온라인 소셜 네트워크 회원 프로필 개인정보 위험 분석

초록

본 논문은 10개의 대표적인 소셜 네트워크 서비스를 대상으로 회원 프로필 필드 구조를 조사하고, 공개 설정 오류와 데이터 연계 공격을 통해 개인 정보가 어떻게 쉽게 노출되는지를 분석한다. 연구 결과를 바탕으로 사용자와 운영자가 취할 수 있는 구체적인 보호 방안을 제시한다.

상세 분석

연구는 먼저 국내외에서 이용자 수가 가장 많은 10개의 SNS를 선정하고, 각 서비스의 회원 가입 단계에서 요구되는 필드와 선택적 입력 항목을 체계적으로 분류하였다. 필드들은 기본 개인정보(이름, 생년월일, 성별), 연락처(이메일, 전화번호), 위치 정보(주소, 현재 위치), 교육·경력, 관심사·취미, 관계망(친구·팔로워) 등으로 구분되었다. 각 필드마다 기본 공개 범위가 ‘전체 공개’, ‘친구만’, ‘비공개’ 중 어느 수준으로 설정되는지를 자동화 스크립트를 이용해 수집했으며, 사용자가 직접 설정을 변경할 수 있는 옵션의 존재 여부와 UI의 직관성을 평가하였다.

다음으로 개인정보 노출 위험을 정량화하기 위해 공개된 필드 조합이 공격자에게 제공하는 정보량을 엔트로피 기반 모델로 계산하였다. 예를 들어, 생년월일과 거주지, 직장 정보를 동시에 공개하면 개인 식별 가능성이 급격히 상승한다는 결과가 도출되었다. 또한, 소셜 엔지니어링 시나리오를 구성해 공개 프로필을 이용한 PIN·비밀번호 추측, 피싱 메일 자동 생성, 맞춤형 사기 광고 삽입 등의 공격 경로를 실증하였다.

특히, 일부 SNS에서는 API를 통해 프로필 데이터를 제한 없이 추출할 수 있는 취약점이 발견되었으며, 이는 대규모 데이터 마이닝 및 크리덴셜 스터핑 공격에 활용될 가능성을 보여준다. 연구는 이러한 기술적 취약점 외에도 사용자가 프라이버시 설정을 오해하거나 무시하는 인지적 요인, 그리고 서비스 제공자가 기본 공개 설정을 과도하게 관대하게 하는 정책적 요인을 함께 분석하였다.

마지막으로, 위험 완화 방안으로는 (1) 기본 공개 범위를 ‘친구만’ 혹은 ‘비공개’로 전환하고, 민감 필드에 대한 선택적 입력을 강제하지 않는 설계, (2) 프라이버시 설정 UI를 단계별 가이드와 실시간 위험 점수 표시로 개선, (3) API 접근 권한을 최소화하고 요청당 데이터 양을 제한하는 기술적 조치, (4) 사용자 교육을 통한 개인정보 최소 공개 원칙 인식 제고 등을 제시한다. 이러한 권고사항은 운영자와 이용자 모두가 협력하여 개인정보 유출 위험을 실질적으로 낮출 수 있음을 강조한다.