By JACKLIN KWAN, WIRED UK

많은 사람이 자신도 알지 못하는 사이에 인터넷에서 개인 정보를 검색해, 공개하고는 자신의 민감 정보를 유출한다. 이 과정에는 사용자가 웹에서 수집한 정보를 전송하는 인기 스크린샷 앱이 사용된다. 앱으로 캡처한 스크린샷 수십 장의 URL은 온라인에서 쉽게 찾아볼 수 있으며, 정보를 데이터 수집가와 범죄 집단에게도 공개된 채로 남아있다.

소프트웨어 개발 기업 스킬브레인스(Skillbrains)가 소유한 라이트샷(Lightshot)이라는 스크린 캡처 앱은 수백만 명이 컴퓨터와 휴대전화로 이미지를 캡처하고, 이를 공유하기 위해 사용하는 앱이다. 스크린샷을 캡처한 뒤, 사용자는 종종 이미지를 공개적으로 접근할 수 있는 URL과 함께 기업 서버에 업로드할 수 있다. 혹은 데스크톱에 저장하거나 SNS에 직접 공유할 수 있다.

URL과 함께 기업 서버에 업로드할 때, 사용자가 스크린샷을 친구나 가족, 동료와 SNS 플랫폼 전반에 걸쳐 공유할 수 있다. 스킬브레인스의 서버를 살펴보았을 때, 지금까지 라이트샷으로 20억 개가 넘는 스크린샷이 업로드된 것을 알 수 있따. 그러나 URL 생성 방식에서 주요한 개인 정보 보호 문제가 발생한다.

스크린샷의 URL 모두 ‘prnt.sc/(라이트샷 서버)’라는 간단한 포맷과 6자리 영문과 숫자 코드를 따른다. 즉, 누구나 ‘prnt.sc/’을 입력한 다음 임의로 6자리 숫자와 영문 코드를 입력하면, 다른 사용자가 업로드한 스크린샷을 찾을 수 있다는 의미이다. 사실, 몇 년간 많은 사용자의 스크린샷이 공개됐다.

가장 초기의 안정적인 라이트샷 앱은 2014년에 출시됐다. 그 후, 라이트샷은 여러 브라우저와 운영체제에서 사용할 수 있도록 확대 지원되었다. 현재, 맥 버전과 윈도 버전 앱, 그리고 크롬과 파이어폭스 버전 확장 프로그램이 있다. 라이트샷 크롬 확장 프로그램과 파이어폭스 확장 프로그램 다운로드 횟수는 각각 100만 회와 4만 회의다. 안드로이드의 경우, 구글 플레이 스토어 누적 다운로드 횟수가 50만 회 이상이다.
 
와이어드는 임의로 생성한 라이트샷 URL 1만 1,000개와 개인의 민감 정보를 발견한 결과를 자세히 살펴보았다. URL 대부분이 유해하지 않은 것으로 발견됐다. 혹은 삭제됐거나 더는 존재하지 않는 스크린샷이라는 오류 메시지가 표시되는 때도 많았다. 그러나 다수 URL과 스크린샷에 이름과 주소, 연락처, 은행 상세 정보, 심지어 개인적인 영상 통화 내용까지 담긴 콘텐츠가 포함된 사실을 확인했다.

자동 웹 수집 스크립트가 생성된 1만 1,000개의 URLL에서 529개의 라이브 이미지가 발견됐다. 그중 63%는 비디오 게임 화면과 코딩 지시, 아파트 목록 등으로 이루어졌다. 지금까지는 크게 놀라운 부분이 없다.

분석된 이미지 중, 약 20%에는 누군가의 신원을 탈취하거나 온라인 계정에 침입할 수 있는 정보가 포함됐다. 많은 사용자가 정체를 확인할 수 있는 사용자 이름을 이용해 채팅 기록과 이메일, SNS 게시글 등을 공유했다.

분석 결과, 스크린샷 8%는 앞서 발견된 것보다 더 민감한 개인 정보를 포함하고 있는 것으로 확인됐다. 영상 통화에서 캡처한 나체 사진 6장과 사용자 개인 페이스북 사진(아동 페이스북 프로필에서 발견된 사진 포함) 6장, 이름과 로그인 상세 정보, 은행 계좌 정보, 연락처, IP 주소, 택배 배송 주소, 우편 번호 등이 담겨 있는 사진 30장 등이 포함됐다.

셰필드대학교 첨단시스템 보안 그룹의 보조 연구원인 바갸 위마라시리(Bhagya Wimalasiri) 박사는 “라이트샷 앱과 같은 방식으로 민감한 사용자 데이터에 누구나 접근할 수 있도록 만든다면, 사용자 개인 정보를 대가로 디지털 플랫폼 이익을 얻는 불공정한 불균형 문제를 초래한다”라고 말했다. 이어, 그는 플랫폼이 데이터 채굴 혹은 편리한 사용자 기능을 생성해 불안정한 보안 기능을 이용해 수익을 창출하는 모델을 기반으로 구축됐다고 전했다.

스킬브레인스는 개인 정보 보호와 관련된 여러 질문에 답변하지 않았다. 그러나 사용 약관은 업로드 이미지가 비공개 처리가 되지 않는다는 사실을 강조한다. 사용 약관에는 “모든 이미지는 향상 정확한 URL을 입력한 사용자라면, 누구나 접근하고 볼 수 있다. 이 웹사이트에 업로드되는 이미지 중, 공개적으로 볼 수 없도록 비공개처리되는 이미지는 없다. 또, 이 웹사이트의 기능은 플랫폼을 보호하도록 구축되지 않았다. 이미지를 공유하도록 구축됐다”라고 명시되어 있다.

라이트샷을 통해 업로드된 매우 민감한 정보를 찾을 수 있다는 사실은 공공연한 비밀이다. 라이트샷에서 웹 스크래핑은 보편적인 행위이며, 많은 사용자가 자신이 스크래핑한 스크립트를 깃허브(Github)에 업로드한다. 어느 한 사용자는 라이트샷 이미지 1만 3,000개를 데이터 과학 웹사이트인 캐글(Kaggle)에 업로드했다. 또, 다른 여러 툴은 스크린샷을 분석하고 각각의 이미지에 있는 물체나 인물을 감지한다고 주장한다.

라이트샷의 사용 약관에는 사용자가 완성된 콘텐츠나 ‘폭력’ 및 법적 권한 위반 사항이 성립되는 파일을 업로드할 수 없다고 명시됐다. 그러나 사용자의 개인 정보 유출과 관련, 스크린샷에 공개된 정보를 수집할 빠른 방법을 찾는 사용자에게 경고하는 내용은 많지 않다. 라이트샷 툴이나 홈페이지의 사용자 인터페이스 모두 업로드된 사진이 기본적으로 누구에게나 공개된다는 사실이 명시되지 않았다.

사용자가 의도치 않게 스스로 개인 정보를 공개해, 종종 각종 공격에 노출된다. 사이버 범죄자가 정확한 데이터로 사용자의 신원 정보를 탈취할 수 있고, 은행 계좌에서 현금을 인출할 수도 있다. 혹은 피싱 공격 대상으로 삼을 수 있다.

사용자와 기업 모두 개인 정보가 유출되지 않도록 막아야 할 책임이 있다. 사용자는 가시적으로 드러나지 않았더라도 편리함과 개인 정보 보호 사이에 하나를 포기해야 한다는 문제를 인지해야 한다. 또, 웹에 정보를 공개할 때는 더 신중하고, 스스로 공개할 정보를 검토하는 태도를 지녀야 한다. 앱 개발 측면에서는 URL 생성을 덜 공식화한다면, 스크래핑을 더 어렵게 만들 수 있다. 자세한 사항은 우익 세력이 활개 친 SNS 플랫폼 팔러(Parler)를 참고해라.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
This hugely popular screenshot app is a privacy nightmare