캐나다 ‘개인 정보 유출 스캔들’? 베스트바이 등 업체들이 수리를 위해 보낸 장비의 사생활을 스누핑했다.

컴퓨터를 수리하던 중 에디슨 선생님의 실수에 대한 이야기가 아직도 기억에 생생합니다. 캐나다 친구들의 차례가 이렇게 빨리 올 줄은 몰랐습니다…

당시 에디슨  노트북 중 하나가 수리를 위해 보내졌지만, 컴퓨터에 저장된 사진 다수가 유출됐다. 당시 경찰은 피해자가 컴퓨터 수리를 위해 컴퓨터 매장으로 가져가는 동안 컴퓨터에 저장된 사진을 복사한 것이라고 밝혔다. 이 사건으로 인해 경찰은 23세 남성을 “컴퓨터에 대한 부정직한 접근” 혐의로 기소했습니다.

어제 CBC Marketplace는 Best Buy, Mobile Klinik, Canada Computers 및 기타 회사의 기술자가 수리를 위해 보낸 장비의 개인 정보를 기웃거리는 것을 발견했다는 보고서를 발표했습니다.

개인 정보

CBC Marketplace는 주요 체인인 Best Buy 및 Mobile Klinik을 포함하여 온타리오 전역의 수리점에 스마트폰과 노트북을 가져갔고, 기록된 사례의 절반 이상에서 기술자가 수리와 관련 없는 친밀한 사진과 개인 정보에 액세스한 것으로 나타났습니다.

장치에 모니터링 소프트웨어를 설치한 후 Marketplace는 소규모 독립 매장부터 중간 규모 체인, 대규모 전국 체인에 이르기까지 20개 매장에 장치를 보냈습니다. 총 16개 매장의 액세스가 등록되었습니다. (4개 매장에서는 추적 소프트웨어가 아무것도 기록하지 않았거나 매장에서 기기를 켜지 않은 것으로 나타났습니다.)

점원 중 9명은 수리와 관련 없는 ‘데이트’, ‘파자마’, ‘비키니’ 등 사진 폴더를 열어 고객들의 개인 사진을 살펴봤다. 그 중 한 명은 사진을 보았을 뿐만 아니라 사진을 자신의 USB 플래시 드라이브에 복사하기도 했습니다.

개인 사진

Guelph 대학 컴퓨터 과학부 부교수인 Hassan Khan은 “결과는 끔찍했습니다. 그들은 정보를 찾고 있을 뿐만 아니라 사용자 장치에 있는 데이터도 검색하고 있습니다.”라고 말했습니다. 고객 기기에서 데이터를 복사하는 건… 정말 너무 끔찍해요.”

해당 교수는 정보보안 분야에 전념하고 있으며 이 프로젝트에 CBCNews와 협력했습니다. 이러한 개인 데이터에는 고객의 개인 사진뿐만 아니라 은행 카드 결제 정보 데이터, 소셜 미디어 데이터 및 브라우저 기록도 포함됩니다. 물론 이 정보는 거짓이어야 합니다.

Khan 교수와 그의 연구팀은 또한 두 모델에게 얼굴을 보여주지 않고 친밀한 사진을 찍어달라고 요청했으며, 이 사진은 다른 일상 사진과 함께 기기에 저장되었습니다.

그 중 Woodbridge에 있는 Mobile Klinik의 기술자는 기기에서 Facebook 계정을 비공개로 탐색하고 비공개 셀카를 포함하여 휴대전화에 저장된 사진을 보았습니다.

이후 모바일클리닉 관계자는 “이런 상황은 절대 용납할 수 없다”며 “회사는 고객 데이터를 보호하기 위한 ‘강력한 정책’을 갖고 있으며, 관련 유지관리 인력을 해고했으며, 이 문제를 직원 개인정보 보호 및 데이터 보안 문제 강화에 활용하겠다”고 밝혔다.

Markham Best Buy의 한 기술자도 자신의 컴퓨터에서 “비키니”, “데이트 의상” 및 “잠옷”이라는 제목의 폴더를 검색했습니다.

또한 해당 직원은 최근 접근한 파일에서 열어본 개인 사진을 삭제해 파일을 열었던 흔적도 모두 지웠다. 다행스럽게도 이러한 행동은 비밀 감시 소프트웨어에 의해 기록되었습니다.

개인사진 스캔들

Khan은 “그들은 흔적을 파괴하고 있습니다.”라고 말했습니다. 이러한 종류의 녹음 소프트웨어가 없었다면 일반 소비자는 기술자가 사진을 봤는지 알 수 없었을 것입니다.

휴대폰 화면 깜박임 등 모든 기기 문제는 개인 사진, 개인 파일에 접근하지 않고도 해결이 가능하다고 주장된다.

Marketplace는 “귀하의 개인 식별 데이터는 매우 민감합니다”라고 말한 전 온타리오 개인 정보 보호 국장인 Ann Cavoukian과 조사 결과를 공유했으며 “우리는 이러한 행위를 중단해야 하며 대중의 관심을 끌 수 있는 방법을 찾아야 합니다”라고 말했습니다.

연방 개인 정보 보호법에 따라 기술 수리점을 포함한 모든 상업 사업체는 개인 정보 수집을 필요한 정도로 제한해야 합니다.

Marketplace가 Canada Computers & Electronics의 Markham 위치에 노트북을 두고 왔을 때 기술자는 파일 관리자에서 개인 사진 디렉토리를 대형 아이콘으로 보았습니다. 기술자는 USB 드라이브를 수리하고 노트북 USB 드라이브에 있는 모든 사진을 제거했습니다.

“어느 행성에서 이것이 허용됩니까?” Cavoukian이 말했습니다.

이메일로 보낸 성명에서 Canada Computers는 고객의 개인 정보를 존중할 의무를 매우 중요하게 생각하며 자체 조사에 따르면 이는 기술자가 개인 정보 보호 정책을 위반한 장소에서 발생한 단독 사건인 것으로 나타났습니다. 회사 측은 “해당 직원은 징계 조치를 받았다”고 밝혔다. 체인 측은 다른 기술자가 “문제 진단”을 시도했으며 “이는 개인 데이터에 접근하려는 부적절한 시도와 관련이 없다”고 설명했습니다.

마켓플레이스의 조사에 따르면 회사의 기술자들은 “전자 기기 진단 및 수리 시 고객의 개인 정보를 보호하는 방법에 대한 재교육을 받았다”고 덧붙였습니다.

온타리오주 옥빌에 있는 Best Buy 매장과 두 곳의 Apple 매장, 여러 독립 매장의 직원들이 수리를 위해 기기 운영 체제를 다시 로드하거나 재설치해야 할 수도 있다고 말했습니다. Khan은 이렇게 하면 로깅 및 모니터링 소프트웨어가 지워져서 Marketplace가 장치를 거기에 두지 않고 해당 매장을 테스트에서 제외할것이라고 말했습니다.

개인 사진

칸 교수는 유지관리 전 과정을 기록하고 불시 점검·감사를 실시하거나, 개인정보에 불필요하게 접근하는 기술 유지관리업체에 과태료를 부과하는 등 개인정보 보안을 보장하기 위한 관련 규정 도입이 필요하다고 주문했다.

전문가들은 수리를 위해 컴퓨터를 보낼 때 개인 정보를 보호하기 위한 5가지 팁을 요약했습니다.

1. 컴퓨터에 보안 비밀번호를 설정하고 유지 관리 담당자에게 비밀번호를 알려주지 마십시오.

2. 개인 파일 암호화.

3. 가능하다면 컴퓨터의 데이터를 먼저 백업한 다음 컴퓨터를 공장 설정으로 복원하십시오.

4. “게스트” 계정을 생성하고 유지 관리 담당자가 게스트 계정에 로그인하도록 합니다.

5. 위의 조치를 취하기 전에 컴퓨터가 고장난 경우에는 기술자에게 직접 수리를 요청하십시오.