너는 나라는 사람을 본 적도 없고 이 세상에 존재하는지도 모르겠지만 말이야. 선릉공원 건너편, 건물 출입문 번호가 12*9#인 00빌라 40*에 사는 스물세 살 헤어디자이너 박*영. 지난주 토요일 저녁에 남친이랑 시켜먹은 치킨은 맛있었니? 언제 혼자 있을 때 010-48**-9**3으로 전화하고 찾아가 볼까? 가기 전에 P******@gmail.com으로 내 소개부터 보낼까? 네 사진도 모두 저장했고, 네가 좋아하는 장소도 다 알아놨어.
위의 박*영 양 이야기는 허구가 아니다. 각기 다른 사람의 정보를 조합했을 뿐, 내가 찾아낸 실제 존재하는 주소와 이름과 번호들이다. 시간 제약과 귀찮음만 벗어난다면 당장 내일에라도 사무실 1킬로 반경에 어떤 사람이 어느 집에 사는지 수십 명의 정보를 알아낼 수 있다.
지금부터 펼쳐질 이야기를 두고 많은 고민을 했다. 당장 이 내용을 범죄에 이용할 사람도 있을 것이고 누군가는 직장을 잃을 수도 있다. 그러나 반드시 개선되어야 하는 문제라 생각했다. 내가 할 수 있는 최선은 최대한 짧은 시간 내에 최대한 많은 사람이 이 글을 보게 만들고, 최대한 빨리 관련된 누군가가 조치를 취하게 만드는 것이다.
이를 위해 ㅍㅍㅅㅅ 이승환 수령과 협의했고, 이 글은 블로그에 게재됨과 동시에 ㅍㅍㅅㅅ 및 네트워크에 올려질 것이다. 이 글을 읽는 당신이 할 일은 좋아요가 아니라 이 글을 공유하여 보다 많은 당신의 지인들이 알게 하고, 또 그들을 통해 더 많은 사람에게 공유되도록 하는 것이다. 분명히 말한다. 누군가는 이 글에 나온 방법으로 범죄를 저지를 수 있다. 그리고 피해자는 당신, 혹은 당신의 지인이 될 수도 있다.
먼저 말해두는데 이 문제는 아래 캡처 이미지 속의 배달앱, 프랜차이드와 직접적 관련이 없다. 배달의 민족을 통해 처갓집에 주문한 내역이 있다고 해서 배민 또는 처갓집이 소비자의 정보를 함부로 여긴다고 생각해서는 안 된다는 것이다.
발단
함께 일하는 동료가 지난 주말에 배달 앱을 통해 치킨을 주문했다. 주문 후 접수 및 주문 내역, 그리고 배달 안내가 문자로 전달된다. 다양한 형태가 있지만 동료가 받은 문자 형태는 아래와 같다.
가장 하단의 블러 처리된 곳에는 URL이 있으며, 클릭하면 해당 사이트를 방문하여 주문 내역을 확인할 수 있다.
위 화면의 제일 아래에는 배달 주소가 있다. 배달해야 하니 당연하겠지. 보통 사람이라면 주문 내역만 확인하고 넘어갔겠지만 잉여력 쩌는 동료는 해당 페이지의 주소를 바꿔보았다. 주소의 뒤쪽은 각 주문 내역에 따라 숫자 파라미터로 구성되었는데 그 숫자를 바꿔본 것이다. 그리고 그 결과는?
다른 사람의 주문 내역까지 확인 가능하다. 사용한 주문 앱이 표기되는 경우도 있다.
전개
호랑이 밑에서 개새끼 안 나온다. 직원의 잉여력이 저런 정도라는 것은 사장의 잉여력은 동급 혹은 그 이상이라는 얘기다. 얘기를 전달받은 사장새끼(나)는 한 발 더 나간다. 주문 페이지의 소스를 까보자.
블러처리된, 010으로 시작하는 11자리의 숫자가 무엇이라고 생각하는가? 맞다. 전화번호다. 주소와 전화번호까지 입수했다.
완성
이게 어떻게 문제가 될 수 있는지 구체적으로 알려주겠다. 몇 번(사실은 몇십 번)의 검색을 통해 금요일 늦은 시간에 1인분만 주문한 내역을 몇 개 찾았다. 해당 시간대는 다인 가구라면 적어도 한 명 이상의 가족이 집에 있을 시간이다. 즉 해당 시간대의 1인분 주문은 1인 가구일 가능성이 높다는 것을 의미한다.
1인분만 주문했다고 1인 가구라고 보기는 어렵다. 정확한 배경 정보를 위해 입력된 주소로 지도 검색을 해보았다.
선릉공원 건너편의 블록으로 원룸 및 빌라가 집중된 구역이다. 1인 가구의 가능성이 단독주택지역이나 아파트 단지보다는 높다. 지도에 표기할 수는 없지만 위의 주소로 정확하게 건물을 찾아낼 수 있다.
다른 주문 사례지만 주소 뒤에 #이 들어간 숫자를 포함하는 경우도 있다. 호수를 의미하는 것이 아니라 건물 출입문 번호로 짐작된다.
자, 이제 마지막 단계다. 주문자가 누군지 찾아내는 것. 전화번호를 알고 있다면 다양한 방법이 가능하다. 페이스북에서 전화번호로 검색하면 등록 및 공개된 프로필에 한해 조회 가능하다.
페이스북을 통해 이름, 직장 또는 학교, 나이, 성별, 그리고 다양한 일상 정보를 확인 가능하다. 실제로 어느 주문자는 오늘부터 휴가를 떠났다는 내용까지 찾을 수 있었다. 즉 빈 집이라는 얘기다.
페이스북에서 못 찾았다면? 카카오톡과 라인은 번호 기반으로 등록하는 서비스다. 페이스북보다 높은 가능성으로, 최소한 사진 조회가 가능하다. 아래는 실제로 내가 시험 삼아 번호를 저장한 어느 실제 주문자이다.
컴돌이라면 이 모든 과정이 더욱 효율적이다. 기본 URL에 뒤쪽 숫자를 난수로 뽑고, 해당 URL들로 검색 및 전화번호 필드 영역 추출을 자동화하는 스크립트를 만들면 된다. 이렇게 저장된 번호를 대량등록 템플릿으로 휴대폰에 밀어 넣어 한 번에 많은 사람을 카톡 및 라인 친구로 등록해 스캔할 수 있다. 주소 역시 마찬가지겠지. 지도 API를 돈 주고 살 필요는 없으니까.
결말
굳이 이렇게까지, 내가 상상할 수 있는 범죄의 방법론을 친절하게 알려줄 필요는 없었을 수도 있다. 그러나 이 일이 얼마나 말이 안 되는 일이며 얼마나 위험한 일에 사용될 수 있는지를 전달하기 위해서는 범죄에 현실적으로 사용될 수 있다는 점을 보여줘야만 한다고 생각했다.
배민, 요기요뿐 아니라 여러 주문 경로가 다 다뤄지며 치킨, 피자, 기타 업종도 모두 포함된다. 같은 프랜차이즈도 모두 이 서비스를 이용하지는 않는 것으로 보아 아마 개별 가맹점 단위로 계약되는 서비스가 아닐까 싶다. 지금 여기에서 그 서비스 URL을 공개한다면 바로 찾아지겠으나 혹시 모를 부작용 때문에 공개하지 않는다. 하지만 눈썰미 있는 사람이라면, 혹은 업계 사람이라면 알아챌 것이다.
본인이 이 일에 관해 확인 및 조치가 가능한 업무에 종사한다면 반드시 빠른 시간 내에 뭔가 해주기 바란다. 또한 주변에 주문 배달 서비스(배달의 민족, 요기요 등)에 근무하는 사람이 있다면 이 글을 전달해주기 바란다. 비록 그들의 서비스는 아니지만 배민과 요기요의 주문 내역도 이 서비스에서 다루고 있으니 어쩌면 대상과 방법을 알 수도 있다.
필요하다면 서울 소재의 마케팅 퍼포먼스 컨설팅펌 B&A 컨설팅과 시드니 소재의 크리에이티브 에이전시 Lash Creative가 함께 만들고 SEO부터 SEM, Performance Display 등 미디어/마케팅 활동뿐 아니라 웹사이트 제작, 모션그래픽, 기타 글로벌 레벨의 크리에이티브 역량을 갖춘 BALC의 통합 대표이사 이환선([email protected])에게 문의하기 바란다. 본인이 관련 업계에 근무하고 있다는 사실만 인증(명함, 사원증 등)한다면 해당 사이트가 어느 사이트인지 구체적으로 확인해주겠다.
수년 전 서울 시내 어느 구의 보건소 웹사이트는 어이없는 문제가 있었다. 웹사이트 내에서 민원 내역을 조회하기 위해서는 개인 인증을 거쳐야 하고 해당 민원의 작성자와 관리자만 그 게시물을 다시 볼 수 있었다. 그런데 구글에서 검색해 검색 결과 화면에서 직접 들어가면 해당 게시물로 바로 갈 수 있었다. 글에는 민원인의 실명과 전화번호가 모두 기재되어 있다. 우리 식당과 병원에 누가 무슨 내용으로 민원을 넣었는지 확인 가능했던 것이다. 다행히 현재는 개선되었지만 주민등록번호를 포함해 이런 정보 노출의 문제는 아직도 수많은 사이트에서 여전하다.
내가 전혀 모르는 누군가 나의 모든 것을 알고 있다면 그건 귀신이나 강도와는 다른 종류의 공포라 할 수 있다. 내 정보를 제공하는 댓가로 보다 편리한 서비스를 이용하는 현대의 사회에서 정보의 보안이란 개인의 안위와 직결되는 문제이다. 너무 오버한다고? 이번 역삼동 왁싱숍 살인 사건을 보라. 단순히 일하는 숍의 상호를 제외하고 피해자는 어떠한 정보도 능동적으로 제공하지 않았다.
마지막으로 사이트 이따위로 만든 너, 혹은 너희들. 너희는 사용자의 정보를 소중히 하지 않았다. 지금부터 게임을 시작하지.
행여나 내게 연락해서 글을 내려달라든가, 나 때문에 피해를 봤다든가 투덜댈 거라면 일단 네이버와 구글에서 “잡지사 페이스북”을 검색해보고 와라. 제일 위에 뭐가 떠 있는지. 지금은 최대한 노출되지 않도록 했지만, 회사명으로 검색할 때 제일 위에 내 글이 뜨게 만들어줄 수 있다.
추가 제보
주문자에 따르면 본인은 건물 입구 출입번호를 기재한 적이 없다 한다. 그런데 배달 주소란에는 “사람 열쇠 15** 종”이라는 출입번호가 적혀 있다. 주문자의 기억이 맞다면 건물에 따라 출입번호가 저장되어 자동으로 붙는다는 얘기다. 배달자의 편의를 위해 공유한다고 해도 문제가 될 텐데 고객 대상 문자에 아주 당연한 듯이 붙어 있다.