스토킹웨어 27곳 해킹당했는데도 여전히 성업중

가족 감시 앱 업체들이 연이어 해킹당하며 수십만 명의 개인정보가 유출됐지만, 업계는 여전히 번창하고 있다. 디지털 스토킹의 어두운 현실을 들여다본다.

50만 명의 개인정보가 또 털렸다

uMobix라는 가족 감시 앱이 해킹당했다. 50만 명의 결제 정보가 온라인에 공개됐다. 놀라운 건 이게 처음이 아니라는 점이다. 2017년부터 지금까지 27개의 스토킹웨어 업체가 해킹당하거나 데이터를 유출했다.

스토킹웨어는 '가족 보호'라는 명목으로 판매되지만, 실제로는 질투심에 불탄 배우자들이 상대방을 몰래 감시하는 데 쓰인다. 휴대폰 위치, 문자 메시지, 통화 기록, 심지어 사진까지 실시간으로 훔쳐볼 수 있다.

문제는 이런 앱들이 보안에 무관심하다는 점이다. 고객의 결제 정보는 물론, 감시당하는 피해자들의 사생활까지 고스란히 해커들에게 넘어간다.

2017년 Retina-X와 FlexiSpy 해킹 사건이 시발점이었다. 해커들은 "이 업계를 완전히 태워버리겠다"며 의도적으로 스토킹웨어 업체들을 노렸다. 단순한 데이터 탈취가 아니라 서버를 완전히 파괴하는 '말살 작전'이었다.

실제로 Retina-X는 두 번째 해킹 이후 폐업했다. pcTattletale의 창립자는 해킹당한 뒤 "회사를 접는다"고 선언했다. 일부 해커들은 스토킹웨어를 '독성 산업'으로 규정하고 체계적으로 공격하고 있다.

광고주 모집

하지만 효과는 제한적이다. 해킹당한 27개 업체 중 문을 닫은 곳은 8곳뿐이다. 나머지는 여전히 영업 중이거나 다른 이름으로 재탄생했다. FlexiSpy는 2017년 해킹당했지만 지금도 운영되고 있다.

스토킹웨어의 진짜 문제는 '이중 피해'다. 먼저 배우자나 가족에게 불법 감시를 당한다. 그 다음엔 해킹으로 개인정보가 인터넷에 공개된다. 피해자들은 자신이 감시당하고 있다는 사실조차 모르는 경우가 많다.

전자프런티어재단의 에바 갈페린은 "스토킹웨어 업체들은 '연약한 표적'"이라고 말했다. "이들은 제품의 품질이나 보안에 별로 신경 쓰지 않는다."

실제로 일부 업체들은 해킹당한 것도 아니고 그냥 실수로 데이터를 공개했다. SpyFone은 아마존 서버에 개인정보를 그대로 방치해뒀고, FamilyOrbit은 281GB의 개인정보를 쉬운 비밀번호로만 보호했다.

미국 연방거래위원회(FTC)는 SpyFone과 그 CEO를 감시 산업에서 영구 퇴출시켰다. 뉴욕 검찰총장도 일부 업체들을 불법 감시 조장 혐의로 고발했다. 하지만 업계 전체를 뿌리뽑기엔 역부족이다.

한국도 예외는 아니다. 스마트폰 보급률이 95%를 넘는 상황에서 디지털 스토킹은 점점 교묘해지고 있다. 특히 데이트 폭력이나 가정폭력과 연결될 경우 생명까지 위험해질 수 있다.