1P by GN⁺ | ★ favorite | 댓글 1개
  • 이름과 거주 주만으로 과거 주소, 친족, 전화번호, 이메일, 운전면허 정보가 담긴 파일을 받을 수 있었고, 조회 비용은 15달러 상당 Bitcoin이었음
  • 도구는 Experian, Equifax, TransUnion이 보유한 credit header 데이터에 접근하는 것으로 보이며, 경우에 따라 사회보장번호(SSN)도 20달러에 제공함
  • credit header는 미국 성인 다수의 신용카드 관련 정보에서 만들어지는 개인정보로, 계약과 구매를 거쳐 채권추심업체, 보험사, 법집행기관까지 흘러감
  • 범죄자들은 전직 법집행관 신원 도용 같은 방식으로 데이터 공급망에 접근했고, 온라인에서 다른 범죄자들에게 제한 없는 접근권을 판매함
  • Elon Musk, Joe Rogan, Joe Biden 같은 유명 인물 조회에도 쓰였으며, 일부 데이터가 민감하지 않더라도 적어도 일부는 정확한 것으로 확인됨

Telegram 봇으로 판매되는 개인정보 조회

  • Telegram에서 대상자의 이름과 거주 주만 입력하면 짧은 시간 뒤 개인정보 파일이 생성됨
  • 파일에는 대상자가 미국에서 살았던 주소가 포함됐고, 10년 이상 전의 대학 기숙사 주소까지 들어 있었음
  • 함께 제공된 정보는 신원 확인과 추적에 쓰일 수 있는 항목으로 구성됨
    • 친족의 이름과 출생연도
    • 휴대전화 번호와 통신사
    • 개인 이메일 주소
    • 운전면허 정보와 고유 식별번호
  • 전체 조회 비용은 15달러 상당 Bitcoin이었고, 봇은 때때로 사회보장번호를 20달러에 제공함

신용평가사 데이터 공급망 악용

  • 이 도구는 미국 내 성인 다수에 대해 Experian, Equifax, TransUnion이 보유한 credit header 데이터에 접근하는 것으로 보임
  • credit header 데이터는 신용카드 관련 정보에서 만들어진 개인정보이며, 여러 계약과 구매를 거쳐 다른 회사로 이동함
  • 이동한 데이터는 채권추심업체, 보험사, 법집행기관에 제공되는 경로를 가짐
  • 범죄자들은 이 공급망에 접근하는 데 성공했고, 일부 사례에서는 전직 법집행관 신원 도용이 사용됨
  • 테스트된 도구는 Elon Musk, Joe Rogan, Joe Biden 같은 유명 인물 정보 수집에도 쓰였으며, 접근 제한 없이 사용된 것으로 보임
  • 검증 결과 모든 데이터가 항상 민감한 것은 아니지만, 적어도 일부 데이터는 정확했음

댓글과 토론

Hacker News 의견들
  • Experian, TransUnion, Equifax 세 곳에 신용 동결을 설정해둘 가치는 충분함
    처음 설정할 때는 개인정보를 잔뜩 제공해야 해서 짜증 나지만, 한 번 끝내면 동결·해제가 꽤 쉬워짐
    URL, 사용자명, 비밀번호를 안전한 메모에 보관해두고, 신용 신청이 필요할 때 하루나 일주일 정도만 해제하면 됨
    예전에는 내 이름으로 신용을 개설하는 신원 도용 문제가 많았는데, 신용 동결로 해결됐음
    Experian: https://www.experian.com/freeze/center.html
    TransUnion: https://www.transunion.com/credit-freeze
    Equifax: https://www.equifax.com/personal/credit-report-services/cred...
    이 회사들을 정말 싫어하지만, 참고 절차를 거치는 건 그만한 가치가 있었고 누구에게나 추천할 만함

    • 오래 신용 동결을 써온 입장에서는, 해제하려고 할 때마다 세 기관 중 하나는 절차가 바뀌어 있어서 예전에 설정한 사용자명과 비밀번호로 풀리지 않는 느낌임
      마지막에는 3년 동안 로그인하지 않았다는 이유로 계정이 잠겨 추가 검증을 많이 요구했음
      검증이 과거 주소 같은, 처음 설정할 때 묻던 정보라 오히려 불안해 보일 때도 있고 더 복잡할 때도 있음
      시간이 지나면 가장 예상 못 한 순간에 계정 확인에 60일이 걸린다며 동결 해제를 막을 수 있음
    • 신용 발급사가 실사도 제대로 하지 않고 남의 이름으로 신용을 내줄 수 있고, 그 뒤처리를 당사자가 떠안는다는 게 꽤 황당함
      이런 일이 생길 때마다 발급사에 막대한 벌금을 물려야 함
    • 은행들이 밀어붙이는 신원 도용이라는 표현 자체가 기만적임
      이런 사기에서 피해자는 개인이 아니라 은행임
      내 신원은 여전히 내게 있고, 은행이나 채권자가 자기 부주의로 자기 돈을 범죄자에게 준 것뿐임
      아무 관여도 하지 않은 개인을 피해자로 만드는 건 말이 안 되는 환상이고, 법도 이 현실을 반영하도록 바뀌어야 함
      은행이 자기 부주의 비용을 무고한 사람에게 떠넘길 수 있는 한 계속 허술하게 행동할 것임
      공론장에서 이 표현이 나올 때마다 “신원 도용”이라는 기만을 거부하는 식으로 인식이 퍼져야 함
      관련 있는 Mitchell and Webb 라디오 스케치: https://www.youtube.com/watch?v=CS9ptA3Ya9E
    • 잘 모르는 사람이 많은데 https://nctue.com/consumers/에서도 동결을 설정해야 함
      사기꾼들이 휴대전화 개통뿐 아니라 자기 아파트 전기까지 내 명의로 신청한 일을 처리해야 했고, 여기서 동결 설정을 하니 해결됐음
    • 평생 빚을 진 적이 없는데도 이걸 해야 하는지 궁금함
      애초에 뭔가를 시작한 적이 없으니 괜찮은 건지 모르겠음
  • 클릭을 아껴주자면, 비밀 무기는 Telegram 그룹에서 범죄자에게 15달러를 내고 누군가를 신상 털이하게 하는 것임
    글의 대부분은 그 신상 털이 서비스들이 데이터를 어디서 얻는지, 그리고 그 출처가 어떻게 바뀌는지에 관한 내용임
    지금은 TransUnion의 TLOxp가 인기 있는 서비스임

    • 그러니까 내가 신용카드나 일자리에 지원할 때 아무 회사나 접근할 수 있는 데이터가, 내 동의 여부는 신경 쓰지 않지만 돈은 있는 다른 사람들에게도 제공된다는 뜻인가 봄
    • https://www.tlo.com/about-us
      TLOxp는 데이터 융합이라는 분야를 열어젖힌 판도를 바꾼 기술의 최신 버전임
      TLOxp 사용처로 추심, 법률 전문가, 사내 법무, 면허 있는 조사관, 금융 서비스, 보험, 기업 리스크, 탐사 보도 기자, 법 집행기관, 주·지방·연방 정부, 자산 회수와 압류가 열거돼 있음
    • 일부 사람 찾기 사이트에는 글에서 언급한 데이터 대부분이 무료로 있음
      금융기관이 신원을 확인하려고 물어보는 잘못된 정보와 같은 오류가 있어서, 출처가 신용평가기관일 거라고 봄
      1년에 몇 번은 자기 이름을 검색해보고, 그런 사이트들에 삭제 요청을 넣는 게 좋음
      대부분은 꽤 빨리 처리해줌
    • 이 반응은 기사를 너무 가볍게 넘기는 듯함
      무슨 낚시성 “걸렸다” 기사처럼 보지만, 제목이 약속한 내용을 정확히 전달했다고 봄
      신용평가기관이 제공하는 규제가 약한 조회 도구로 신상 털이와 그보다 더한 일이 판매되고 있다는 내용임
      이 주장들을 약화시키는 뭔가가 있었나?
  • 접근이 잘못됐음
    개인의 신원과 인증은 사회보장번호, 운전면허번호, 주소 이력처럼 불변이고 공개될 수 있는 정보에 기반하면 안 됨
    이런 정보는 새어 나갈 방법이 많고, 한 번 새면 영원히 남음
    제대로 된 디지털 신분증, 인증, 분쟁 해결 메커니즘이 필요함
    싸지는 않겠지만 장기적으로는 대안들이 더 비쌈

    • 동의하지 않는 건 아니지만, 디지털 신분증을 만들면 자유로운 인터넷은 마침내 영구적으로 죽을 것임
    • 최근 은행이나 증권 계좌 개설에서는 실제로 여권 사진을 찍고, 여권을 들고 있는 셀카나 영상을 찍는 방식으로 옮겨간 듯함
      좀 번거롭지만 해킹하기는 꽤 어려움
      물론 여권이나 그에 준하는 신분증이 없으면 작동하지 않음
    • 신원 도용범들은 침해가 한 번 일어나면 누군가의 신원을 완전히 장악할 수 있는 시스템을 아주 좋아할 것임
      대출을 받으려는데 내 신원이 취소됐고 다른 사람이 이미 차지했다는 걸 알게 되는 상황을 상상해보면 됨
  • TransUnion이 “TLOxp 오용을 확인하는 매우 드문 경우에는 법 집행기관과 협력해 책임자를 기소하도록 돕는다”고 했는데, 이건 완전히 거짓임
    TransUnion은 공개 정보만 가진 해커들에게 내 전체 신용 보고서를 넘긴 적이 있고, 전혀 신경 쓰지 않았음

    • TransUnion 책임자들을 기소하도록 법 집행기관과 협력할 수 있기를 바람
    • 데이터 보관 부실에 의미 있는 결과가 있었다면, 예컨대 “죄송합니다, 무료 신용 모니터링 드릴게요” 같은 헛소리가 아니라 실제로 아픈 규모의 벌금이 있었다면 신용평가기관들도 태도를 고쳤을 것임
      당장 그런 일이 일어날 것 같지는 않음
    • 여력이 있다면 TransUnion의 불법행위에 대해 민사소송을 제기하는 게 적절할 수도 있음
      물론 엄청난 번거로움임
    • 변호사와 함께 진행할 의지가 있다면, 소환장에는 응할 거라고 봄
    • 그들도 스스로 “오용을 확인하는 매우 드문 경우”라고 말하고 있음
      얼마나 신경 쓰는지나 확인 후속 조치를 얼마나 하는지는 아무 말도 하지 않음
  • 신용평가기관에서 또 싫어하는 점이 있음
    상업용 부동산 중개회사에 가보면 중개인 전원이 신용평가기관 라이선스를 갖고 있고, 특히 주니어 중개인들이 매일 부동산 소유자를 조회해 휴대폰으로 영업 전화를 걸고 있었음
    TLO도 상업용 부동산 중개업계의 큰 부분이 매일 자기 제품을 쓰는 게 GLBA 준수 목적일 리 없다는 걸 알 텐데, 못 본 척하며 수익화할 방법을 찾음
    이 정보를 얻으려고 인터넷의 어두운 구석을 파고들 필요도 없음
    정문으로 들어가면 됨

  • “범죄자에게 데이터 값을 받으면 데이터 유출이 아니다
    그때는 서비스 제공이다”
    — 신용평가기관들

  • 누가 전화를 걸어와서 이미 내 개인정보를 많이 알고 있다며 “진짜”라고 증명하려 해도, 절대 개인정보를 주면 안 됨
    항상 그들이 알려준 번호가 아니라 직접 찾아본 번호로 다시 전화해야 함

    • 유선전화라면 전화를 받은 같은 전화기로 다시 걸지 않는 것도 중요함
      예전에 사기꾼들이 은행이라며 전화한 뒤, 신용카드 뒷면 번호로 다시 걸라고 했던 일이 있었음
      피해자가 끊고 다시 들자 사기꾼들이 회선을 잡고 있다가 가짜 발신음을 틀고 다른 사람이 “받는” 식으로 속였음
    • 요즘 누가 전화를 받음?
      모르는 번호면 더더욱 안 받음
    • 이건 그 얘기와 상관없음
      기사에서 다루는 문제에는 모두가 취약함
  • 앞으로는 더 나빠질 것 같음
    관심을 가진 사람이 없어서 분류되지 않은 데이터가 산더미처럼 있고, 이제 괜찮은 대형 언어 모델이 그 일을 대신해줄 수 있음

  • 그 산업 전체를 금지해야 함
    법원이 대출 연체를 기록하고 그 정보를 채권자에게 제공하면 됨
    보고서에는 그 외 아무것도 들어가면 안 됨
    대출기관은 이미 소득을 독립적으로 검증하고, 주택담보대출의 경우 월 지출도 확인함
    신용 보고서에 들어가고 신용점수 계산에 쓰이는 나머지 정보는 사람들에게 신용카드를 만들게 강제하고 구조적 인종차별을 지속시키기 위한 것처럼 보임

  • 이건 20년 전에도 사설탐정들이 해커 컨퍼런스에서 원하는 정보를 합법적으로 얻는 온갖 방법을 발표할 때 이미 분명했음
    조금만 검색해도 소액으로 사적 정보를 캐낼 수 있는 온라인 서비스가 500개쯤 있음
    해커가 아니라 상장회사들이 운영하는 서비스들임
    누군가가 이제야 그걸 더 쉽게 해주는 봇을 만든 것 같음
    이런 기사는 해커에게 “문 잠금장치는 안전하지 않다”는 기사처럼 읽힘

    • 20년이 조금 안 된 예전, 당시 만나던 여자친구의 전 남자친구에게서 물러나라는 전화를 받은 적이 있음
      그가 가진 건 내 이름과 다니던 대학뿐이었음
      번호를 어떻게 알아냈냐고 물으니, 위에서 말한 것 같은 서비스를 썼다고 했음
      마음먹은 사람에게는 이런 일이 특별히 어렵지 않았음
    • whitepages.com만 해도 20달러 신원조회를 사면 꽤 많은 공개 데이터를 드러내고 모아줌
      필요한 건 그 사람의 전화번호뿐임
    • 딥웹의 많은 자료가 20달러 정도의 결제 장벽 뒤로 들어가서 한동안 보진 않았음
      그래도 20년 전에도 사람에 대해 아주 조금만 알아도, 특히 이름이 흔하지 않다면 엄청난 양의 정보를 찾을 수 있다는 건 분명했음