너는 나라는 사람을 본 적도 없고, 이 세상에 존재하는지도 모르겠지만 말이야.
선릉공원 건너편, 건물 출입문 번호가 12*9#인 00빌라 40*에 사는 스물 세살 헤어디자이너 박*영아.
지난주 토요일 저녁에 남친이랑 시켜먹은 치킨은 맛있었니?
언제 혼자 있을 때 010-48**-9**3으로 전화하고 찾아가볼까? 가기 전에 P******@gmail.com으로 내 소개부터 보낼까?
네 사진도 모두 저장했고, 네가 좋아하는 장소들도 다 알아놨어.
위의 박*영양 이야기는 허구가 아니다. 각기 다른 사람의 정보를 조합했을 뿐, 내가 찾아낸 실제 존재하는 주소와 이름과 번호들이다. 시간제약과 귀찮음만 벗어난다면 난 당장 내일에라도 사무실 1킬로 반경에 어떤 사람이 어느 집에 사는지, 수십명의 정보를 알아낼 수 있다.
지금부터 펼쳐질 이야기를 두고 많은 고민을 했다. 당장 이 내용으로 범죄에 이용할 사람도 있을 것이고, 누군가는 직장을 잃을 수도 있다. 그러나 반드시 개선되어야 하는 문제라 생각했고, 내가 할 수 있는 최선은 최대한 짧은 시간 내에 최대한 많은 사람들이 이 글을 보게 만들고, 그래서 최대한 빨리 관련된 누군가가 조치를 취하게 만드는 거이다. 이를 위해 ㅍㅍㅅㅅ 이승환 수령과 협의하였고, 이 글은 블로그에 게재됨과 동시에 ㅍㅍㅅㅅ 지면 및 네트워크에 올려질 것이다. 이 글을 읽는 당신들이 할 일은 좋아요가 아니라 이 글을 공유하여 보다 많은 당신의 지인들이 알게 하고, 또 그들을 통해 더 많은 사람들에게 공유되도록 하는 것이다. 분명히 말한다. 누군가는 이 글에 나온 방법으로 범죄를 저지를 수 있다. 그리고 피해자는 당신, 혹은 당신의 지인이 될 수도 있다.
[발단]
함께 일하는 동료가 지난 주말에 배달 앱을 통해 치킨을 주문했다. 주문 후 접수 및 주문 내역, 그리고 배달 안내가 문자로 전달된다.
다양한 형태가 있지만, 동료가 받은 문자 형태는 아래와 같다.
가장 하단의 블러처리된 곳에는 URL이 있으며, 클릭하면 해당 사이트를 방문하여 주문 내역을 확인할 수 있다.
위 화면의 제일 아래에는 배달 주소가 있다. 배달해야 하니 당연하겠지.
보통 사람이라면 주문 내역만 확인하고 넘어갔겠지만, 잉여력 쩌는 동료는 해당 페이지의 주소를 바꿔보았다. 주소의 뒤쪽은 각 주문내역에 따라 숫자 파라미터로 구성되었는데, 그 숫자를 바꿔본 것이다. 그리고 그 결과는?
다른 사람의 주문 내역까지 확인 가능하다.
[전개]
호랑이 밑에서 개새끼 안 나온다. 직원의 잉여력이 저런 정도라는 것은 사장의 잉여력은 동급 혹은 그 이상이라는 얘기다.
얘기를 전달받은 사장새끼(나)는, 한발 더 나간다.
주문 페이지의 소스를 까보자.
블러처리된, 010으로 시작하는 11자리의 숫자가 무엇이라고 생각하나?
맞다 전화번호다.
주소와 전화번호까지 입수했다.
[완성]
이게 어떻게 문제가 될 수 있는지, 구체적으로 알려주겠다.
몇번의(사실은 몇십번의) 검색을 통해 금요일 늦은 시간에 1인분만 주문한 내역을 몇개 찾았다.
해당 시간대는, 다인가구라면 적어도 한명 이상의 가족이 집에 있을 시간이다. 즉, 해당 시간대에 1인분 주문은 1인가구 가능성이 높다는 것을 의미한다.
1인분만 주문했다고 1인 가구라고 보기는 어렵다. 보다 정확한 배경정보를 위해 입력된 주소로 지도검색을 해보았다.
선릉공원 건너편의 블럭으로, 원룸 및 빌라가 집중된 구역이다. 1인 가구의 가능성이 단독주택지역이나 아파트 단지보다는 높다고 볼 수 있다.
지도에 표기할 수는 없지만, 위의 주소로 정확하게 건물을 찾아낼 수 있다.
다른 주문 사례지만, 주소 뒤에 #이 들어간 숫자를 포함하는 경우도 있다. 호수를 의미하는 것이 아니라 건물 출입문 번호로 짐작된다.
자, 이제 마지막 단계이다. 주문자가 누군지 찾아내는 것.
전화번호를 알고 있다면 다양한 방법이 가능하다.
페이스북에서 전화번호로 검색하면, 등록 및 공개된 프로필에 한하여 조회가 가능하다.
페이스북을 통해 이름, 직장 또는 학교, 나이, 성별, 그리고 다양한 일상의 정보가 확인 가능하다. 실제로 어느 주문자는 오늘부터 휴가를 떠났다는 내용까지 찾을 수 있었다. 즉, 빈 집이라는 얘기다.
페이스북에서 못 찾았다면?
카카오톡과 라인은 번호 기반으로 등록되는 서비스로, 페이스북보다 높은 가능성으로 최소한 사진 조회가 가능하다.
아래는 실제로 내가 시험삼아 번호를 저장한 어느 실제 주문자이다.
컴돌이라면 이 모든 과정을 보다 더 효율적으로 할 수 있다. 기본 URL에 뒤쪽 숫자를 난수로 뽑고, 해당 URL들로 검색 및 전화번호 필드영역 추출을 자동화하는 스크립트를 만들면 된다. 이렇게 저장된 번호를 대량등록 템플릿으로 휴대폰에 밀어넣어 한번에 많은 사람들을 카톡과 라인 친구로 등록하여 스캔할 수 있다. 주소 역시 마찬가지겠지. 지도 API를 돈 주고 살 필요는 없으니까.
[결말]
굳이 이렇게까지, 내가 상상할 수 있는 범죄의 방법론을 친절하게 알려줄 필요는 없었을 수도 있다. 그러나, 이 일이 얼마나 말이 안되는 일이며, 얼마나 위험한 일에 사용될 수 있는지를 전달하기 위해서는 범죄에 현실적으로 사용될 수 있다는 점을 보여줘야만 한다고 생각했다.
배민, 요기요 뿐 아니라 여러 주문 경로가 다 다뤄지고, 치킨, 피자, 기타 업종도 모두 포함된다. 같은 프랜차이즈도 모두 이 서비스를 이용하지는 않는 것으로 보아, 아마도 개별 가맹점 단위로 계약되는 서비스가 아닐까 싶다. 지금 여기에서 그 서비스 URL을 공개한다면 바로 찾아지겠으나, 혹시 모르는 부작용 때문에 공개하지 않는다. 하지만 눈썰미가 있는 사람이라면 혹은 업계의 사람이라면 알아챌 것이다.
본인이 이 일에 대해 확인과 조치가 가능한 업무에 종사하고 있다면 반드시 빠른 시간 내에 뭔가를 해주기 바란다. 또한 주변에 주문배달서비스(배달의 민족, 요기요 등)에 근무하는 사람이 있다면 이 글을 전달해주기 바란다. 비록 그들의 서비스는 아니지만 배민과 요기요의 주문내역도 이 서비스에서 다루고 있으니, 어쩌면 대상과 방법을 알 수도 있다.
필요하다면 서울 소재의 마케팅 퍼포먼스 컨설팅펌 B&A 컨설팅과 시드니 소재의 크리에이티브 에이전시 Lash Creative가 함께 만들고 SEO부터 SEM, Performance Display 등 미디어/마케팅 활동 뿐만 아니라 웹사이트 제작, 모션그래픽, 기타 글로벌 레벨의 크리에이티브 역량을 갖춘 BALC의 통합 대표이사인 이환선 대표님(brandon.lee@balc.co.kr)께 문의하기 바란다(아 이참에 회사 홍보 좀).
본인이 관련업계에 근무하고 있다는 사실만 인증(명함, 사원증 등)한다면, 해당 사이트가 어느 사이트인지 구체적으로 확인해주겠다.
수년 전 서울시내 어느 구의 보건소 웹사이트는 어이없는 문제를 갖고 있었다. 웹사이트 내에서 민원내역을 조회하기 위해서는 개인 인증을 거쳐야 하고, 해당 민원의 작성자와 관리자만 그 게시물을 다시 볼 수 있었다. 그런데 구글에서 검색하여 검색결과화면에서 직접 들어가면 해당 게시물로 바로 갈 수가 있었다. 민원인의 실명과 전화번호가 모두 기재되어 있어, 누가 우리 식당과 병원에 대해 무슨 내용으로 민원을 넣었는지 확인이 가능했던 것이다. 다행히 현재는 개선되었지만, 주민등록번호를 포함하여 이러한 정보노출의 문제는 아직도 수많은 사이트에서 여전하다.
내가 전혀 모르는 누군가 나의 모든 것을 알고 있다면 그건 귀신이나 강도와는 다른 종류의 공포라 할 수 있다. 내 정보를 제공하는 댓가로 보다 편리한 서비스를 이용하는 현대의 사회에서 정보의 보안이란 개인의 안위와 직결되는 문제이다. 너무 오버한다고? 이번 역삼동 왁싱샵 살인사건을 봐라. 단순히 일하는 샵의 상호를 제외하고, 피해자는 어떠한 정보도 능동적으로 제공하지 않았다.
마지막으로 사이트 이따위로 만든 너, 혹은 너희들.
너희는 사용자의 정보를 소중히 하지 않았다.
지금부터 게임을 시작하지.
행여나 내게 연락해서 글을 내려달라던가, 나 때문에 피해를 봤다던가 투덜댈 거라면 일단 네이버와 구글에서 "잡지사 페이스북"을 검색해보고 와라. 제일 위에 뭐가 떠 있는지.
지금은 최대한 노출되지 않도록 했지만, 회사명으로 검색할 때 제일 위에 내 글이 뜨게 만들어줄 수 있다.
================
추가 제보가 왔다.
주문자에 따르면, 본인은 건물 입구 출입번호를 기재한 적이 없다 한다.
그런데 배달주소란에는 "사람 열쇠 15** 종"이라는 출입번호가 적혀 있다.
만일 주문자의 기억이 맞다면, 건물에 따라 출입번호가 저장되어 자동으로 붙는다는 얘기다.
배달자의 편의를 위해 이렇게 공유한다고 해도 문제가 될텐데, 고객 대상의 문자에 아주 당연한 듯이 붙어 있다.
'Other Diigital Marketing' 카테고리의 다른 글
| 난 단지 치킨을 주문했을 뿐인데, 범죄의 대상이 될 수 있다니. (0) | 2017.08.04 |
|---|---|
| 안철수 광고가 놓친 것 한가지 (0) | 2017.04.23 |
| 마케팅, 광고, PR의 관계 및 정의를 알려주마 (1) | 2016.06.26 |
| 일부 검색광고 대행사, 바이럴 대행사, 페이스북 대행사들의 무책임한 행태 (0) | 2016.06.11 |
| 디지털 마케팅 채널의 효율적 관리방법 (0) | 2015.01.11 |
| 2014년 B&A는 (0) | 2013.12.21 |
