스토커웨어 데이터베이스, EU 인플루언서 관련 파일 86,000개 노출

연구원, 공인을 표적으로 한 대규모 스토커웨어 데이터베이스 발견

사이버보안 연구원 제레마이아 파울러(Jeremiah Fowler)는 최근 스토커웨어를 통해 수집된 86,000개 이상의 이미지와 개인 채팅 기록이 담긴 비보호 데이터베이스를 발견했습니다. 해당 데이터는 암호화되지 않았고, 비밀번호로 보호되지도 않았으며, 위치를 아는 누구에게나 완전히 노출된 상태였습니다. 가장 우려스러운 점은 피해자들이 무작위로 선정된 것이 아니라는 사실입니다. 이 데이터베이스는 유럽의 유명 셀러브리티 한 명과 다수의 소셜 미디어 인플루언서를 구체적으로 표적으로 삼았으며, 이는 상용 스파이웨어의 사용이 의도적이고 집중적이었음을 시사합니다.

노출된 기록에는 왓츠앱(WhatsApp)과 인스타그램(Instagram)에서 직접 추출한 개인 통신 내용, 전화번호, 신분증 사진이 포함되어 있었습니다. 이는 보안이 취약한 서버에서 자격 증명이 유출되는 일반적인 데이터 침해 사고가 아닙니다. 이것은 실제 인물을 대상으로 한 서비스형 감시(surveillance-as-a-service)이며, 그들의 내밀한 생활 정보가 공개된 데이터베이스에 고스란히 담겨 있었습니다.

스토커웨어란 무엇이며 다른 위협과 어떻게 다른가

스토커웨어는 기기, 주로 스마트폰에 몰래 설치되어 제3자에게 개인 활동을 조용히 모니터링하고 전송하는 소프트웨어를 말합니다. 비밀번호를 노리는 피싱 공격이나 악성 코드와 달리, 스토커웨어는 기기 내부에서 작동합니다. 즉, 누군가가 당신의 기기에 물리적으로 접근해 당신도 모르게 소프트웨어를 설치한 이후부터 작동하는 것입니다.

이 차이점은 자신을 보호하는 방법에 있어 매우 중요한 의미를 가집니다. 스토커웨어는 사람들이 의존하는 대부분의 방어 수단을 우회합니다. 인터넷 트래픽을 가로챌 필요가 없습니다. 메시지가 암호화되어 전송되기 전에 읽어 들입니다. 기기에 로컬로 저장된 이미지를 캡처합니다. 연락처와 통화 기록을 수집합니다. 데이터가 휴대폰을 떠날 때쯤이면 이미 감시는 끝난 상태입니다.

상용 스파이웨어 제품은 광범위하게 유통되고 있으며, 종종 자녀 보호 모니터링이나 직원 추적 도구로 위장해 판매됩니다. 이러한 도구의 사용을 둘러싼 법적·윤리적 경계는 모호하여 규제가 어렵습니다. 그리고 이번 조사에서 드러났듯이, 이러한 도구를 운영하는 자들이 수집한 데이터를 항상 안전하게 보관하는 것도 아니어서, 자신이 감시받고 있다는 사실조차 모를 수 있는 피해자들에게 또 다른 층위의 노출 위험을 초래합니다.

VPN만으로는 스토커웨어로부터 보호받을 수 없는 이유

VPN은 인터넷 트래픽을 감시로부터 보호하는 강력한 도구로, 특히 공공 네트워크나 인터넷 서비스 제공업체의 감시를 차단하는 데 효과적입니다. VPN은 기기와 인터넷 사이의 연결을 암호화하여 외부 감시자로부터 활동을 숨깁니다. 그러나 VPN은 기기 내부에서 일어나는 일에 대해서는 아무런 가시성이 없습니다.

스토커웨어가 이미 휴대폰에 설치되어 있다면, VPN은 이를 막을 수 없습니다. 스파이웨어는 네트워크가 아닌 앱에서 직접 왓츠앱 메시지를 읽습니다. 인터넷 연결에 접근하지 않고도 사진 라이브러리에 접근합니다. VPN이 보호를 제공하는 계층보다 낮은, 기기 수준에서 작동합니다.

그렇다고 VPN이 무의미하다는 뜻은 아닙니다. VPN은 여전히 다층적 프라이버시 전략의 중요한 구성 요소입니다. 하지만 VPN은 여러 도구 중 하나일 뿐이며, 이를 완전한 해결책으로 여기면 이번 사례가 명확히 보여주듯 상당한 허점이 생깁니다.

이것이 당신에게 의미하는 것

이번 사례의 피해자들은 공인이었지만, 이 위협이 셀러브리티나 인플루언서에게만 해당되는 것은 아닙니다. 파트너, 가족, 고용주, 지인이 기기에 접근할 수 있는 누구라도 위험에 처할 수 있습니다. 수집된 데이터가 보안이 취약한 데이터베이스에 방치되었다는 사실은 원래 운영자 외에 다른 누구에게도 노출되었음을 의미하며, 피해를 더욱 가중시킵니다.

스토커웨어 및 상용 스파이웨어에 대한 노출을 줄이기 위해 취할 수 있는 구체적인 조치들을 소개합니다:

• 설치된 앱을 정기적으로 점검하세요. 직접 설치하지 않은 앱을 포함하여 휴대폰의 모든 앱을 주기적으로 검토하세요. 스토커웨어는 때때로 일반적인 이름으로 위장합니다. 낯선 앱은 삭제하세요.
• 기기 권한을 확인하세요. 안드로이드와 iOS 모두에서 어떤 앱이 카메라, 마이크, 위치, 메시지에 접근할 수 있는지 확인할 수 있습니다. 앱의 명시된 목적에 맞지 않는 권한은 취소하세요.
• 보안 스캐너를 사용하세요. 여러 모바일 보안 도구가 스토커웨어를 특별히 탐지합니다. 스토커웨어 대응 연합(Coalition Against Stalkerware)은 검증된 리소스 목록을 제공합니다.
• 이중 인증을 활성화하세요. 이것이 기기 수준의 스파이웨어를 막지는 못하지만, 누군가가 자격 증명을 수집하더라도 할 수 있는 것을 제한합니다.
• 기기에 대한 물리적 접근을 보안으로 통제하세요. 스토커웨어 설치에는 거의 항상 잠깐의 물리적 접근이 필요합니다. 강력한 PIN이나 생체 인식 잠금을 사용하고, 완전히 신뢰하지 않는 사람과 함께할 때 휴대폰을 자리를 비워 두지 마세요.
• 운영 체제를 최신 상태로 유지하세요. 업데이트는 스토커웨어 및 기타 악성 소프트웨어가 악용하는 취약점을 자주 패치합니다.
• 침해가 의심된다면 공장 초기화를 고려하세요. 이것은 극단적인 조치이지만, 스토커웨어가 존재한다고 믿을 만한 이유가 있고 이를 식별할 수 없다면, 완전 초기화가 가장 확실한 제거 방법입니다.

파울러의 조사는 프라이버시 위협이 온라인 계정을 노리는 해커뿐만 아니라 여러 방향에서 온다는 것을 상기시켜 줍니다. 자신을 보호하려면 네트워크 트래픽을 가로챌 수 있는 사람만이 아니라, 물리적 기기에 접근할 수 있는 사람에 대해서도 생각해야 합니다.

기기에 스토커웨어가 있는지 우려된다면, 오늘 바로 전체 앱 점검을 시작하세요. 자신을 보호할 도구는 이미 존재합니다. 핵심은 실제로 어떤 위협에 맞서 방어하고 있는지 아는 것입니다.