난 단지 치킨을 주문했을 뿐인데 범죄의 대상이 될 수 있다니
위의 박*영 양 이야기는 허구가 아니다. 각기 다른 사람의 정보를 조합했을 뿐, 내가 찾아낸 실제 존재하는 주소와 이름과 번호들이다. 시간 제약과 귀찮음만 벗어난다면 당장 내일에라도 사무실 1킬로 반경에 어떤 사람이 어느 집에 사는지 수십 명의 정보를 알아낼 수 있다.
지금부터 펼쳐질 이야기를 두고 많은 고민을 했다. 당장 이 내용을 범죄에 이용할 사람도 있을 것이고 누군가는 직장을 잃을 수도 있다. 그러나 반드시 개선되어야 하는 문제라 생각했다. 내가 할 수 있는 최선은 최대한 짧은 시간 내에 최대한 많은 사람이 이 글을 보게 만들고, 최대한 빨리 관련된 누군가가 조치를 취하게 만드는 것이다.
이 글을 읽는 당신이 할 일은 좋아요가 아니라 이 글을 공유하여 보다 많은 당신의 지인들이 알게 하고, 또 그들을 통해 더 많은 사람에게 공유되도록 하는 것이다. 분명히 말한다. 누군가는 이 글에 나온 방법으로 범죄를 저지를 수 있다. 그리고 피해자는 당신, 혹은 당신의 지인이 될 수도 있다.
먼저 말해두는데 이 문제는 아래 캡처 이미지 속의 배달앱, 프랜차이드와 직접적 관련이 없다. 배달의 민족을 통해 처갓집에 주문한 내역이 있다고 해서 배민 또는 처갓집이 소비자의 정보를 함부로 여긴다고 생각해서는 안 된다는 것이다.
발단
함께 일하는 동료가 지난 주말에 배달 앱을 통해 치킨을 주문했다. 주문 후 접수 및 주문 내역, 그리고 배달 안내가 문자로 전달된다. 다양한 형태가 있지만 동료가 받은 문자 형태는 아래와 같다.
전개
호랑이 밑에서 개새끼 안 나온다. 직원의 잉여력이 저런 정도라는 것은 사장의 잉여력은 동급 혹은 그 이상이라는 얘기다. 얘기를 전달받은 사장새끼(나)는 한 발 더 나간다. 주문 페이지의 소스를 까보자.
완성
이게 어떻게 문제가 될 수 있는지 구체적으로 알려주겠다. 몇 번(사실은 몇십 번)의 검색을 통해 금요일 늦은 시간에 1인분만 주문한 내역을 몇 개 찾았다. 해당 시간대는 다인 가구라면 적어도 한 명 이상의 가족이 집에 있을 시간이다. 즉 해당 시간대의 1인분 주문은 1인 가구일 가능성이 높다는 것을 의미한다.
자, 이제 마지막 단계다. 주문자가 누군지 찾아내는 것. 전화번호를 알고 있다면 다양한 방법이 가능하다. 페이스북에서 전화번호로 검색하면 등록 및 공개된 프로필에 한해 조회 가능하다.
페이스북에서 못 찾았다면? 카카오톡과 라인은 번호 기반으로 등록하는 서비스다. 페이스북보다 높은 가능성으로, 최소한 사진 조회가 가능하다. 아래는 실제로 내가 시험 삼아 번호를 저장한 어느 실제 주문자다.
결말
굳이 이렇게까지, 내가 상상할 수 있는 범죄의 방법론을 친절하게 알려줄 필요는 없었을 수도 있다. 그러나 이 일이 얼마나 말이 안 되는 일이며 얼마나 위험한 일에 사용될 수 있는지를 전달하기 위해서는 범죄에 현실적으로 사용될 수 있다는 점을 보여줘야만 한다고 생각했다.
배민, 요기요뿐 아니라 여러 주문 경로가 다 다뤄지며 치킨, 피자, 기타 업종도 모두 포함된다. 같은 프랜차이즈도 모두 이 서비스를 이용하지는 않는 것으로 보아 아마 개별 가맹점 단위로 계약되는 서비스가 아닐까 싶다. 지금 여기에서 그 서비스 URL을 공개한다면 바로 찾아지겠으나 혹시 모를 부작용 때문에 공개하지 않는다. 하지만 눈썰미 있는 사람이라면, 혹은 업계 사람이라면 알아챌 것이다.
본인이 이 일에 관해 확인 및 조치가 가능한 업무에 종사한다면 반드시 빠른 시간 내에 뭔가 해주기 바란다. 또한 주변에 주문 배달 서비스(배달의 민족, 요기요 등)에 근무하는 사람이 있다면 이 글을 전달해주기 바란다. 비록 그들의 서비스는 아니지만 배민과 요기요의 주문 내역도 이 서비스에서 다루고 있으니 어쩌면 대상과 방법을 알 수도 있다.
필요하다면 이 글의 필자인 이환선 BALC 대표(brandon.lee@balc.co.kr)에게 문의하기 바란다. 본인이 관련 업계에 근무하고 있다는 사실만 인증(명함, 사원증 등)한다면 해당 사이트가 어느 사이트인지 구체적으로 확인해주겠다.
수년 전 서울 시내 어느 구의 보건소 웹사이트는 어이없는 문제가 있었다. 웹사이트 내에서 민원 내역을 조회하기 위해서는 개인 인증을 거쳐야 하고 해당 민원의 작성자와 관리자만 그 게시물을 다시 볼 수 있었다. 그런데 구글에서 검색해 검색 결과 화면에서 직접 들어가면 해당 게시물로 바로 갈 수 있었다.
글에는 민원인의 실명과 전화번호가 모두 기재되어 있다. 우리 식당과 병원에 누가 무슨 내용으로 민원을 넣었는지 확인 가능했던 것이다. 다행히 현재는 개선되었지만 주민등록번호를 포함해 이런 정보 노출의 문제는 아직도 수많은 사이트에서 여전하다.
내가 전혀 모르는 누군가 나의 모든 것을 알고 있다면 그건 귀신이나 강도와는 다른 종류의 공포라 할 수 있다. 내 정보를 제공하는 댓가로 보다 편리한 서비스를 이용하는 현대의 사회에서 정보의 보안이란 개인의 안위와 직결되는 문제이다.
너무 오버한다고? 이번 역삼동 왁싱숍 살인 사건을 보라. 단순히 일하는 숍의 상호를 제외하고 피해자는 어떠한 정보도 능동적으로 제공하지 않았다.
마지막으로 사이트 이따위로 만든 너, 혹은 너희들. 너희는 사용자의 정보를 소중히 하지 않았다. 지금부터 게임을 시작하지.
추가 제보
원문: Brandon’s Digital Marketing Workshop