블로그

글로벌 프라이버시 어셈블리, 스크래핑의 프라이버시 위험에 대해 경고

짐 다우니 썸네일
짐 다우니
2023년 9월 13일 게시

작년에 130개가 넘는 데이터 보호 및 개인정보 보호 규제 기관과 시행 기관으로 구성된 협회인 글로벌 개인정보 보호 총회 (GPA)는 봇에 의한 신임장 정보 유출이 데이터 개인정보 보호에 전 세계적인 위험을 초래하며, 기업은 이를 방지하기 위해 합리적인 조치를 취할 의무가 있다고 경고했습니다. GPA의 국제시행협력실무그룹(IEWG)은 소셜 미디어 기업과 기타 웹사이트가 불법적인 데이터 수집으로부터 개인의 개인 정보를 보호할 책임이 있다고 경고하는 공동 성명을 발표했습니다 .

데이터 스크래핑이란?

데이터 스크래핑은 웹과 모바일 애플리케이션에서 자동으로 데이터를 추출하는 것입니다. 스크래퍼는 경쟁 우위를 확보하는 것부터 가격 비교를 위한 데이터 집계까지 다양한 이유로 데이터를 추출합니다. 기업들은 종종 경쟁자가 가격이나 재고 데이터에 액세스하는 것을 원치 않거나 스크래핑 트래픽 양이 앱 성능에 영향을 미치기 때문에 스크래핑을 방지하려고 합니다. 많은 경우 스크래핑 트래픽은 전체 트래픽의 95% 이상을 차지할 수 있으며, 이로 인해 애플리케이션이 느려지거나 심지어 중단될 수도 있습니다.

데이터 스크래핑은 어떻게 데이터 프라이버시를 위험에 빠뜨리나요?

개인정보 보호 규정은 개인의 데이터 개인정보 보호 권리를 보호하여 개인이 자신의 데이터를 누가 어떤 목적으로, 얼마 동안 사용할 수 있는지 결정할 수 있도록 하는 것을 목적으로 합니다. 사용자가 소셜 미디어에 데이터를 공유하는 경우 앱의 개인정보 보호 설정 및 정책에 명시된 대로 특정 그룹의 사람들에게만 데이터가 공개되기를 원합니다. 이러한 데이터가 본인의 동의 없이 수집될 경우, 스크래퍼가 원래 의도한 목적과 다른 방식으로 데이터를 사용할 수 있으므로 개인은 자신의 개인 정보에 대한 통제력을 잃게 됩니다.

데이터 스크래핑은 개인이 자신의 개인 데이터 삭제 또는 수정을 요청할 수 있는 권리를 침해합니다. 데이터가 스크래핑되면 작성자가 소셜 미디어 사이트에서 데이터를 삭제하더라도 스크래퍼는 계속해서 해당 데이터를 사용하고 공유합니다.

GPA의 공동 성명에 따르면 개인 데이터에 대한 통제력 상실은 여러 면에서 개인을 위험에 빠뜨립니다. 범죄자는 이러한 데이터를 소셜 엔지니어링, 타깃형 피싱, 신원 사기에 사용할 수 있습니다. 범죄자들은 이 데이터를 이용해 승인 시스템을 우회할 의도로 개인에 대한 프로파일링을 수행할 수 있습니다. 그리고 꼼꼼하지 못한 마케터는 해당 데이터를 직접 마케팅이나 스팸 발송에 사용할 수도 있습니다.

이것이 조직에 대한 규정 준수 위험을 초래합니까?

GPA의 공동 성명에 따르면 개인 정보는 인터넷에 공개적으로 공개된 경우에도 데이터 보호법의 적용을 받습니다. 즉, 개인 정보에 대한 대량의 데이터 수집은 많은 관할권에서 보고해야 할 데이터 침해로 간주될 수 있습니다.

공동 성명서는 많은 관할권의 법적 요구 사항에 따라 요구되는 데이터 스크래핑을 방지하기 위한 조치를 권장하며, 이는 "법원과 데이터 보호 기관에서 그렇게 해석될 수 있습니다."

GPA는 무엇을 추천합니까?

GPA는 데이터 스크래핑으로 인한 개인정보 보호 위험을 완화하기 위해 지정된 팀을 구성하여 통제를 구현하고 효과를 모니터링하는 것부터 시작하여 다층적인 기술적, 절차적 통제를 권장합니다. 기타 통제 수단으로는 사용자 속도 제한, 소셜 네트워크 내에서의 빠른 링크 모니터링, 데이터 스크래퍼에 대한 법적 조치를 취해 데이터 삭제를 보장하고, 데이터 침해에 해당하는 스크래핑 활동을 개인 및 규제 기관에 알리는 것이 있습니다.

다층적 통제의 구성 요소로서 GPA는 데이터를 스크래핑하는 봇을 완화할 것을 권장합니다. 공동 성명서에서는 구체적으로 CAPTCHA와 IP 속도 제한에 대해 언급했습니다. 효과적인 다층적 보호를 원하는 조직에서는 CAPTCHA 및 IP 속도 제한을 우회하는 고급 봇을 완화하기 위해 신호 수집 및 AI를 사용하는 봇 관리 솔루션을 고려해야 합니다.

이 위협을 더욱 우려스럽게 만드는 변화는 무엇입니까?

피싱 의 최근 동향에 비추어 데이터 스크래핑을 고려해 보면 개인 정보에 대한 위협은 훨씬 더 심각해집니다. 피싱 서비스(PhaaS) 공급업체는 이메일 템플릿, 진짜처럼 보이도록 설계된 가짜 웹사이트, 잠재적 대상의 연락처 정보, 자세한 방법 설명, 고객 지원 등 피싱 공격을 시작하기 위한 모든 툴셋을 제공하며, 이러한 모든 것이 저숙련 공격자에게도 피싱을 더 효과적으로 만들어줍니다. 게다가 피싱은 실시간 피싱 프록시를 통해 사용자를 속여 공격자가 제어하는 앱에 일회용 비밀번호를 제출하도록 하는 방식으로 MFA를 우회하는 주요 수단이 되었습니다. (피싱으로 인해 MFA가 효과적이지 않게 되는 방식에 대한 F5 Labs 보고서를 참조하세요.)

대규모 언어 모델을 적용하면 피싱이 더욱 효과적일 것으로 예상됩니다. WormGPT와 FraudGPT를 포함해 다크 웹에서 판매되는 새로운 공격 도구에 대한 보고는 범죄자들이 피싱을 포함한 불법적인 목적을 위해 생성적 AI를 적용하기 시작했다는 것을 보여줍니다. 이러한 도구는 여러 앱에서 수집한 개인 데이터를 수집하여 효과적이고 개인화된 피싱 메시지를 작성하는 데 큰 도움이 될 것이며, 이를 통해 스피어 피싱이 자동화될 가능성이 있습니다.

왜 우리는 신경 써야 하나요?

데이터 스크래핑 및 신임장 정보 입력과 같은 악의적인 자동화의 다른 용도로 인해 데이터가 범죄자에게 노출될 위험이 있습니다. 이러한 범죄자들은 해당 데이터를 수집하여 사회 공학적 계획이나 피싱 공격에 사용할 수 있으며, 이러한 공격은 금융 사기를 비롯한 다른 피해로 이어질 수 있습니다. GPA는 이러한 경고를 발행하고 봇이 개인 데이터를 수집하도록 허용함으로써 발생할 수 있는 유해한 결과를 조직에 알리는 중요한 공익 서비스를 수행하고 있습니다. F5가 데이터 스크래핑 및 데이터 개인 정보 보호 문제를 해결하는 데 어떻게 도움을 줄 수 있는지 자세히 알아보려면 www.f5.com/go/solution/scraping을 방문하세요.