독싱이란 무엇인가요?
독싱의 정의
독싱(Doxxing)이란 특정 인물의 신상 정보를 인터넷 상에 공개적으로 드러내는 방식으로 이뤄지는 일종의 온라인 괴롭힘을 말합니다. 독싱 가해자들은 피해자의 이름, 주소, 전화번호, 사진 등과 같이 개인을 특정할 수 있는 정보를 동의 없이 찾아내서 수집하고, 온라인 상에 공개적으로 드러내 버립니다. 이런 행위는 나중에 피해자가 유출된 정보를 손에 넣은 사람들로부터 더 심한 괴롭힘을 당하는 원인이 되게 합니다.
“독싱”이라는 단어는 “dropping box” 라는 용어에서 유래되었습니다. dropping box란, IRC를 널리 이용하던 시절에 해커들이 복수를 위해 사용했던 오래된 기술을 말합니다. 이는 익명성을 무력화 시켜 피해자를 위협하거나, 괴롭히기 위해 사용되었습니다. 심지어는 법 집행기관의 관심을 끌기 위해서 사용되기도 했습니다. 독싱은 익명성을 유지하기 위해 노력하는 해커들에게 과거에나 현재에나 심각한 사이버 위협이 되고 있습니다.
최근에는 독싱이 주로 온라인 게이머들 사이에서 사이버 괴롭힘을 위해 사용되고 있습니다. 누군가 여러분이 SNS에 올린 게시물이 마음에 들지 않는다는 이유로, 혹은 온라인 게임에서 지고 난 후에 기분이 나쁘다는 이유 만으로 여러분이나 여러분의 가족의 신상 정보를 공개할 수 있습니다. 이는 공인에게만 해당되는 일이 아닙니다. 신상 정보가 공개되어 있다면 누구나 독싱의 피해자가 될 수 있습니다.
독싱은 얼마나 심각한 피해를 초래하나요?
몇몇 사람들은 독싱 공격을 대수롭지 않게 여기기도 합니다. 이미 인터넷에 있는 정보를 가지고 설마 무슨 심각한 일이 벌어질까, 라고 안일하게 생각할 수도 있습니다. 현재 아마 여러분의 집 주소, 전화번호, 이메일 주소, 주민 번호는 여러 웹사이트에 흩어져 있을 것입니다. 그렇지만 만약 거기에다 네트워크 데이터, 금융 관련 서류, 은행 계좌 정보, 개인적인 대화 내용, 창피한 사진들, 서명이 된 문서들, 공개적으로 공유한 의견까지 더한다면 어떻게 될까요? 누군가 작은 정보의 조각들을 모아서 한 개인에 대한 부정적인 이미지를 만들어 낼 수 있습니다. 이것은 단순한 개인 정보 침해 수준을 넘어서는 일입니다. 또한, 다음과 같은 일도 벌어질 수 있습니다:
- 개인적 평판 또는 직업적 명성에 악영향을 줌
- 모욕감과 수치심을 유발함
- 유출된 내용으로 인해 심한 사회적 비판을 받을 수 있음
- 신원 도용 피해로 이어짐
- 잠재적인 사이버 공격에 노출됨
- 물리적 공격의 피해자가 될 수 있음
- 지속적인 괴롭힘과 심지어 살해 협박도 받을 수 있음
- 장난 전화와 스와팅 유발 (피해자의 집주소로 인질극과 같은 사건을 거짓으로 꾸며내어 경찰에 신고하는 행위)
독싱은 어떤 식으로 일어나나요?
개인 정보를 수집하는 방법은 아주 간단하고 쉬운 수법부터 고급 해킹까지 다양한 종류가 있습니다. 만약 어떤 사람이 온라인 상에 개인 정보를 많이 공개하고 있는데 보안 수준은 허술하다면, 결과는 뻔합니다. 공격자는 피해자에 대해 아주 많은 양의 정보를 알아낼 수 있습니다.
가장 흔한 수법은 다음과 같습니다:
- Wi-Fi (패킷) 스니핑. 공용 Wi-Fi 네트워크는 해킹에 정말 취약합니다. 독싱 공격자는 손쉽게 인터넷 연결을 가로채서 현재 방문하는 웹사이트 등 실시간으로 오가는 정보를 볼 수 있습니다. 그러므로 로그인 정보, 비밀번호와 같은 민감 정보가 유출될 가능성이 높습니다.
- 파일 메타데이터 분석하기. 공격자는 파일 메타데이터만 보고도 여러분에 대해 많은 것을 알아낼 수 있습니다. 예를 들어, 마이크로소프트 워드 파일의 ‘상세’ 항목을 클릭한다고 가정합시다. 그러면 파일 작성자, 수정자, 작성 날짜, 심지어 어떤 회사에서 작성했는지 까지도 볼 수 있습니다. 마찬가지로 사진 파일도 EXIF 데이터를 가지고 있습니다. 여기에는 사진을 찍는데 사용된 스마트폰이나 카메라의 모델명, 해상도, 날짜와 시간까지 나와 있습니다. 게다가, 사진을 찍을 때 GPS가 활성화되어 있었다면 위치 정보도 노출이 됩니다.
IP 로깅. 해커들은 이메일이나 메시지를 통해 기기에 IP 로거를 몰래 심어두어, 나의 IP 주소를 알아냅니다. IP 주소는 대략적인 위치 정보를 알아내기 위해 사용될 수 있습니다.
독싱은 합법적인가요?
독싱이 합법적인지는 인터넷 사용자가 거주하는 국가에 따라서 다릅니다. 그러나 미국에 거주하고 있다면 독싱은 연방법과 주법에 따라 불법으로 간주됩니다. 특히 고의적으로 누군가의 명예를 훼손하려 했거나 위험에 빠뜨리게 했다면 더욱 그렇습니다. 많은 EU 국가들도 독싱을 불법으로 간주합니다. 특히 개인적이거나 획득하기 어려운 정보를 누출해 피해자의 프라이버시와 안전을 침해한 경우에는 확실히 불법행위로 간주됩니다.
자기 자신에 대해서도 독싱을 할 수 있나요?
당연히 가능합니다. 오히려 한번쯤 해 보는 것이 좋습니다. 왜냐하면 스스로 독싱을 해 봐야만 나의 개인 정보가 인터넷에 얼마나 많이 올라와 있는지 알 수 있습니다. 그런 다음 공개를 원하지 않는 정보들을 삭제할 수 있습니다.
- 맨 첫 단계는 자기 이름을 스스로 구글링 해보는 것입니다. 아마도 SNS 계정이 최상단에 뜰 것입니다. 사실 여기서 할 수 있는 일은 많이 없긴 합니다. (아예 SNS 이름을 닉네임으로 바꿔버리는 것 제외) 그러나, 어떤 SNS 플랫폼에서는 검색 엔진에서 사용자가 검색되지 않도록 사용자 프로필을 비공개 처리할 수도 있습니다. 예를 들어, 페이스북에서는 “Facebook 외부의 검색 엔진 결과에 회원님의 프로필이 표시되도록 허용하시겠어요?” 설정을 비활성화 하면 됩니다.
- 다음으로, 정밀 검색을 해 보세요. 여러분의 이름과 함께 “전화번호”, “주소”와 같은 다른 키워드를 조합해서 구글링해 보십시오.
- 실제 주소, 전화번호, 이메일, 그리고 기억나는 별명을 검색한 다음 여러분의 이름이 그 키워드와 관련되어 나오는지 찾아보세요. 이름, 주소, 위치 기록, 전화번호, 그리고 온라인 상의 다른 개인 정보들이 하나의 파일로 합쳐진 데이터 브로커 웹사이트를 찾을 확률이 높습니다. (Incogni와 같은 서비스를 사용하면 자동적으로 데이터 브로커에 정보 삭제 요청을 할 수 있습니다.)
- 이미지 검색 결과도 확인하십시오. 만약 온라인상에 여러분의 사진이 많지 않다면, 이미지 역검색을 해서 게시되지 않아야 할 곳에 사진이 있지는 않은지 체크할 수 있습니다.
만약 스스로 독싱을 해서 개인 정보를 찾아냈다면 어떻게 해야 할까요? 유럽에 거주 중이라면, GDPR 규정에 따라 웹사이트에서 개인 식별 정보(Personally Identifiable Information, PII)를 삭제하도록 요청할 수 있습니다.
안타깝게도, 유럽 이외의 다른 나라들에서는 그렇게 간단하게 처리할 수 없습니다. 그렇지만 여전히 웹사이트에 개인 정보를 삭제해달라고 요청할 수 있으며, 대부분 요청시 삭제를 해 줄 것입니다. 모든 정보를 삭제할 수는 없지만, 적어도 어떤 정보가 온라인에 올라와 있는 지 알 수 있습니다. 이렇게 인터넷에 있는 개인 정보를 확인하면 좀 더 경각심을 가지게 될 것입니다. 새로운 이메일 주소, 전화 번호, 또는 집 주소는 절대 온라인상에 퍼지지 않도록 주의하세요. 여러분과 주변인들이 SNS에 글을 올릴 때 주의하여, 개인 정보가 퍼지지 않도록 하세요.
개인정보 보호 팁: SNS 프로필을 비공개로 설정하세요. 그러면 전반적인 프라이버시 및 보안에 도움이 됩니다. 특히, 독싱을 예방하는 데 매우 중요합니다.
독싱을 예방하는 법
좋은 소식은, 독싱을 피하거나 위험을 최소화하는 방법이 있다는 것입니다.
#1: 온라인 상에 올리는 정보를 제한하기
검색 엔진에 본인의 이름을 넣어서 검색해 본 적이 있으신가요? 사이버 괴롭힘은 검색 엔진에서 신상 정보를 수집하는 것부터 시작하기 때문에, 한 번 해보는 것이 좋습니다. 프라이버시 보호를 중시하는 검색 엔진으로 한번 검색해 보세요. 왜냐구요? 구글은 사용자 프로필과 취향에 따라 검색 결과를 내 놓는데, 이것이 해커의 검색 결과와 다를 수 있기 때문입니다.
올라온 신상 정보를 확인했다면, 최대한 많은 정보를 삭제하세요. 삭제 작업이 번거롭고 힘들긴 합니다. 개인 정보의 상당 부분은 구글과 SNS 프로필에 있을 것입니다. SNS 개인정보 보안을 더 강화하는 법과 구글을 대체할 서비스에 대한 가이드 글을 참고해 주세요.
#2: 댓글 달기 전에 한번 더 생각하기
익명 혹은 가명 기반으로 댓글을 달 수 있는 포럼이나 뉴스 웹사이트에서도 IP 주소와 같은 데이터를 수집하고 있습니다. 그래서 위치와 신원이 드러날 가능성이 여전히 존재합니다. 만약 웹사이트에 댓글을 달고 싶다면, 신원 도용으로 이어질 수 있으므로 개인 정보는 절대 입력하지 마세요. SNS 계정으로 로그인 하는 것도 금물입니다. VPN을 사용하여 가상 위치를 변경하고 댓글을 남기세요.
#3: 데이터 브로커 웹사이트에서 정보 삭제하기
데이터 브로커들은 인터넷에서 개인 정보를 긁어 모아 한 곳에 모은 다음 기업체에게 팔아 넘깁니다. 원하지 않는다면 정보 제공을 거부할 수 있지만, 이들은 사용자 데이터로 수익을 내고 있기 때문에 정보 삭제 과정이 길고 번거로울 수 있습니다. 본인의 정보가 이런 웹사이트에 있는 지 확인하고 싶다면, www.peoplefinder.com 또는 www.whitepages.com를 확인해 주세요. 또한 NordVPN에서 추천하는 인터넷 개인 데이터 삭제 도구인 Incogni를 사용해보세요. NordVPN이 사용자 일상의 디지털 보안을 책임진다면, Incogni는 데이터 브로커에 연락하여 그들의 데이터베이스에서 사용자의 개인 정보를 삭제합니다.
#4: 비밀번호 보호하기
해커들은 온라인 계정을 탈취하는 것을 최고의 목표로 삼고 있습니다. 계정을 탈취하면 정보를 훔칠 수 있고, 신원 도용이 가능하며, 다크웹에 개인 정보를 판매하고 심지어 여러분의 연락처에 있는 사람들에게 추가 공격을 가할 수 있습니다. 비밀번호는 금융 계좌, SNS 프로필 등을 보호하기 위해 필수적인 역할을 합니다. 강력하고 유일한 비밀번호로 계정을 지키세요. NordPass 랜덤 비밀번호 생성기를 사용하는 것도 방법입니다. 또한 비밀번호를 재사용 하지 마시고 안전하게 지켜주세요. NordPass와 같은 비밀번호 관리자는 암호화된 저장소에 비밀번호를 저장하고 기억하여 데이터를 지켜주는 역할을 합니다.
또한, 2채널 인증을 할 수 있다면 활성화 하십시오. 공격자가 비밀번호를 얻어냈다고 해도, 그 다음 단계인 인증 과정에서 막힐 것입니다. 아무 설정도 안 하는 것 보다는 어떤 종류던지 2채널 인증을 하는 것이 낫긴 합니다. 그러나 SMS 인증은 심 스와핑(SIM Swapping) 공격에 취약하므로 권장하지 않는 편입니다.
#5: 가상 사설망 (VPN) 사용하기
VPN에 연결하면 온라인 데이터를 암호화하고 실제 IP 주소를 숨겨줍니다. 이는 세상에 있는 보안 수단 중 가장 효과적인 방법이라고 할 수 있습니다. VPN에 연결하면, 스누퍼들이 개인 정보를 엿보지 않고 안전하게 온라인 게이밍을 즐길 수 있습니다. 심지어 공용 Wi-Fi도 안전하게 만들 수 있죠.
NordVPN과 같은 VPN 서비스를 선택하세요. NordVPN은 멀웨어에 감염된 웹사이트로부터 보호해 주는 바이러스 및 위협 방지 Pro와, 독싱 공격자들이 개인 정보에 접근하지 못하도록 하는 광고 차단기와 같은 추가 기능도 제공합니다.
클릭 한 번으로 온라인 보안을 시작해 보세요.
세계 최고의 VPN으로 보안을 유지하세요
