여러 SNS 아이디·별명 다르게, 신뢰할 수 없는 단축 URL 클릭 금지 

[보안뉴스=이진규 NHN 개인정보보호팀장] 소셜 네트워크 서비스(Social Network Service) 역시 기본적으로 웹을 통해 제공되는 서비스이기 때문에 여타 인터넷 서비스와 특별히 차별화된 보안 시스템을 구축하고 있지는 않다.

개인정보 전송구간의 보안서버(SSL) 적용이라든지, 개인정보 암호화, 네트워크 보안을 위한 방화벽이나 IPS/IDS 설치 등은 SNS라고 해서 크게 다르진 않다. 대부분의 경우 SNS는 스마트폰 애플리케이션의 형태로도 제공되기 때문에 애플리케이션에 대해서는 별도의 모바일 보안 검수절차를 적용한다.

모바일 보안 검수는 스마트폰이나 태블릿 PC와 같은 환경에서 앱이 비정상적으로 실행되지는 않는지, 정보전송 과정에서의 스니핑은 발생하지 않는지, 불필요한 개인정보 내지 위치정보에 접근권한을 앱에 부여하고 있지는 않은지 등을 확인하게 된다.

이러한 기술적 보호조치와는 별도로 SNS는 프로필에 기반한 관계형성을 목적으로 제공되는 서비스이기 때문에 이용자와 지인의 관계의 정도(Level)에 따라 차등화된 정보공유가 될 수 있도록 정보공개 메뉴를 이용자에게 제공하고 있다.

이를 통해 이용자들은 자신의 정보가 얼마나, 누구에게 공유되고 전달될 수 있는지를 통제할 수 있는 것. 즉 ‘자기정보 통제권’의 제공을 통해 이용자의 개인정보 유통 범위를 설정할 수 있도록 함으로써 개인정보를 보호하는 체계를 갖추고 있는 것이다.

관리적으로는 이용자들의 개인정보가 다른 목적으로 대량 취합되어 유통되지 않도록 개인을 식별할 수 없는 형태의 프로필 구성을 권고하고 있으며, 개인정보를 이용자 스스로 보호할 수 있도록 다양한 ‘교육자료’도 서비스를 통해 배포하고 있다.

SNS에 대한 많은 연구에 따르면 다수의 이용자들이 최초 가입 당시에 기본으로 제공되는 개인정보 설정(Default Privacy Settings)을 변경하지 않고 있는 것으로 알려졌다. 유명 SNS의 경우 자기정보 통제권을 충분히 부여하고 있기 때문에 가입 후에 가장 먼저 해야 할 일이 바로 개인정보 설정에서 정보의 공개범위를 결정하는 것이다.

또한, 여러 서비스 제공자의 SNS를 이용하는 경우라면 각 계정이 서로 연결되지 않도록 각각 다른 ID와 별명을 이용하는 것이 좋다. 계정관리의 편의성을 위해 API를 이용하여 여러 SNS를 연결해 이용하는 경우에는 공개 포스팅을 통해 개인정보가 노출되지 않도록 각별히 주의해야 한다.

분리된 계정의 경우, 이를 연결해 개인을 특정하기 곤란하지만 1개의 계정이 여러 SNS와 연결된 경우의 개인정보 유출은 큰 파급력을 가지고 있기 때문이다.

또한, 신뢰할 수 없는 이용자의 포스팅이나 DM(Direct Message)에 포함되어 있는 단축 URL은 절대로 클릭해서는 안되며 확인 즉시 삭제 처리하는 것이 좋다. 보안성이 없는 단축 URL을 통해 악성코드가 배포되는 경우가 많기 때문이다.

아울러 API를 통해 추가 기능이나 서비스를 연동할 때에는 해당 기능이나 서비스가 자신의 어떤 개인정보에 접근할 수 있는지를 반드시 확인한 후에 연동을 승인해야 한다. 일부 API의 경우, 이용자의 쪽지나 비공개 포스팅까지도 접근할 수 있는 권한을 부여하는 경우도 종종 확인되고 있기 때문이다.

[글_이 진 규 NHN 개인정보보호팀장(davidlee@nhn.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>