Google이 내 전화번호를 공유함

 (danq.me)
1P by GN⁺ 1일전 | ★ favorite | 댓글 1개
  • 최근 Three Rings 사용자들이 반복적으로 필자에게 전화하여, 원인을 추적한 결과 Google 검색 결과에서 필자의 개인 휴대폰 번호가 노출되고 있음을 발견함
  • 이 번호는 과거 Google의 신원 인증 과정에서 제출한 것이며, 동의 없이 검색 결과의 Google Business Profile에 추가되어 있음
  • 필자는 즉시 비즈니스 프로필에서 번호를 삭제하여 노출을 멈췄지만, 변경 이유에 대한 설명은 얻지 못함
  • 최근 타 은행에서도 개인 정보 유출을 겪으며, 개인 정보 보호의 어려움에 대한 불신이 커지는 상황임
  • 사용자 동의의 중요성과 동시에, 사용자 실수나 동의 창의 무분별함이 PII 유출을 가속할 수 있음을 시사함

사건 개요

  • 이번 달 초 필자는 자신이 창립한 Three Rings 자원봉사자 관리 소프트웨어의 사용자인 한 명에게서 전화를 받음
  • 전화 지원은 공식적으로 제공하지 않았으나, 과거 직접 사용자를 콜백한 일이 많았음
  • 이로 인해 일부 이용자에게 개인 휴대폰 번호가 저장됐을 수 있다고 여겼음

반복적으로 걸려온 전화와 의문

  • 같은 달 3번째 유사한 전화가 온 뒤, 필자는 자신의 번호가 어디에 공개되었는지 의심함
  • 네 번째 전화에서, 전화 건 사용자의 단체명을 모르겠다고 하자 어디서 번호를 찾았는지 물어봄
  • 상대방은 "Google에 'Three Rings 로그인'을 검색하면 나온다"라고 답함

Google 검색 결과를 통한 개인 정보 노출

  • 직접 검색해 확인한 결과, Three Rings CIC의 Google Business Profile에 필자의 개인 연락처가 안내됨
  • 누구나 '통화' 버튼으로 바로 필자 개인 번호에 전화할 수 있도록 되어 있었음
  • Google 검색은 평소 거의 사용하지 않아, 타인의 제보가 아니었으면 알지 못했을 상황임

Google의 개인정보 관리 방식

  • 필자는 과거 Google의 본인 확인 과정에서 해당 번호를 제출한 적 있으나, 공개에는 동의하지 않았음
  • 최근 Google이 임의로 Google Business Profile에 번호를 노출하기 시작했으며, 명확한 시점이나 원인도 불분명함
  • 필자가 비즈니스 프로필에서 번호를 삭제하자, 곧바로 노출이 중단됨
  • 하지만 번호 삭제와 동시에 "Google에 의해 전화번호가 수정됨"이라는 메시지도 사라져, 변경 이유나 경위를 알 수 없었음

최근 타 금융기관 사례 및 사용자 불안감

  • 지난달 한 은행(Halifax)이 필자와 무관한 타인에게 신용계약 정보를 발송한 사고가 있었음
  • 연달아 두 건의 개인 정보 유출 경험으로, 필자는 혹시 본인이 실수로 동의 팝업에 체크했던 것은 아닌지 의심하게 됨
  • 개인정보 동의 안내문이 실제로는 이해하기 어렵고, 무심코 ‘동의함’ 버튼을 클릭하는 환경을 풍자함

요약 및 시사점

  • 예상치 못한 프라이버시 침해가 누구에게나 발생할 수 있음을 보여줌
  • Google, 금융기관 등 대형 플랫폼에서의 개인정보 활용 및 공개 관리에 대한 사용자 신뢰성이 다시금 강조됨
  • 사용자 실수, 부주의, 혹은 시스템의 임의 동기화 등으로 PII(개인 식별 가능 정보) 유출 위험이 지속됨
  • 동의의 의미와 실제 데이터 처리 관행의 괴리가 현존함
  • IT 기업과 사용자는 개인 정보를 안전하게 관리하기 위해 보다 투명하고 친절한 안내가 필요함
GN⁺ 1일전  [-]
Hacker News 의견

  • 웹사이트에 전화번호가 공개되어 있고, Google Play 개발자 프로필에도 동일한 번호가 노출되는 상황임을 지적함. 두 프로필 모두 본인이 직접 공개한 정보로 보인다는 의견. 개인 번호와 비즈니스 번호를 동일하게 쓰면 이런 결과가 자연스럽게 나타난다는 판단. 애초에 Google이 이 번호를 비공개에서 공개로 바꾼 게 잘못인 것 같았지만, Google Play에서 고객이 연락할 수 있는 번호를 요구한 부분이라 하는 설명

    • 글 작성자임을 밝히며, 웹사이트에는 전화번호가 없어야 하고 본인도 찾지 못하겠음. Google Play 개발자 프로필에 번호가 노출된 것은 유감이며, 알려줘서 고맙다는 감사 표명

  • 예전에 삼성폰을 샀더니, 모르는 번호로 전화가 올 때 그 사람의 이름을 알려주는 기능이 있었던 경험을 공유. 아마도 다른 사람들의 연락처 데이터베이스에서 정보를 가져온 것 같다는 추측. 어느 날 이웃이 전화를 했는데 연락처 등록을 안 했음에도 '이름 GRINDER'라고 표시되었고, 이는 다른 사용자가 그렇게 저장했기 때문이었음. 이웃은 동네에서 커밍아웃한 사람이었지만, 부동산 회사 영업 일을 하고 있었고 이런 정보 노출에 대해 매우 불쾌해 했다는 일화. 또한 본인은 7년째 그 앱을 사용하지도 않는다고 했다는 설명

    • 이런 일이 실제로 일어났다는 게 믿기 힘들다는 반응. 이런 사례보다 훨씬 심각한 상황도 생각해볼 수 있을 정도로 위험해 보인다는 의견

    • 일부 삼성폰에 truecaller나 callapp이 탑재되어 있는데, 이런 상황을 유발한다고 첨언

  • 네덜란드에서 회사를 운영하면서 Google이 상공회의소 등록번호를 근거로 회사 전화번호를 업데이트한 경험 공유. 회사는 전화 지원을 제공하지 않지만 법적으로 등록번호상 전화번호 기재가 의무임. VoIP 번호를 등록해 바로 음성사서함으로 연결되고, 안내 메시지로 전화 지원을 제공하지 않음을 알림. Google Business 프로필에서 번호를 삭제했지만, 가끔씩 Google이 다시 자동으로 번호를 추가하는 일이 반복됨

  • 누군가가 보유하고 있던 전화번호를 회사 프로필에 유익할 것 같다고 자유롭게 추가하는 것일 수도 있다는 의견

    • 스크린샷에 'Google에서 번호가 업데이트 되었습니다'라고 명시되어 있어 사용자 입력이 아니라는 점을 강조

    • 일반 사용자가 비즈니스 프로필의 번호를 마음대로 업데이트할 수 있고, Google이 번호 소유자에게 허가도 받지 않고 바로 공개한다는 건 큰 실수라는 의견

  • 본인도 비슷한 경험이 있다며 한밤중 2시에 전화 받은 사례 공유. 예전 회사에서 구인 서비스 관리 시절, 본인 프로젝트로 Python 개발자 채용 공고를 올렸는데, 연락처 공개 설정을 끌 수 없었음. 그 탓에 새벽 5시쯤 모르는 사람이 몇 번이나 전화해서 프로그래머 되는 법을 물어봄. 첫번째 전화에 당황해서 유용한 조언도 해줬다고 회상. 지금은 이런 개인정보 유출 상황에 대비해 개인/업무/기타용으로 서로 다른 전화번호 4개를 구분해 사용중임

    • 이상하게 모두 오전 5시에만 전화가 왔다고 하자, 아마도 같은 지역에서 걸려온 거라 시차 때문에 상대방 출근 시간에 해당됐을 가능성을 지적

  • Google이 소송을 당하지 않는 상황에서 일어나는 폐해를 설명. 독일에서는 lieferando(테이크어웨이닷컴 계열)이 '음식점명-도시.de'와 같은 도메인을 대량 등록해서 자체 콜센터로 연결시키고, Google 비즈니스 등록정보도 자기 것으로 변경. 이후엔 식당주인에게 전화해, Google에서 본인 가게를 찾을 수 없으니 contract를 강압적으로 요구하고, 콜센터를 통해 주문하려는 손님들에게도 엉뚱한 안내가 돌아가 사업에 큰 피해를 입히는 구조. 이 허수아비 도메인만 13만 개 넘게 운영되고 있었고, 본인이 피해 식당 주인들을 위해 데이터셋 제공도 도왔던 이력 공유. 하지만 피해액이 한 건당 크지 않아 소송이 어렵고, 미국과는 달리 집단소송도 아닌 탓에 법적 쟁점화가 안 됨. Google은 이런 상황을 알면서도 거대 지주회사 구조로 책임 회피함을 지적

    • 이와 유사한 수법이 15년 전 BlackHatWorld에서 널리 사용되던 방법이라는 언급과, 이제 VC 회사들이 이를 활용하게 된 현실에 대한 아이러니한 심정 공유

    • 해당 사례는 Google의 문제라기보다는 협박을 자행하는 회사가 소송을 면하는 문제가 본질이라는 반박

    • Google Maps 상에서 단순히 도메인만 등록하면 아무 비즈니스 업체도 쉽게 장악할 수 있냐며, Google이 소유권 분쟁 처리 방법을 따로 마련해 두지 않았는지 물음

    • 독일 언론에서 해당 사례에 대해 제대로 취재한 글이 있는지 궁금하다는 질문

    • Google이 만든 생태계를 소규모 사업자를 공격 무기로 사용하는 것이 너무나 쉽다는 점에서 무서운 현실임을 강조

  • 이 글의 본문에서 제시한 스토리가 실제로는 가장 적합하지 않은 설명일 수 있음을 지적. 댓글들에만 최소 세 가지 대안 설명이 있음. 실제 Google 계정 데이터를 Takeout으로 받으면 보유 정보와 사용 목적을 확인할 수 있을 거라는 제안

    • 하지만 Google은 Business Profile에는 Takeout 기능을 제공하지 않는다며, 기업은 종종 개인정보 보호법(GDPR 등)의 보호 대상이 아니라 Google 등 대기업이 데이터 내보내기 같은 편의 도구를 제공하지 않는다는 설명

  • Google Play Store에서 본인 개인 휴대폰 번호가 공개된 경험 공유. 사업자 번호 인증이 안 되면 계정이 정지된다는 경고 하에 한 달 넘게 인증을 시도하다 결국 어쩔 수 없이 개인 번호를 입력하게 됨

    • 비슷한 경험을 했던 독립 app publisher라며, 고객지원도 하지 않는 입장에서 앱 옆에 내 전화번호가 공개되는 게 불편했다고 토로. 이런 정책은 인디 app 개발자에게 불이익만 주는 제도라 판단. 그래서 store에서 앱을 내리기로 결정했다는 에피소드

  • Google Search로 누구나 사업체 전화번호를 수정할 수 있다는 사실 공유. 신기하지만 실제임 Three Rings CIC 전화번호 수정 예시

    • Google 지도 사용자라면 누구나 수정 제안을 할 수 있으나, 제출된 정보는 리뷰 후 반영된다는 안내. 비즈니스 폐업, 주소 변경, 영업시간 변경 등 다양한 부분 신고 가능. 심지어 버스 정류장, 기차역, 사적지 등에도 사용 가능하다는 정보. 이러한 시스템은 '크라우드소싱' 기반이라 설명. Google Business Profile 안내비즈니스 프로필 등록 링크도 함께 공유

  • 본문 이미지에서 번호를 흐리게 처리했지만, 여전히 숫자가 보인다는 의견

    • 블로그 소유자가 직접 답변하며, 실제 스크린샷에는 Ofcom에서 공식적으로 지정한 '드라마용 허구 번호'를 사용해서 안전 문제 없음. 드라마용 공식 전화번호 참고

    • 흐림 처리가 약해서 번호가 그대로 읽힘을 언급하며, 이미지는 심하게 뭉개져도 AI 등 기술로 정보를 거의 복원할 수 있는 현실을 예시로 소개 예시 이미지

    • 번호 자체가 07700 987654라 허구 번호임을 알아채는 내용

    • 단순 흐림 효과만으로는 민감 정보 보호가 어렵고, 전문가들은 더 안전한 차단법을 권장함. 특히 이번 이미지처럼 특별한 기술이 없어도 번호 확인이 쉬운 상황. 만약 블러 처리 이유가 신원 보호였다면, 즉시 이미지를 업데이트하라고 충고

    • 최근 AI 크롤러가 이미지 내 텍스트도 추출해 데이터셋을 만들고 있어, 어설픈 블러 효과로 만든 이미지도 LLM 데이터로 들어갈 위험성 우려

답변달기