보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

나의 전화번호를 수집하는 PUP 프로그램 바로 알기

입력 : 2022-11-22 10:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
전화번호 수집 가능한 PUP 프로그램 통해 확인 가능...숫자와 문자 혼합해도 추출
카페, 블로그 등 사용시 번호 직접 노출 금지...번호 무단 수집 시 처벌 가능해


[보안뉴스 김영명 기자] 회원수 1,900만여명을 보유한 네이버 카페인 ‘중고나라’는 국내의 대표적인 중고물품을 직거래할 수 있는 카페다. 이곳에서는 카페 회원들이 다양한 종류의 중고물품을 사거나 판매할 수 있다. 이곳에서는 판매자가 자신이 팔고자 하는 물품의 정보와 함께 휴대폰 번호를 올리면, 사려고 하는 사람이 연락해 거래를 하게 된다. 그래서 이와 같은 중고거래 사이트에서는 개인정보인 전화번호가 노출되는 일이 많다.

▲OOO 중고나라 전화번호 추출 프로그램[이미지=안랩 ASEC 분석팀]


개인정보보호법(법률 제16930호)은 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 하는 법이다. 개인정보보호법에 정의된 개인정보란 ‘개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보’를 뜻한다. 전화번호는 대표적인 개인정보로 볼 수 있다.

안랩 ASEC 분석팀은 개인정보인 전화번호를 수집하는 PUP(Potentially Unwanted Program) 프로그램에 대해 소개했다. 아래는 ‘OOO 중고나라 전화번호 추출 프로그램’이라는 파일명을 갖는 PUP 프로그램이다.

▲중고나라 통합 운영정책 내용 중 일부(좌)와 판매글 예시(우)[이미지=안랩 ASEC 분석팀]


위 이미지의 왼쪽은 ‘중고나라 통합 운영정책(2021.10.20. 개정)’ 중 일부 내용이다. 이 글에 따르면 상품 판매를 위한 게시글 작성 시 연락처 정보 노출 동의를 하지 않은 경우 판매자 정보를 직접 입력하도록 한다.

오른쪽 이미지는 판매글의 예시로 판매자의 안심번호 혹은 진짜 전화번호 등 개인정보가 그대로 노출돼 있다. 구매자는 연락처 보기를 누르면 판매자의 연락처를 확인할 수 있다.

▲PUP 프로그램의 접속 기능[이미지=안랩 ASEC 분석팀]


다음 이미지는 개인정보인 전화번호를 수집하는 PUP 프로그램에서 홈페이지에서 게시글을 읽어오는 부분이다. 접속하는 주소는 모바일 접속 주소를 이용하며 UserAgent 값을 확인할 수 있다. 윈도우 10, x64 환경에서 크롬으로 접속하는 값을 사용한다.

접속해서 받아오는 페이지에 대해 result.saleInfo.phoneNo 값을 확인하며 해당 값이 ‘010-’으로 시작할 때 해당값과 ID를 저장하는 기능이 있다. 해당 값이 없을 때는 result.article.contentHtml 을 읽어온다. 정규식을 사용, 전화번호에 사용하는 숫자와 문자값을 검색해 아이디와 함께 저장한다.

▲PUP 프로그램의 전화번호 검색 기능[이미지=안랩 ASEC 분석팀]


카페의 글을 확인한 결과 전화번호를 본문에 그대로 노출한 경우도 있었고, 문자형태로 노출한 경우도 있었으며, ‘0 1 공 일 2 삼 4 5 육 7 팔’과 같이 숫자와 문자를 혼합한 형태도 존재했다. 전화번호를 수집하는 PUP 프로그램의 기능을 확인했을 때 모두 수집 가능할 것으로 보인다. 따라서 카페에 글을 작성할 때는 전화번호가 직접적으로 노출되지 않는 방법을 사용해야 한다.

안랩 ASEC 분석팀은 ”이와 같은 PUP 프로그램으로 개인정보를 무단으로 수집할 경우 처벌받을 수 있다“며 ”사용자도 인터넷 환경에서 개인정보를 작성해야 하는 경우 노출에 대해 주의해야 한다“고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)