개인정보 수신 조직을 자동으로 식별하는 ROI 방법

초록

본 논문은 WHOIS, SSL 인증서, 개인정보 처리방침을 결합한 자동화 기법 ROI(Receiver Organization Identifier)를 제안한다. 10 000개 안드로이드 앱을 대상으로 95.71 %의 높은 정밀도로 개인정보를 수신하는 조직을 식별했으며, 두 개의 공개 데이터셋(300개 도메인·1 112개 도메인)도 제공한다.

상세 분석

ROI는 기존 연구가 각각 활용하던 WHOIS 조회, SSL 인증서 검사, 그리고 개인정보 처리방침 분석이라는 세 가지 기술을 통합한 하이브리드 파이프라인이다. WHOIS는 도메인 소유자를 파악하지만 레코드 누락·오염 문제가 있어 단독 사용 시 신뢰도가 낮다. SSL 인증서는 서버 인증서에 포함된 조직명·기관명을 추출해 도메인‑조직 매핑을 보완한다. 개인정보 처리방침은 비정형 텍스트이므로 자연어 처리(NLP)와 명명된 엔티티 인식(NER) 모델을 훈련시켜 ‘데이터 컨트롤러’와 ‘제3자 수신자’를 자동 추출한다. 논문은 세 기술을 순차적으로 적용하고, 교차 검증을 통해 일치하는 결과만 최종 조직 후보로 채택한다.

실험에서는 10 000개의 안드로이드 앱을 크롤링해 네트워크 트래픽을 수집하고, 각 트래픽의 목적지 도메인을 WHOIS·SSL·정책 분석에 투입했다. 정밀도 95.71 %는 수동 검증(인간 전문가가 직접 확인)과 비교했을 때 오탐이 4.29 %에 불과함을 의미한다. 그러나 재현율(Recall)은 논문에 명시되지 않아 실제 수신 조직을 모두 포착했는지는 불투명하다.

데이터셋 측면에서 저자들은 (1) WHOIS·SSL·정책을 통해 확인된 300개 도메인과 (2) 안드로이드 앱에서 추출한 1 112개 고유 도메인을 공개한다. 이는 향후 연구에서 베이스라인으로 활용 가능하지만, 도메인‑조직 매핑이 시시각각 변하는 현실을 고려하면 지속적인 업데이트가 필요하다.

관련 연구와 비교했을 때 ROI는 기존 WHOIS‑기반 방법이 23 % 정도의 정확도에 머무는 문제를 크게 개선한다. 또한 PolicyXray와 WebXray가 텍스트 매칭에 의존하는 반면, ROI는 NLP 기반 엔티티 추출과 SSL 정보를 결합해 정밀도를 높인다. 그러나 SSL 인증서가 자체적으로 조직명을 정확히 표기하지 않거나, 다중 CDN·프록시 환경에서 인증서가 공유되는 경우 오분류 위험이 존재한다.

보안·프라이버시 규제 관점에서 ROI는 GDPR·CCPA 등 법적 요구사항을 충족시키는 데 유용한 도구가 될 수 있다. 개발자는 앱에 포함된 서드파티 SDK가 어떤 조직에 데이터를 전송하는지 투명하게 파악할 수 있다. 다만, 자동화된 식별이 법적 책임을 대체하지 못하므로, 최종 판단은 인간 전문가가 수행해야 한다는 점을 논문도 언급한다.

전체적으로 ROI는 기존 기술의 단점을 보완하고, 실무 적용 가능성을 보여주지만, 재현율 부재·동적 트래픽 변동·다중 도메인 매핑의 복잡성 등 한계도 명확히 인식해야 한다.