1P by GN⁺ | ★ favorite | 댓글 1개
  • Firefox에 최근 포함된 Onerep 제휴가 CEO의 이해상충 논란 직후 종료 절차에 들어가며, Mozilla Monitor Plus의 신뢰성 문제가 커짐
  • Onerep은 수백 개 인물 검색 사이트에서 사용자를 삭제해 주는 유료 서비스였지만, 창업자 Dimitiri Shelest가 데이터 브로커 Nuwber 지분을 유지하고 있었음
  • Shelest는 Nuwber와 Onerep 사이의 정보 공유나 교차 운영을 부인했지만, 개인정보 제거 서비스를 팔면서 인물 검색 사업과 연결돼 있었다는 점이 핵심 쟁점이 됨
  • Mozilla는 고객 데이터가 위험에 처한 적은 없다고 했으나, CEO의 외부 재정 이해관계와 활동이 자사 가치와 맞지 않는다며 전환 계획을 준비 중임
  • 이번 사례는 데이터 브로커와 인물 검색 산업이 공공·정부 기록 예외를 활용해 성장하는 구조를 드러내며, 소비자 데이터 보호와 프라이버시 규제 논의를 키움

Mozilla Monitor Plus에서 Onerep 제외

  • Firefox를 지원하는 비영리 조직 Mozilla는 신원 보호 서비스 Onerep과의 새 파트너십을 축소·종료하는 절차에 들어감
  • Onerep은 Firefox에 최근 번들로 포함됐으며, 수백 개 인물 검색 사이트에서 사용자 정보를 제거해 주는 서비스를 제공함
  • Mozilla는 지난달 Onerep을 Mozilla Monitor Plus의 유료 구독 기능으로 제공하기 시작함
  • Mozilla Monitor는 2018년 Firefox Monitor라는 이름으로 출시됐고, Have I Been Pwned? 데이터를 확인해 이메일 주소나 비밀번호가 데이터 유출에 포함됐는지 알려줌

Onerep CEO의 인물 검색 사업 이력

  • Onerep의 벨라루스 출신 CEO 겸 창업자 Dimitiri Shelest는 2010년 이후 여러 인물 검색 서비스를 시작한 것으로 3월 14일 조사에서 드러남
  • 해당 서비스에는 사람에 대한 배경 보고서를 판매하는 활성 데이터 브로커 Nuwber도 포함됨
  • Onerep과 Shelest는 3월 14일 조사에 대한 코멘트 요청에 응답하지 않음
  • Shelest는 3월 21일 긴 입장문을 내고, 2015년 설립한 소비자 데이터 브로커 Nuwber의 지분을 유지하고 있다고 인정함
    • 2015년은 Onerep을 시작한 시기와 비슷함
    • Shelest는 Nuwber가 Onerep과 “교차 운영이나 정보 공유가 전혀 없다”고 밝힘
    • 자신의 이름과 연결될 수 있는 다른 오래된 도메인들은 더 이상 본인이 운영하지 않는다고 주장함
  • 인물 검색 사업과의 관계가 외부에서 보기에는 이상해 보일 수 있지만, 인물 검색 사이트의 작동 방식을 깊이 파고든 초기 경험이 Onerep의 기술과 팀으로 이어졌다는 게 Shelest의 해명임
  • Shelest의 전체 입장문은 PDF로 공개됨

Mozilla의 판단과 고객 전환

  • Mozilla 대변인은 Onerep을 Monitor Plus 제품의 서비스 제공자로 사용하는 방식에서 벗어나고 있다고 밝힘
  • Mozilla는 고객 데이터가 위험에 처한 적은 없지만, Onerep CEO의 외부 재정 이해관계와 활동이 Mozilla의 가치와 맞지 않는다고 판단함
  • 현재 고객에게 끊김 없는 경험을 제공하고 고객 이익을 우선하는 전환 계획을 구체화하는 중임

Spamit 연관 의혹과 광고 운영

  • Shelest의 이메일 주소는 2010년 무렵 Spamit 제휴자가 사용한 것으로 나타남
  • Spamit은 남성 기능 개선 약물과 제네릭 의약품을 판매하는 웹사이트를 공격적으로 홍보한 사람들에게 돈을 지급한 러시아어권 조직임
  • 이 연결은 George Mason University 대학원생 여러 명의 연구로 확인됐다고 3월 14일 조사에서 다뤄짐
  • Shelest는 Spamit과 관련된 적이 없다고 부인함
    • 2010년부터 2014년 사이 웹페이지를 만들고 검색엔진최적화(SEO)를 수행한 뒤 AdSense 배너를 붙였다고 밝힘
    • 이는 KrebsOnSecurity가 그의 이메일 주소와 연결됐다고 찾은 여러 인물 검색 도메인을 가리키는 것으로 보임
    • 이후 많은 문의가 사람을 찾는 내용이라는 점을 알게 됐다고 설명함
  • Shelest는 Onerep이 일부 데이터 브로커 사이트에 특정 상황에서 광고를 집행한다고 인정함
    • 사용자가 직접 옵트아웃 양식을 완료한 뒤 광고가 노출됨
    • 사용자가 한 사이트에 노출됐다면 다른 곳에도 노출됐을 수 있음을 알리고, Onerep 같은 자동화된 옵트아웃 옵션을 소개하는 목적이라고 해명함

데이터 브로커 산업과 규제 공백

  • Have I Been Pwned 창업자 Troy Hunt는 Mozilla가 Onerep과의 파트너십을 검토 중이라는 사실은 알고 있었지만, Onerep CEO의 여러 이해상충은 몰랐다고 밝힘
  • Hunt는 합법적으로 운영되는 서비스에서 데이터를 제거하는 효과는 제한적이며, 실제 피해를 주는 불법 서비스에서는 제거할 수 없다는 점을 Mozilla에 전달했음
  • 같은 문제를 만들고 퍼뜨리면서 그 문제를 해결하는 서비스를 판매하는 방식은 비윤리적일 수 있지만, 미국에서는 불법이 아님
  • 미국에서 미국인 데이터를 수집하고 판매하는 행위도 그 자체로 불법은 아님
  • 프라이버시 전문가들은 데이터 브로커, Nuwber 같은 인물 검색 서비스, Onerep 같은 온라인 평판 관리 회사가 존재하는 이유로 대부분의 미국 주가 이른바 공공 기록 또는 정부 기록을 소비자 프라이버시 법에서 제외하는 구조를 지목함
    • 유권자 등록부, 부동산 등기, 혼인증명서, 자동차 기록, 범죄 기록, 법원 문서, 사망 기록, 전문직 면허, 파산 신청 등이 포함됨
    • 데이터 브로커는 소셜 미디어 데이터와 알려진 관계자 정보를 더해 소비자 기록을 보강할 수 있음
  • 3월의 세 차례 조사는 데이터 브로커와 인물 검색 산업을 살펴보며 소비자 데이터 보호와 프라이버시에 대한 의회 감독 또는 규제 필요성을 강조함
    • 3월 8일 A Close Up Look at the Consumer Data Broker Radaris는 Radaris 공동창업자들이 여러 러시아어권 데이팅 서비스와 제휴 프로그램을 운영한다고 다룸
    • 같은 조사에서 이들의 여러 사업이 미국 정부 제재를 받는 러시아 국영 미디어 복합체와 일하는 캘리포니아 마케팅 회사와 관련된 것으로 보인다고 다룸
    • 3월 20일 The Not-So-True People-Search Network from China는 중국에 있는 인물 검색 제휴자의 위치를 숨기기 위해 가짜 인물 검색 회사와 임원 네트워크가 만들어졌다고 밝힘

댓글과 토론

Hacker News 의견들
  • 회사 A가 문제를 만들고 회사 B가 그 문제 해결로 돈을 번다면, 회사 B는 A가 문제를 더 키울수록 이익을 봄
    그래서 A와 B 모두 문제가 계속 문제로 남아 있기를 바라는 이해관계를 갖게 되고, 사회에는 순이익을 주지 않으면서 둘 다 이윤을 뽑아내는 공생 관계가 됨
    이건 지대 추구이고, 경제에 부담을 주며 윤리적으로도 정당화하기 어려움
    이 문제는 규제로만 해결 가능함

    • 최근 HN에 정부 기관, 더 넓게는 민간 기업에도 적용되는 글이 있었는데, 문제 X를 해결하려고 만들어진 조직이 시간이 지나며 꼭 문제를 만들지는 않더라도 해결을 더 어렵게 만드는 방향으로 진화한다는 내용이었음
    • Microsoft는 회사 A와 B를 한 몸에 가진 셈임
      매우 불안전한 OS와 클라우드 환경을 팔고, 애초에 자신들이 만든 문제를 고치겠다며 보안 도구를 다시 팜
    • 보호비 갈취 사업 같은 구조임
  • 이런 제휴를 검증하려면 지식이 아주 깊고, 원칙이 있으며, 회의적인 사람이 필요하다고 봄
    주로 사업 개발이나 커리어 관점에서 보는 사람이 맡을 일이 아님
    이제 사후 대응에는 이 조직 전체를 합법적으로 해체할 방법을 찾는 투사가 필요해 보임
    Mozilla의 사명에도 맞을 수 있지만, 더 중요하게는 이번 일로 훼손된 Mozilla의 평판을 회복해야 하기 때문임
    예를 들어 그 상대가 소비자 상대로는 어떻게든 빠져나갔다 해도, Mozilla와의 거래에서는 다른 종류의 사기 같은 새로운 접근점이 있을 수 있고, Mozilla는 대부분의 개인보다 훨씬 더 그 문제를 추궁할 여력이 있음

    • 허위 표시나 비슷한 걸로 그 사람을 공격할 수 있다면, 옆에서 매번 응원할 것 같음
      합법적인 스토커 회사 공격 펀드 같은 게 있다면 돈도 보탤 수 있음
    • 뭘 추궁하자는 건지 모르겠음
      Mozilla는 제발 브라우저 만드는 일이나 해야 함
      단순한 개념인데, ChatGPT를 극적 문체로 돌린 듯한 말이 필요하지 않음
    • 이 비유에 내 생각을 보태보면, 세일즈맨 Joe가 친구 Al에게 중고차를 팔았고 알고 보니 형편없는 차였다면 배울 교훈은 여러 단계로 나뉨
      a) 정직한 실수였고 중고차에는 이런 변동성이 있으니 시장이 문제를 조정할 것이라고 보고, 필요하면 Joe에게서 중고차를 사도 괜찮다고 느끼는 경우
      b) Joe는 그 차가 불량이라는 정보를 알고 있었지만 Al을 호구로 보고 숨겼고, 나는 Al보다 차를 더 잘 보거나 사람을 더 잘 읽으니 Joe에게서 살 때 조심해야 한다고 보는 경우
      c) Joe는 불량차만 팔고, 사업 모델이 사람을 뜯어먹는 것이므로 Joe에게서 좋은 거래를 얻을 방법이 없고 다른 곳을 봐야 한다고 보는 경우
      d) 모든 중고차 판매상이 이런 사업 모델이므로 중고차 판매 업체에서 중고차를 사면 안 된다고 보는 경우
      e) 구매자와 판매자 사이에 정보 비대칭이 있는 모든 사업 모델이 이렇기 때문에, 효용의 하한을 알 수 없는 물건은 사지 말아야 하며 보증 같은 장치가 필요하다고 보는 경우
      이건 적대성을 얼마나 가정하느냐의 스펙트럼을 보여주는 예시일 뿐임
      최근 HN에 세일즈맨이 오히려 더 잘 속는다는 글이 있었는데, 세일즈맨은 이 질문의 답을 (b)라고 보는 경향이 있고, 실제로 (a), (b), (c)라고 생각하는 사람들만 상대하기 때문이라고 봄
      사실 세일즈맨만 그런 게 아니라 MBA식 사고에서도 비슷하게 나타남
      MBA의 핵심 믿음은 규제 구조와 사람들의 심리를 우회해서, 물건을 만드는 데 든 비용보다 더 많은 돈을 내게 만들 수 있다는 것이고, MBA 소득도 결국 거기서 나옴
      위 질문의 답을 (b)라고 보는 사람에게 이런 사고가 훨씬 자연스럽게 느껴질 것임
      그래서 어떤 회사가 무언가, 특히 서비스를 구매하기로 했다는 소식을 들으면 대체로 구매자가 잘 속는 바보였고 아무도 아무것도 사지 못하게 하면 훨씬 잘 굴러갈 거라고 직감하는 것 같음
      개인적으로 이 문제를 풀기 위해 맹렬한 회의주의가 필요하다고 보지는 않음
      훨씬 싸고 쉽게 해결하려면 쓸데없는 구매 금지를 두면 됨
      Mozilla는 절대로 고객이 될 필요가 없음
  • 기존 데이터 브로커 삭제 도구들은 모두 결함이 있는데, 사이트에서 사용자를 제거하는 데 수작업 노동을 쓰고, 주로 제3세계 인력이 그 일을 하기 때문임
    우리는 https://redact.dev에서 사용자 기기에서 직접 옵트아웃을 처리하는 순수 소프트웨어 방식을 만들고 있음
    이미 40개가 넘는 소셜 미디어와 유틸리티에서 대량 삭제를 지원함

    • 모든 것을 구독 서비스로 만드는 흐름이 정말 싫음
      임의의 기간보다 오래된 콘텐츠를 계속 삭제하고 싶은 틈새 시장은 상상할 수 있지만, 대부분의 사용자는 이런 서비스를 가끔만 필요로 하지 않나 싶음
      가격도 사실상 그걸 인정하는 듯함: 월 결제는 월 $35인데 연 결제는 월 $8임
      정말 누가 의도적으로 매달 갱신할 거라고 기대하는지 모르겠음
      해지하는 걸 잊은 사람들이 비용을 대준다는 점은 반박하기 어렵지만, 사업 모델로서는 찝찝함
    • Reddit에서 글을 의미 없는 내용으로 수정한 뒤 삭제하는 흐름이 왜 생기는지 설명해 줌
      개인적으로 이런 행동은 웹을 지식 기반으로서 더 가난하게 만든다고 봄
      자기 콘텐츠에 대해 그렇게 할 권리는 있지만, 대규모로 하면 인터넷이 덜 유용한 도구가 되고, 어차피 스크래퍼들은 이미 데이터를 갖고 있을 거라 좀 슬픔
    • 그건 실제 결함이 아님
      진짜 결함은 이 분야 회사들이 데이터를 중앙화해서 되팔면서, 데이터셋에 “자기 데이터 흔적을 지우고 싶어 함”이라는 새 줄을 추가한다는 점임
    • 내가 일하는 easyoptouts.com은 수작업을 쓰지 않고 전부 자동화되어 있음
      더 많은 사람에게 데이터 접근권을 주지 않는 게 확실히 중요함
      자동화 덕분에 가격도 대부분의 유사 서비스보다 훨씬 낮음
    • 많은 데이터 브로커는 당연히 의도적으로 정보 삭제를 매우 어렵게 만듦
      그래서 제대로 된 삭제 업체들도 일부는 수작업에 의존할 수밖에 없음
      완전 자동화가 되면 좋겠지만, 실제로 보기 전까지는 믿기 어려움
      마지막으로 확인했을 때 Optery는 325개 이상에서 제거하고 있었음
      행운을 빌지만 갈 길이 멂
      수정: 이건 완전히 다른 서비스처럼 보임
      오래된 게시글 대량 삭제와 데이터 브로커에서 개인 식별 정보를 제거하는 건 별개의 일임
  • 내가 거래한 모든 회사에 대량 옵트아웃 요청을 보내는 도구라면, 무료이면서 오픈소스일 때만 믿을 수 있음
    의도가 좋아도 상업은 또 하나의 추적 수단이 됨

    • 불가능함
      오픈소스 코드는 제한적 위임장을 가질 수 없고, 데이터 브로커들도 코드를 읽고 양식 작성 논리를 우회할 것임
  • 내가 그럴 줄 알았음
    https://news.ycombinator.com/item?id=39280369

    • 맞지만, 그때는 증거나 추론이나 단순한 추측 이상으로 끌어올릴 만한 게 아무것도 없었음
      벽에 스파게티를 충분히 던지면 몇 가닥은 붙기 마련임
  • Mozilla의 의도 자체는 올바른 쪽에 있었다고 보지만, GMU 대학원생들이 밝혀낼 수 있었던 걸 파트너 검증에서 더 철저히 보지 못했다는 건 꽤 실망스러움
    비슷한 서비스들에도 아직 드러나지 않은 수상한 연결고리가 더 있지 않을까 궁금해짐
    인기 팟캐스트 스폰서인 DeleteMe도 지켜보고 있음

    • 그래서 모든 회사에 실소유자 공개를 요구하는 게 중요함
      세상에는 해독제를 팔려고, 더 좋게는 평생 치료제를 팔려고 일부러 독을 먹일 사람들이 가득함
    • Kanary가 Mozilla 인큐베이터에 있었고 근본적으로 훌륭한 서비스인데, 왜 Onerep과 제휴했는지 이해하기 어려움
    • GMU 대학원생들이 그걸 밝혀내는 데 무엇이 필요했는지가 중요함
      일반적으로 대학원생들은 시간이 더 많고 전문성도 충분할 수 있음
      그들이 졸업해서 Mozilla에 취직하면, 가능성이 낮은 단서를 파고들 만큼 한가하지 않을 수 있음
    • DeleteMe 공동창업자임
      15년 동안 개인정보 보호 도구를 만들고 제공해 왔고 HN에서도 대화해 왔음
      질문에는 기꺼이 답하겠지만, 근거 없는 비난은 조금만 자제해 주면 좋겠음
    • Firefox를 개인정보 보호 브라우저라고 홍보하면서 Google과 제휴하는 것과 비슷하게, 파트너를 제대로 검증하지 않은 셈임
  • 개인정보 보호는 완전히, 되돌릴 수 없게 죽었다는 걸 받아들일 수밖에 없었음
    권력이나 돈이 있는 사람은 이제 당신에 대한 거의 모든 것뿐 아니라, 어쩌면 당신 자신이 알고 깨닫는 것보다 더 많은 것까지 알아낼 수 있음
    자기 삶과 행동의 모든 측면, 그리고 거기서 이어지는 모든 연결을 정기적으로 철저히 문서화해 성찰할 시간이 누가 있겠음
    사람을 감시해 약화시키고 자신을 부유하게 만드는 끝없는 역겨운 행위가 실질적 처벌과 함께 불법화되도록 상원·하원·대통령이 대규모로 결집하지 않는 한 아무것도 바뀌지 않음
    그런 일은 절대 일어나지 않을 텐데, 미국 정부가 이런 서비스의 최대 고객이자 공급자이기 때문임
    Mozilla는 개인정보 보호를 입에라도 올리는 거의 마지막 곳인데, 그런 Mozilla가 이 사람과 한배를 탔음
    그래서 상황이 이렇게 절망적임

    • 데이터 브로커들은 많은 개인 식별 정보를 공개 웹에 무료로 올려 둠
      누군가의 이름, 살았던 모든 주소, 가족 이름 등을 알아내는 데 돈이 들지 않음
  • 이런 회사들은 날려버려야 함
    EU가 이 문제를 빨리 알아차리기를 기다리고 있음

    • 적어도 그만큼 무서운 건, 크롤링 가능한 웹 전체에서 얼굴 인식 검색을 하게 해 주는 회사들임
  • Mozilla가 사람 찾기 조직을 지원하는 건 분명 원하지 않지만, 여기서 정말 그런 일이 벌어지는지는 의문임
    사람 찾기 분야에서 얻은 전문성은 그런 조직들이 쓰는 명단에서 사람들을 제거하는 데 정확히 필요한 전문성일 수밖에 없다고 봄
    진짜 질문은 Onerep 바깥으로 데이터 중개가 이루어지는지 여부임
    이건 실체보다 겉모습이 이긴 사례처럼 보임

    • 단순히 경험이 있는 게 아니라, 그 사람은 아직도 나쁜 일을 하는 회사에 투자자로 엮여 있음
      양쪽 판을 동시에 굴리는 것임