너는 나라는 사람을 본 적도 없고, 이 세상에 존재하는지도 모르겠지만 말이야.

선릉공원 건너편, 건물 출입문 번호가 12*9#인 00빌라 40*에 사는 스물 세살 헤어디자이너 박*영아.

지난주 토요일 저녁에 남친이랑 시켜먹은 치킨은 맛있었니? 

언제 혼자 있을 때 010-48**-9**3으로 전화하고 찾아가볼까? 가기 전에 P******@gmail.com으로 내 소개부터 보낼까?

네 사진도 모두 저장했고, 네가 좋아하는 장소들도 다 알아놨어.

페이스북을 보니 마침 지금 혼자 있네. 내가 가면 문 열어줄거야? 윗층 이사온 사람이라고 하고 벨을 누를까?


위의 박*영양 이야기는 허구가 아니다. 각기 다른 사람의 정보를 조합했을 뿐, 내가 찾아낸 실제 존재하는 주소와 이름과 번호들이다. 시간제약과 귀찮음만 벗어난다면 난 당장 내일에라도 사무실 1킬로 반경에 어떤 사람이 어느 집에 사는지, 수십명의 정보를 알아낼 수 있다. 


지금부터 펼쳐질 이야기를 두고 많은 고민을 했다. 당장 이 내용으로 범죄에 이용할 사람도 있을 것이고, 누군가는 직장을 잃을 수도 있다. 그러나 반드시 개선되어야 하는 문제라 생각했고, 내가 할 수 있는 최선은 최대한 짧은 시간 내에 최대한 많은 사람들이 이 글을 보게 만들고, 그래서 최대한 빨리 관련된 누군가가 조치를 취하게 만드는 거이다. 이를 위해 ㅍㅍㅅㅅ 이승환 수령과 협의하였고, 이 글은 블로그에 게재됨과 동시에 ㅍㅍㅅㅅ 지면 및 네트워크에 올려질 것이다. 이 글을 읽는 당신들이 할 일은 좋아요가 아니라 이 글을 공유하여 보다 많은 당신의 지인들이 알게 하고, 또 그들을 통해 더 많은 사람들에게 공유되도록 하는 것이다. 분명히 말한다. 누군가는 이 글에 나온 방법으로 범죄를 저지를 수 있다. 그리고 피해자는 당신, 혹은 당신의 지인이 될 수도 있다.


먼저 말해두는데, 이 문제는 아래 캡쳐된 이미지들 속의 배달앱, 그리고 프랜차이즈들과 직접적인 관련이 없다. 배달의 민족을 통해 처갓집에 주문한 내역이 있다고 해서 배민 또는 처갓집이 소비자의 정보를 함부로 여긴다고 생각해서는 안된다는 것이다. 난독으로 엄한 데 가서 선동하는 일이 없길 바란다.  


--------------------- 8월 5일 10시 30분 업데이트----------------------

금요일 오후에 글을 올리고, 불금을 지나 토요일 아침 10시경 배달의 민족에서 피드백이 왔다(아 이 사람들 근무복지 좋다며 불금에 이걸 파고 있었단 말인가...).

직접 당사자도 아닌 배민, 요기요를 굳이 언급한 목적에 대해, 정확히 100% 내가 기대한 액션을 보여주었다.

PR팀은 이렇게 움직이는거고, 리스크/크라이시스 매니지먼트는 이렇게 하는거다. 기자들 명함 들고 미디어 릴레이션스나 한다고 PR이 아닌거다.

내용이 길기도 하고, 꼭 단독 컨텐츠로 소개하고 싶어 별개의 링크를 남긴다.  

반드시 읽어봤으면 한다.

[Other Digital Marketing] - 배달주문 정보유출 글에 대한 배달의 민족의 피드백

--------------------------------------------------------------------------


--------------------- 8월 5일 17시 09분 업데이트----------------------

16시 10분에 요기요 홍보 담당자로부터 세부 사항에 대한 문의가 왔다. 

배달의 민족은 지인을 통해 빠르게 내부 전파가 되었다지만 요기요까지...

엄한 사람들 휴일에 귀찮게 만든 것 같아 송구하다. 

마치 배달의 민족만 뭔가를 하는 느낌을 전하는 것 같아, 관련 업체의 피드백이 전달되면 계속 업데이트 할 예정이다.

왠지 오늘 저녁은 배달앱으로 주문해야 할 것 같은 기분이다... 

--------------------------------------------------------------------------


--------------------- 8월 5일 23시 10분 업데이트----------------------

배달의 민족에서 아주 구체적인 향후 계획을 전달해주었고, 요기요 역시 담당자를 통해 연락을 주었다.

하루만에 블로그 방문자 수만 6만이니, 그보다 훨씬 많은 사람들이 이 내용을 접했으리라 생각한다. 어떤 루트로건 가맹점들과 이 서비스의 제공 업체에 전달될 것이다.

드물지만, 너무 구체적인 방법을 공개한 것 아닌가 하는 우려를 접했다. 모르는 바 아니고, 나름의 안전장치를 위해 적어도 이 서비스를 이용해보지 않은 사람들이 알 수 있는 정보는 모두 지웠다. 하지만 동일 서비스로부터 문자를 받은 사람들은 바로 자신의 서비스라는 것을 알 것이고, 누군가는 직접 시도해봤을 수도 있다. 

생각하지 못한 바 아니다. 그렇기 때문에 ㅍㅍㅅㅅ를 동원했고, 배달의 민족과 요기요까지 끌어들였으며, 최대한 자극적인 제목과 머리글을 만들었다. 가장 이른 시간에 가장 많은 사람에게 도달하는 것이 가장 빠른 조치에 도움이 될 것이라고 생각했기 때문이다. (이제와 생각하니 배달통은 언급도 안했네... 그 점이 미안...)

구체적으로 가능한 범죄의 방법을 기재한 것 역시 유사한 이유이다. 한낱 개인인 내가 뭔가를 해 봤자 당장 무엇이 바뀔까. 손가락 한번 튕겨서 해결되는 조치가 아닌데. 이게 얼마나 큰 문제가 될 수 있는지, 위협적이고 선정적인 컨텐츠를 전달하는 것이 모두의 행동을 이끌어낼 가장 효율적인 방법이라고 생각했다. 시작글에서 빈 집이 아니라 혼자 사는 젊은 여성을 예로 든 것 역시 같은 이유다. 이 세상에서 내가 제일 똑똑하다면 굳이 그럴 필요가 없었겠지만, "내가 생각한 건 꼭 다른 누군가 이미 했더라고"라는 경험은 누구나 있다. 이 건도 마찬가지일 것이다. 효율을 위해 옳음과 바람직함을 어느 정도 희생했다.

이 정도면 내가 원하는 결과가 만들어진다고 믿어도 되겠다. 따라서 원문에 있었던 구체적인 방법들은, 적어도 내 블로그에서는 삭제한다. 

기술적 개선을 위해 구체적인 정보가 필요한 관계자는 명함 또는 사원증 인증과 함께 Brandon.Lee@balc.co.kr로 메일을 주기 바란다. 


적극적으로 이 글을 공유한 많은 익명의 사용자들과 배달의 민족, 요기요 담당자에게 감사한다. 특히 배달의 민족은 값비싼 금요일 밤을 희생하면서까지(내부인의 말로는 각 부문 이사급들까지 이 건을 파악하고 해결하기 위해 달려들었다 한다) 최고와 최선을 말해줬으며, 업계 선도자의 품격이 무엇인지를 제대로 보여줬다. 오늘 몇몇 매체의 기자에게서 연락이 왔었는데, 사실 내가 보안이나 개발 출신이 아니라서 이 글 이상의 답변을 할 수가 없어 모두 답변을 씹었다. 굳이 기사를 쓴다면 배민의 대처를 다뤄줬으면 한다. 


회사 홍보하려고 이 글 썼다고 했던 너는 빼고. 너한테는 감사 안해 새꺄. 




--------------------- 8월 9일 10시 10분 업데이트----------------------


해당 업체에서도 연락이 왔다. 다행히 빠른 조치가 이루어졌고, 상세한 내용을 공유해주었다.


[Other Digital Marketing] - 배달주문 개인정보 관련 해당 업체의 조치



[발단]

함께 일하는 동료가 지난 주말에 배달 앱을 통해 치킨을 주문했다. 주문 후 접수 및 주문 내역, 그리고 배달 안내가 문자로 전달된다.

다양한 형태가 있지만, 동료가 받은 문자 형태는 아래와 같다.



가장 하단의 블러처리된 곳에는 URL이 있으며, 클릭하면 해당 사이트를 방문하여 주문 내역을 확인할 수 있다.



(원문에서 다른 주문자의 정보 확인 방법을 기재하였으나 삭제한다. 매우매우 단순한 방법으로 다른 사람의 주문 확인이 가능하다.)




다른 사람의 주문 내역까지 확인 가능하다. 사용한 주문 앱이 표기되는 경우도 있다. 


[전개]

호랑이 밑에서 개새끼 안 나온다. 직원의 잉여력이 저런 정도라는 것은, 사장의 잉여력은 동급 혹은 그 이상이라는 얘기다. 

얘기를 전달받은 사장새끼(나)는, 한발 더 나간다.


(원문에서 전화번호 확인 방법을 기재하였으나 삭제한다. 매우매우 단순한 방법으로 전화번호 확인이 가능하다.)


[완성]

이게 어떻게 문제가 될 수 있는지, 구체적으로 알려주겠다.

몇번의(사실은 몇십번의) 검색을 통해 금요일 늦은 시간에 1인분만 주문한 내역을 몇개 찾았다.

해당 시간대는, 다인가구라면 적어도 한명 이상의 가족이 집에 있을 시간이다. 즉, 해당 시간대에 1인분 주문은 1인가구 가능성이 높다는 것을 의미한다. 일요일 밤 역시 마찬가지겠지. 



1인분만 주문했다고 1인 가구라고 보기는 어렵다. 보다 정확한 배경정보를 위해 입력된 주소로 지도검색을 해보았다. 



선릉공원 건너편의 블럭으로, 원룸 및 빌라가 집중된 구역이다. 1인 가구의 가능성이 단독주택지역이나 아파트 단지보다는 높다고 볼 수 있다.

지도에 표기할 수는 없지만, 위의 주소로 정확하게 건물을 찾아낼 수 있다. 



다른 주문 사례지만, 주소 뒤에 #이 들어간 숫자를 포함하는 경우도 있다. 호수를 의미하는 것이 아니라 건물 출입문 번호로 짐작된다. 



주문자에 따르면, 본인은 건물 입구 출입번호를 기재한 적이 없다 한다.

그런데 배달주소란에는 "사람 열쇠 15** 종"이라는 출입번호가 적혀 있다. 사람모양, 열쇠모양, 종모양 버튼을 의미한다. 

만일 주문자의 기억이 맞다면(주문시 기재한 것이 없다면), 건물별 출입번호가 저 업체에 저장되어 있고, 해당 주소에서 주문시 자동으로 붙는다는 얘기다.

배달자의 편의를 위해 이렇게 공유한다고 해도 문제가 될텐데, 고객 대상의 문자에 아주 당연한 듯이 붙어 있다.

당연히, 내부 직원도 못 보도록 그 출입번호가 보안화되어있다고 생각하지 않는다. 

도대체 몇개나 되는 건물의 출입번호가 저 회사의 서버에 저장되어 있을까? 몇명이나 아무 제한 없이 그 정보들을 볼 수 있을까?

직원이 고객의 정보를 이용하여 범죄를 저지른 사례가, 한민족 반만년 역사에 단 한번도 없었나? 


(원문에서 개인 신상 확인 방법을 기재하였으나 삭제한다. 매우매우 단순한 방법으로 신상 확인이 가능하다.)


[결말]

굳이 이렇게까지, 내가 상상할 수 있는 범죄의 방법론을 친절하게 알려줄 필요는 없었을 수도 있다. 그러나, 이 일이 얼마나 말이 안되는 일이며, 얼마나 위험한 일에 사용될 수 있는지를 전달하기 위해서는 범죄에 현실적으로 사용될 수 있다는 점을 보여줘야만 한다고 생각했다.


배민, 요기요 뿐 아니라 여러 주문 경로가 다 다뤄지고, 치킨, 피자, 기타 업종도 모두 포함된다. 같은 프랜차이즈도 모두 이 서비스를 이용하지는 않는 것으로 보아, 아마도 개별 가맹점 단위로 계약되는 서비스가 아닐까 싶다. 지금 여기에서 그 서비스 URL을 공개한다면 바로 찾아지겠으나, 혹시 모르는 부작용 때문에 공개하지 않는다. 하지만 눈썰미가 있는 사람이라면 혹은 업계의 사람이라면 알아챌 것이다. 

인이 이 일에 대해 확인과 조치가 가능한 업무에 종사하고 있다면 반드시 빠른 시간 내에 뭔가를 해주기 바란다. 또한 주변에 주문배달서비스(배달의 민족, 요기요 등)에 근무하는 사람이 있다면 이 글을 전달해주기 바란다. 비록 그들의 서비스는 아니지만 배민과 요기요의 주문내역도 이 서비스에서 다루고 있으니, 어쩌면 대상과 방법을 알 수도 있다. 

필요하다면 서울 소재의 마케팅 퍼포먼스 컨설팅펌 B&A 컨설팅과 시드니 소재의 크리에이티브 에이전시 Lash Creative가 함께 만들고 SEO부터 SEM, Performance Display 등 미디어/마케팅 활동 뿐만 아니라 웹사이트 제작, 모션그래픽, 기타 글로벌 레벨의 크리에이티브 역량을 갖춘 BALC의 통합 대표이사인 이환선 대표님(brandon.lee@balc.co.kr)께 문의하기 바란다(아 이참에 회사 홍보 좀). 

본인이 관련업계에 근무하고 있다는 사실만 인증(명함, 사원증 등)한다면, 해당 사이트가 어느 사이트인지 구체적으로 확인해주겠다. 


수년 전 서울시내 어느 구의 보건소 웹사이트는 어이없는 문제를 갖고 있었다. 웹사이트 내에서 민원내역을 조회하기 위해서는 개인 인증을 거쳐야 하고, 해당 민원의 작성자와 관리자만 그 게시물을 다시 볼 수 있었다. 그런데 구글에서 검색하여 검색결과화면에서 직접 들어가면 해당 게시물로 바로 갈 수가 있었다. 민원인의 실명과 전화번호가 모두 기재되어 있어, 누가 우리 식당과 병원에 대해 무슨 내용으로 민원을 넣었는지 확인이 가능했던 것이다. 다행히 현재는 개선되었지만, 주민등록번호를 포함하여 이러한 정보노출의 문제는 아직도 수많은 사이트에서 여전하다.


내가 전혀 모르는 누군가 나의 모든 것을 알고 있다면 그건 귀신이나 강도와는 다른 종류의 공포라 할 수 있다. 내 정보를 제공하는 댓가로 보다 편리한 서비스를 이용하는 현대의 사회에서 정보의 보안이란 개인의 안위와 직결되는 문제이다. 너무 오버한다고? 이번 역삼동 왁싱샵 살인사건을 봐라. 단순히 이름을 제외하고, 피해자는 어떠한 정보도 능동적으로 제공하지 않았다.


마지막으로 사이트 이따위로 만든 너, 혹은 너희들.

너희는 사용자의 정보를 소중히 하지 않았다. 

지금부터 게임을 시작하지.

나는 아무것도 하지 않을 것이다. 

그러나 전국의 수많은 요기요들과 배민들과 처갓집들과 치킨공주들이 너희를 찾아낼 것이다.



행여나 내게 직접 연락해서 글을 내려달라던가, 나 때문에 피해를 봤다던가 하며 투덜댈거라면 일단 네이버와 구글에서 "잡지사 페이스북"을 검색해보고 와라. 제일 위에 뭐가 떠 있는지.

지금은 최대한 노출되지 않도록 했지만, 회사명으로 검색할 때 제일 위에 내 글이 뜨게 만들어줄 수 있다. 


===============


중간에 연락처 공개하면서 장난삼아 회사 이름 한번 넣었다고 "회사 홍보에 수단을 가리지 않는다"는 어그로꾼의 댓글이 있었다.

홍보에 혈안이 되어 있으면 홈페이지부터 만들었겠지 인간아 쯧쯧.

기왕 욕먹은거 대놓고 회사 홍보해야겠다. 


미안한데, 바빠서 신규 프로젝트는 못 받을 것 같다.

저작자 표시 비영리 동일 조건 변경 허락
신고
  1. BlogIcon 장 폴 사르트르 2017.08.06 15:35 신고

    크.. 블로거님 덕에 자칫하면 위험한 일이 발생할 수도 있는 것을 예방했네요 감사합니다 : )

+ Recent posts