SNS 와 프라이버시한국전자통신연구원지식정보보안연구부

최대선

SNS 현황 SNS Privacy ? SNS 개인정보 노출 개인정보 노출 영향 SNS 제공자가 제공하는 방안 사람들의 생각 기술적 방안 앞으로

내용

SNS 현황

LinkedIN 상장 회원 1 억 명 시가 총액 89 억 달러

페이스북 750 억 달러 추정 트위터 100 억 달러 추정 삼성전자 872 억 달러

SNS 현황 - Money

국내 트위터 350 만 명 미투데이 570 만 명 페이스북 400 만 명

SNS 현황 - 이용자

SNS PRIVACY?

“Our Services are primarily designed to help you share information with the world. Most of the information you provide to us is information you are asking us to make public.”

우리의 서비스는 기본적으로 당신이 정보를 세상과 공유하도록 돕는 것이다 .당신은 우리에게 정보를 공개하라고 준 것이다 . 

Twitter Service Description

.. Such information may, for example, be accessed by everyone on the Internet(including people not logged into Facebook), be indexed by third party search engines, and be imported, exported, distributed, and redistributedby us and others without privacy limita-tions.

Facebook Privacy Policy

SNS 개인정보 노출

대부분의 이용자가 사진 휴대전화 출신학교

위치기반 애플리케이션 I’m in, 골드 인시티 등 현재 내가 있는 곳 , 방문 했던 장소 노출

프라이버시 노출

트위터 사용자 200 명의 개인정보 노출 정도

< 출처 : KISA>

한국의 프라이버시 노출 정도

< 출처 : On the leakage of personally identifiable information via online social networks

By Balachander et.al. In SIGCOMM CCR’10>

외국 경우 1

BedoDiggFacebookFriendsterHi5ImeemLiverjournalMySpaceOrkutTwitterXangaLinkedIn

3rd party App or Ads 서버 User cookies PII 유출

비공개 설정된 개인정보의 유출

SNS id 유출

Leakage via External Apps

Leakage of Piece of PII

Google Buzz Email 인맥 노출

카카오톡 / LGU+ 와글 전화번호부 인맥 노출

다른 Context 정보 노출

개인정보 노출 영향

어느 과거와 현재

채용 당사자의 SNS 기록 조회

신상털기

고용주가 과거의 기록 조회

범죄 대상을 찾기

Contact 획득

사회 공학적으로 이용 : Spearphishing

Real Crime

한쪽 SNS 에서 사용하는 프로파일을 복제해서 다른 SNS 에서 친구 맺기 실험 (D1~5) 가공의 계정 (F1~5) 으로 친구 맺기 시도한

성공률과 비교

< 출처 : All your contacts are belong to us: automated identity theft at-tacks on social networks By LeyLa Bilge et.al In Proceedings of WWW

2009>

Profile Cloning 실험

F5 는 왜 높지 ?

Profile Cloning 결과

관계를 맺은 뒤의 신뢰성 메시지에 포함된 url 클릭 빈도

Trust

보통의 password reset 질문 초등학교 명 선생님 이름 감명 깊은 책 가본 곳 중 좋은 곳

Privacy 로 인해 생기는 Security 문제

사회공학적 접근  A 모임에 관한 내용을 SNS 에 올려 놓았을 때

'A 모임에서 찍은 사진 몇 장 첨부합니다 ' 라는 내용의 메시지와 함께 악성코드가 포함된 URL 을 전달하는 방식이다

이용자는 본인과 관련한 구체적인 내용이 들어 있기 때문에 지인으로 오해하고 악성코드 URL 에 접근하게 되는 것이다 .

악성코드로 연결된 단축 url 을 12% 만 클릭 안 함

< 출처 : 시만텍 >

SNS 를 통한 악성코드 유포

독일 Private profile 이 public 이라고 판결 Why? 쉽게 friend 를 맺을 수 있으므로

미국정부 인터넷에서 수집한 데이터와 기존의 정부 data-

base 를 연결

발언의 자유 - 정치적

SNS 공격 유형 Phishing : 단축 url Sybil attack : block& 신고 Identity theft Profile cloning

9% 는 malware, 피싱 , id 도용 , 욕설 등을 경험 (2009 년 )

<Consumer reports’ 2010 state of the net analysis>

문제점 정리

SNS 제공자가 제공하는 방안

Privacy Control 누가 뭘 볼 수 있는지 ? Facebook

User consent 정보 제공 시 동의 MySpace

기본 메커니즘

문제는 ..

Facebook 사용자의 25% Privacy control 을 이용하지 않거나 그런 게 있는지도 모름 그래서 default setting 이 중요한데 ..

<Consumer reports’ 2010 state of the net analysis>

Facebook 의 Default Privacy 설정 2005 년

Facebook 의 Default Privacy 설정 2006 년

Facebook 의 Default Privacy 설정 2007 년

Facebook 의 Default Privacy 설정 2009 년

Facebook 의 Default Privacy 설정 2010 년

SNS

사전동의 및 별도보상 없이 이용자 게시물

재사용

콘텐츠 재사용 시 문제발생

개인정보 공개범위

가입에 필요한 개인정보

트위터 가능 이용자 책임 관련조항 없음이름 , 닉네임 ,

비밀번호 , 이메일 주소

미투데이 불가능 재사용 안 함 사전동의 및 수사목적

미투데이 주소 , 닉네임 , 비밀번호 ,

이메일 주소

싸이월드 불가능 재사용 안 함 사전동의 및 수사목적

이름 , 주민등록번호 또는 아이핀 , 아이디 ,

비밀번호 , 이메일주소 , 주소 , 연락처

국내 SNS 프라이버시 현황

< 출처 : http://jameroid.tistory.com>

다른 user 가 올리는 나에 대한 정보는컨트롤할 수 없고

SNS 가 다른 사이트에서 끌어오는 정보도 마찬가지

Secondary use 를 컨트롤할 수 없음

또 다른 문제는 ..

무료인 SNS 는 어디서 돈을 벌까 ?

정보가 집중될 수록 권력의 불균형

SNS >> >> 사용자

진짜 문제는 ..

사람들의 생각

CMU 에서 300 명씩 조사한 바에 따르면 ..

각국의 SNS 프라이버시에 대한 사용자 의견

< 출처 : Intl’ Conf. on Trust and Trustworthy Computing>

SNS 프라이버시에 대한 3 국 사용자 의식

걱정이 많은 순 미국 > 중국 > 인도

SNS 제공자를 안 믿는 순서미국 > 중국 > 인도

친구에게 제공되는 정보를 컨트롤 하기 원하는 순서중국 > 인도 > 미국

미국 이용자는 제공자는 안 믿지만 친구는 믿는다

Fake name 을 사용하는 친구가 있는 빈도 중국 (45.7%), 인도 (39.3%), 미국 (18.5%)

=> 중국의 인터넷 통제

Anonym, pseudonym Privacy 를 위해서는 좋지만 , trust 관점에서는 좋지 않다 .

타겟 광고를 선호하는 순서 인도 > 중국 > 미국

1/3 이상이 SNS privacy setting 이 어렵다고 답함

SNS 프라이버시에 대한 3 국 사용자 의식 2

대중에게 공개할 의향이 있는 정보

1,082 명 중 45.9% 인 497 명이 SNS 사용< 출처 : whatjapanthink.com>

일본의 경우는 ...

정보 종류 공개 의사Gender 78.3%

Hobbies 60.8%

Place of birth 53.3%

Real name 36.8%

Kind of work 28.6%

Current residence 16.9%

Political allegiance 14.3%

Don’t know 2.6%

Don’t make anything public 9.9%

기술적 방안

앱패스 : 친구 수를 50 명으로 제한한 SNS

가이드 라인

비 기술적 방안

Privacy preference 는 커뮤니티 스트럭처와 밀접한 관련

<출처 : Lujun Fang et. al. in WWW’10>

기술적 방안 1 - Privacy Wizards

Privacy Wizards

Reclaimprivacy.org Facebook Privacy 체크

기술적 방안 2 - Privacy Scanner

앞으로는

SNS 의 Privacy Control 을 사용하는 사람 감출 것이 있는 사람 온라인 identity 의 모든 면을 관리하려는 사람

=> 누군가에게 말하고 , 통제 ( 한 두 명 한테 말하면 끝 .. 100 명 1000 명을 믿을 수 있나 ?)

Privacy Control 을 사용하지 않는 사람 인생의 모든 면을 공개하고 싶어함 입력 단계에서부터 제어 <= 가장 현명한 사람

사용자는 2 가지

ETRI Privacy Agent

웹사이트/SNS이용자 단말

웹사이트 개인정보보호안전도 평가 서비스

개인정보보호에이전트

개인정보필터링된

안전한 개인정보

침해위험분석/경고/필터링

프로파일링을통한

프라이버시침해

(신상털기)

공격자

개인정보부정사용탐지/통제

웹사이트개인정보안전도

평가안전도제공 안전도

진단

감사합니다