GN⁺: 메타의 Onavo VPN, 경쟁사 분석 트래픽의 SSL 암호화 해제
(documentcloud.org)Facebook/Meta 집단 소송 발견
- 광고주 원고들은 특정 커뮤니케이션에 대해 범죄-사기 예외가 존재한다는 점을 법원이 인정해 줄 것을 요청함.
- 이 커뮤니케이션은 Facebook의 이른바 In-App Action Panel(IAAP) 프로그램과 관련이 있으며, 2016년 6월부터 2019년 5월경까지 존재함.
- IAAP 프로그램은 마크 주커버그의 요청으로 시작되었으며, SSL 중간자 공격 방법을 사용하여 Snapchat, YouTube, Amazon의 SSL 보호 분석 트래픽을 가로채고 해독하여 Facebook의 경쟁적 의사결정에 정보를 제공함.
Facebook의 IAAP 프로그램, 경쟁사 도청을 통한 경쟁 타깃팅
- 마크 주커버그는 2016년 6월 9일 회사의 고위 임원들에게 'Snapchat 분석'이라는 제목의 메시지를 보냄.
- Javier Olivan, 현재 Facebook의 COO,는 이것이 중요한 시장 분석 질문 중 하나라고 동의하며, 기술적으로 복잡하고 법적 승인이 필요할 수 있다고 언급함.
- Onavo 팀은 이 문제를 해결하기 위해 'lockdown effort'를 계획하고, 이는 팀에게 빛날 기회라고 언급함.
- Onavo 팀은 내부 법률 자문의 지도 하에 고위 리더십을 위한 해결책을 제안함.
GN⁺의 의견
- 이 사건은 기업의 데이터 프라이버시 침해와 관련된 법적 문제를 다루고 있어, 소비자들과 기술 커뮤니티에게 중요한 정보를 제공함.
- Facebook이 경쟁사의 데이터를 불법적으로 수집한 혐의는 기업 윤리와 법적 책임에 대한 논의를 촉발시킬 수 있음.
- 이러한 사례는 다른 기업들에게도 경고의 메시지를 전달하며, 데이터 보호와 개인정보 보안에 대한 중요성을 강조함.
- 비슷한 기능을 제공하는 다른 프로젝트나 제품으로는 보안 강화 VPN 서비스나 암호화 통신 도구들이 있으며, 이들은 사용자의 데이터를 보호하는 데 도움을 줄 수 있음.
- 기술을 도입할 때는 해당 기술이 법적 기준과 윤리적 기준을 충족하는지 신중하게 고려해야 하며, 이 사건은 기업이 기술을 사용할 때 법적 리스크를 평가하는 중요성을 보여줌.
Hacker News 의견
-
개인이 이러한 행위를 했다면 컴퓨터 사기 및 남용법(CFAA)이 적용될 것이라는 의견이 있음. 메타에 대해서는 결과를 지켜봐야 할 것.
- 개인이 이와 같은 행위를 했다면 컴퓨터 사기 및 남용법(CFAA)이 적용될 것으로 예상되나, 메타의 경우 결과를 지켜봐야 함.
-
MITM(중간자 공격)은 '연구'가 아닌 '공격'으로 불림. 한 IT 전문가는 부정한 관행을 발견하고 정치 당에서 나온 경험을 공유함.
- 중간자 공격(MITM)은 연구가 아닌 공격으로 불리며, 윤리를 중시하는 엔지니어라면 메타에서 이러한 시도를 하지 않았을 것임.
-
한 앱(WhatsApp)에는 종단간 암호화를 추가한다고 공개적으로 발표하면서, 다른 앱에서는 비밀리에 TLS를 깨는 아이러니함을 지적함.
- WhatsApp에 종단간 암호화를 추가한다고 발표하는 동시에 다른 앱에서는 TLS를 비밀리에 깨는 메타의 아이러니한 행동에 대한 지적.
-
FANGs(페이스북, 아마존, 넷플릭스, 구글)가 대중에 대한 대규모 심리전을 사실상 무죄로 수행하고 있으며, 가끔 발생하는 소송은 중요하지 않다는 의견.
- FANGs가 대중에 대한 대규모 심리전을 사실상 처벌 없이 수행하고 있으며, 간혹 발생하는 소송은 큰 영향을 주지 않는다는 의견.
-
메타를 '악의 온라인 제국'이라고 부르며, 회사 역사가 도덕적으로 의심스러운 행동들로 가득하다고 비판함.
- 메타를 '악의 온라인 제국'으로 지칭하며, 회사 역사가 도덕적으로 의심스러운 행동들로 가득 차 있다고 비판.
-
Cloudflare가 SSL 종료/오프로딩을 통해 무엇을 하고 있는지에 대한 의문 제기.
- Cloudflare가 SSL 종료/오프로딩을 통해 어떤 행동을 하고 있는지에 대한 의문.
-
TLS와 SSL을 혼동하지 말 것과, 서비스 약관에 명시하지 않고 TLS를 제거하는 행위는 CFAA에 따라 처벌받아야 한다는 의견.
- TLS와 SSL을 혼동하지 말 것을 지적하며, 서비스 약관에 명시하지 않고 TLS를 제거하는 행위는 CFAA에 따라 처벌받아야 한다는 의견.
-
메타가 도청법을 위반하지 않았다고 부인하지만, 동의에 대한 증거는 제시하지 않음. 메타가 '시장 조사'라고 주장하는 VPN 앱의 통신 간섭에 대한 문서 공개를 꺼리는 이유에 대한 의문.
- 메타가 도청법 위반을 부인하지만 동의에 대한 증거를 제시하지 않고, VPN 앱을 통한 통신 간섭이 '시장 조사'라고 주장하며 관련 문서 공개를 꺼리는 이유에 대한 의문.
-
문서에 따르면, 계획은 유저들에게 알리지 않고 시험적으로 배포하는 것이었는지, 아니면 유저들이 동의하고 참여하는 것이었는지에 대한 질문.
- 문서에 따르면, 메타의 계획이 유저들에게 알리지 않고 시험적으로 배포하는 것인지, 아니면 유저들이 동의하고 참여하는 것인지에 대한 질문.