깨야 한다고 봄
정부가 중앙 권한을 가져야 하더라도 피해 반경을 줄이는 저장 방식은 고민할 수 있음
물론 안 된다는 반론은 많겠지만, 지금 주류 대안이 절망과 무력감뿐이라면 진전은 주변부 혁신에서라도 나와야 함
오늘 내가 영향받았다는 메일을 받음
아이러니하게도 몇 년 전 실업급여 기관에서 같은 데이터가 이미 한 번 유출돼서 내 입장에선 달라진 게 없음
새 직장을 구한 뒤에도 그 계정을 안 지운 내가 바보 같긴 함
그래야 Anthropic이랑 OpenAI 데이터셋에도 들어갈 테니까 :)
나는 아직 아무것도 못 받음
이런 판국인데도 인터넷용 중앙집중형 ID를 계속 밀어붙이는 게 황당함
전 세계 해커 집단과 AI 기업에게 거대한 허니팟만 만들어 주는 셈이고, 실제로는 두 달이 멀다 하고 유출이 터짐
정부가 내 개인정보를 가치 없는 것처럼 다룬다면, 나도 저작권물을 가치 있는 것처럼 대할 생각이 없음
정보 사회를 만들 거라면 가장 중요한 집단을 빼먹으면 안 됨
변화가 필요해도 그 방식보다 더 나은 방법이 있을 것 같음
이제는 랜섬웨어나 데이터 보호를 걱정하는 단계를 이미 지나간 느낌임
모두의 PII가 이미 털렸다고 보고, 정부 혜택 같은 데서 온라인으로 신원을 어떻게 검증할지에 더 집중해야 함
네덜란드나 일본의 국가 디지털 ID, 인도의 생체인증 같은 사례가 떠오르고, 미국이 결국 뭘 택할지 궁금함
카메라 추적 같은 데도 악용될 수 있어서 훨씬 민감하고, 이 문제는 이미 연합형 IdP와 MFA로 오래전에 해결 가능했음
OTP 장치나 물리 토큰처럼 가진 것과 SSN·세금번호·비밀번호처럼 아는 것을 조합하면 되는데, 정부는 대체로 시민 프라이버시와 반대 방향을 원하니 생체정보를 선호하는 듯함
이름만 알면 집 주소를 쉽게 찾을 수 있고, 생년월일, 누구와 사는지, 건물 몇 호인지, 차·개·휴대폰 계약 여부까지 보임
소액을 내면 소득 기록도 뽑아 볼 수 있음
https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
그런데도 somehow 굴러가긴 함
타깃에서 바지 하나 온라인으로 사려 해도 스캔해야 하고, 그 정보는 내 음성 지문과 운전면허 스캔본과 함께 다크웹에 뜰 듯함
사실상 정부가 발급한 username/password + MFA 구조이고, 여권 NFC 칩을 스마트폰으로 스캔해서 신원을 검증하는 방식도 가능함
다만 이게 데이터 유출 문제를 어떻게 해결하는지는 잘 모르겠음
France Connect SSO는 일종의 연합형 SSO이고, 우체국에서 주소와 신원을 확인하는 코드 우편을 보내거나 직접 방문 확인을 하게 하거나, 세무·사회보장 계정처럼 물리적으로 검증된 계정 하나만 있으면 다른 정부 서비스에도 로그인 가능함
별도로 실물 신분증의 NFC 칩을 읽고 생체정보와 셀피를 대조해서 인증하는 앱도 제안돼 있음
면허에 새 표기를 추가하는 식으로 문서를 새로 만들거나 수정할 때마다 상상 가능한 모든 신분증 사본을 요구하더니, 정작 내 데이터를 다 유출했다는 게 특히 아이러니함
애초에 자기들이 이미 다 갖고 있었을 텐데 싶음
그래서 그 절차 자체는 이상하지 않고, 원래 댓글의 문제의식은 잘 이해가 안 됨
1900만 프랑스인이라니, 나도 포함임
예전식 관료제에는 나름 장점이 있었음
이런 대형 유출은 훨씬 일으키기 어려웠고, 설령 터져도 가치가 훨씬 낮았음
그 체계는 절차 준수와 부정 방지를 위해 일하는 사람들이 민주적 참여를 떠받치기도 했음
이런 시스템이 결국 뚫릴 건 다 알고 있었던 만큼, 이제는 "터지면 어떻게 사람과 제도를 보호할지"를 전제로 설계해야 함
편의나 감시, 권위주의 때문이든 계속 이 길로 갈 거라면 침해 이후 시나리오를 제대로 준비해야 함
이 일이 Microsoft와 미국 기업들에서 시스템을 쉽게 이전할 수 있다고 자랑한 직후 벌어진 것도 묘하게 흥미로움
어쩌면 내년이야말로 Linux desktop의 해일지도 모르겠음
이런 데이터가 쓸모없어질 만큼 노이즈를 대량으로 섞는 방법은 없을까 싶음
LLM이 그런 데 도움 될지도 궁금함
이미 권위 있는 원본 데이터베이스가 털린 상태라서, 공격자는 진짜 데이터셋이 무엇인지 알고 있고 외부에서 섞인 노이즈는 그냥 무시하면 됨