자유시간

YouTube에서는 광고수익이 크리에이터에게로 환원되므로 YouTube뿐만 아니라 YouTube에 콘텐츠를 게시하는 크리에이터에게도 수익이 분배됩니다. YouTube 활동으로 주수입을 얻는 'YouTuber'도 직업으로 인정되게 되었습니다. YouTube는 'YouTube에서 수익을 창출하기 위한 10가지 방법'이라는 글에서 크리에이터가 수익을 창출하기 위한 YouTube의 기능을 정리하고 있습니다.

10 ways to monetize on YouTube
https://blog.youtube/news-and-events/10-ways-monetize-youtube/

YouTube Shorts Fund offers $10,000/month for creators - The Verge
https://www.theverge.com/2021/8/3/22606291/youtube-shorts-fund-launches-100-million

◆ 01 : YouTube 숏츠

최대 60초까지만 동영상을 게시할 수 있는 TikTok에 대항하여 만들어진 서비스가 'YouTube 숏츠'입니다. YouTube는 이 YouTube 숏츠를 활성화하기 위해 크리에이터에게 총 1억 달러(약 1100억 원)의 보상을 하는 YouTube Shorts Fund의 설립을 2021년 5월 11일에 발표했습니다.

Introducing the YouTube Shorts Fund
https://blog.youtube/news-and-events/introducing-youtube-shorts-fund/

또 오리지널 영상을 게시하는 크리에이터에 대해 매월 최대 1만 달러를 지불한다고 했습니다. YouTube의 수석제품책임자인 닐 모한 씨는 IT계 뉴스사이트 The Verge와의 인터뷰에서 "YouTube Shorts Fund는 장기적이고 확장 가능한 수익창출 프로그램으로 대체된다"며 YouTube 숏츠를 게시하는 동영상 크리에이터를 오랜 기간 지원할 의사를 나타냈습니다.

◆ 02 : 광고

동영상광고 수익금은 YouTube에 콘텐츠를 게시하는 크리에이터의 핵심 수익원입니다. 얻은 광고수입에서 얼마나 크리에이터에게 환원되는지는 알 수 없지만, YouTube의 광고수입은 2021년 2분기(4월~6월)에 전년 동기 대비 83% 증가한 70억 200만 달러(약 7조 7000억 원)로 사상 최고치를 기록했습니다.

Alphabet Announces Second Quarter 2021 Results
https://abc.xyz/investor/static/pdf/2021Q2_alphabet_earnings_release.pdf

◆ 03 : YouTube Premium

YouTube Premium은 유료 플랜으로 동영상의 백그라운드 재생 및 다운로드, 동영상광고 숨기기, YouTube Music 이용 등의 혜택을 얻을 수 있습니다. 이 YouTube Premium 수익의 일부는 YouTube 크리에이터에게도 배분됩니다.

2021년 8월에는 동영상광고 숨기기에만 국한된 보다 저렴한 플랜 'Premium Lite'가 일부 지역에서 시범 운영 중인 것이 보도되었습니다.

So Youtube Premium Lite (ad-free sub) is a thing now (in select countries?) | ResetEra
https://www.resetera.com/threads/so-youtube-premium-lite-ad-free-sub-is-a-thing-now-in-select-countries.465198/

YouTube ‘Premium Lite’ subscription offers ad-free viewing for less - The Verge
https://www.theverge.com/2021/8/2/22605455/youtube-premium-lite-pilot-benelux-nordics-experiment-ad-free-subscription

◆ 04 : 채널 멤버쉽

채널의 회원은 크리에이터가 YouTube에서 설정할 수 있는 유료 구독 플랜입니다. 멤버십에 가입한 사용자는 크리에이터의 회원 전용 콘텐츠를 시청하거나 채팅란에서 회원 한정의 스탬프를 사용할 수 있습니다.

채널 멤버십을 통한 수익의 대부분은 크리에이터에게 지급되기 때문에 크리에이터에게 큰 수익원이 됩니다. YouTube에 따르면 YouTube 크리에이터가 2020년에 채널회원으로부터 얻은 수익은 2019년에 비해 4배 이상 늘어났다고 합니다.

◆ 05 : 슈퍼채팅

YouTube에서 생방송과 동영상 프리미어 공개에서는 사용자가 실시간으로 의견을 게시할 수 있는 채팅란을 개설할 수 있습니다. 수익창출이 인정된 크리에이터의 채팅란이라면 사용자는 유상으로 자신의 의견을 돋보이게 하면서 표시하는 '슈퍼채팅'을 보낼 수 있습니다. 물론 이 슈퍼채팅 수익도 대부분 크리에이터의 것입니다.

2020년 8월에는 비공식적으로 YouTube 슈퍼채팅 누계 랭킹이 발표되었는데 상위 10명 중 8명이 일본인이었고 그 중 7명이 가상 YouTube(VTuber)인 것으로 밝혀졌습니다.

Youtube Most SuperChated Ranking - PLAYBOARD
https://playboard.co/en/youtube-ranking/most-superchated-all-channels-in-worldwide-total

◆ 06 : 슈퍼스티커

슈퍼스티커는 슈퍼채팅처럼 사용자가 생방송이나 프리미어 공개 채팅란에 게시할 수 있는 기능으로 크게 눈에 띄는 이모티콘이나 애니메이션을 채팅창에 게시할 수 있습니다.

◆ 07 : 슈퍼땡쓰

슈퍼땡쓰는 2021년 7월에 YouTube에서 발표한 새로운 수익창출 프로그램으로 현재는 브라우저 버전과 Android · iOS의 모바일 버전 베타가 소개되어 있습니다. 지금까지 생방송과 프리미어 공개에서만 가능했던 슈퍼채팅을 동영상에서도 가능하게 한 기능으로 사용자는 2000원이나 50000원 등의 금액을 지불하여 동영상에 화려한 덧글을 남길 수 있도록 했습니다.

Introducing the newest member of the Supers family - Super Thanks
https://blog.youtube/news-and-events/introducing-newest-member-supers-family-super-thanks/

YouTube adds a new way to tip creators - The Verge
https://www.theverge.com/2021/7/20/22584330/youtube-tipping-feature-super-thanks

◆ 08 : 상품판매

상품판매는 크리에이터가 YouTube에서 공식적으로 제공되는 상품판매 기능을 사용하면 자신의 오리지널 상품판매가 가능하다는 것. YouTuber가 오리지널 브랜드의 T셔츠와 머그컵을 판매할 수 있으며, 구매창구를 영상 속에 마련할 수 있습니다.

YouTube에서는 광고수익 창출의 난이도가 해마다 높아지고 있어 신규 크리에이터가 광고수입만으로 충분한 수익을 올리는 것은 어려워지고 있습니다. 따라서 최근에는 광고수입보다 채널회원과 상품판매로 수익을 창출하는 YouTuber가 늘고 있다고 보도되고 있습니다.

YouTube Influencers Charge For Subscriptions After Coronavirus Hits Ads - Bloomberg
https://www.bloomberg.com/news/articles/2020-08-03/youtube-influencers-charge-for-subscriptions-after-coronavirus-hits-ads

◆ 09 : 티켓 판매

크리에이터가 YouTube에서 수익을 올리는 방법은 YouTube로부터의 직접보상만이 아닙니다. 예를 들어 음악계의 크리에이터의 경우 자신의 라이브를 YouTube에 홍보하고, 티켓의 구입을 YouTube에서 이루어지도록 할 수 있습니다. 이 티켓 판매 기능을 실현하기 위해 YouTube는 미국의 최대 티켓 판매기업인 Ticketmaster와 제휴했습니다.

◆ 10 : YouTube BrandConnect

YouTube BrandConnect는 크리에이터와 브랜드를 연결시켜 브랜드 콘텐츠 캠페인을 전개시킴으로써 수익창출을 도모하는 서비스입니다. 일정 이상의 구독자 수를 가지고 수익창출이 인정되는 크리에이터가 '인플루언서'로 간주되어 실제로 기업과 접촉하여 협상을 하려면 상당한 시간이 걸립니다. 크리에이터가 YouTube BrandConnect에 등록하면 YouTube 측이 기업전용창구가 되는 플랫폼을 제공해주기 때문에 크리에이터와 기업이 원활하게 계약과 협상을 할 수 있습니다.

그러나 YouTube BrandConnect의 자격 요건 중 하나에 '미국 · 캐나다 · 영국을 거점으로 활동하고 있는 크리에이터'로 한정되어 있습니다.

YouTube는 "우리는 크리에이터가 사업을 다음 단계로 진행하기 위한 새로운 방법을 개발하고 있습니다. YouTube는 새로운 이정표 및 목표달성을 함께 축복합니다. 크리에이터가 차세대 미디어기업이 되기 위해 우리는 크리에이터의 비즈니스를 지원하는 방법을 더욱 더 제공해 나갈 것"이라고 밝혔습니다.

Amazon이 전개하는 점원 없는 편의점 'Amazon Go'에서는 지갑이나 스마트폰을 소지하지 않고 손바닥만으로 결제가 완료되는 'Amazon One'을 이용할 수 있습니다. 이 Amazon One에 필요한 손바닥의 정보를 Amazon이 10달러 상당의 포인트에 대한 대가로 수집하고 있는 것으로 보도되고 있습니다.

Amazon will pay you $10 for a scan of your palm print
https://www.inputmag.com/tech/amazon-will-pay-you-10-dollars-for-a-scan-of-your-palm-print

Amazon이 무인편의점 Amazon Go나 Amazon 리뷰에서 별 4개 이상을 획득한 제품만을 취급하는 'Amazon 4-star', 서점 'Amazon Books' 등의 실제 매장을 전개하고 있습니다.

이러한 Amazon의 실제 매장과 Amazon이 2017년에 인수한 홀푸드 마켓에는 비접촉식 결제단말기인 Amazon One이 도입되고 있으며, 구매자는 손바닥을 Amazon One에 보이기만 하면 결제를 완료할 수 있습니다. Amazon의 유통분야 부사장인 딜리프 쿠마 씨는 2020년 Amazon One 발표 당시에 "Amazon One은 Amazon Go 같은 소매점 이외에도 경기장과 오피스빌딩 등 입장을 승인하는 도구로 서비스를 전개할 예정"이라며 Amazon One의 시스템을 Amazon 이외의 기업에게 제공할 의향을 나타내었습니다.

Introducing Amazon One—a new innovation to make everyday activities effortless
https://blog.aboutamazon.com/innovation/introducing-amazon-one-a-new-innovation-to-make-everyday-activities-effortless

Amazon One: an easier way through your day - YouTube
https://www.youtube.com/watch?v=xH_SVNVIfzk

그런 가운데 Amazon이 'Amazon One에 손바닥의 정보를 등록한 사용자에게 10달러 상당의 포인트를 준다'는 캠페인을 실시하고 있었던 것으로 드러났습니다.

기술 관련 미디어 Input은 "손바닥의 정보는 쉽게 변경할 수 있는 것은 아닙니다. Amazon은 손바닥의 정보를 입수하여 사용자의 데이터를 반영구적으로 수집할 수 있습니다. 또 Amazon이 손바닥 정보를 제삼자에게 판매하여 사기 및 기타 위협에 노출될 가능성도 있습니다. Amazon은 사용자가 데이터를 삭제하는 것을 선택한 경우 또는 Amazon One을 2년간 사용하지 않으면 손바닥 정보를 삭제한다고 하지만 안심할 수 있는 수준은 아니다"라며 Amazon이 10달러로 사용자를 추적할 수 있는 재료를 얻으려 시도하고 있다고 지적합니다.

또 TechCrunch는 Amazon이 과거에 얼굴인식 기술을 제삼자 기관에 제공했던 사례를 들어 "신종 코로나바이러스 감염(COVID-19)이 유행하는 가운데, 비접촉식 결제는 참신한 아이디어처럼 보일지도 모릅니다. 그러나 생체인식 기술의 개발에 Amazon의 과거의 행태를 생각하면 Amazon이 데이터를 어떻게 취급하는지에 주의해야 할 필요가 있다"며 Amazon이 Amazon One의 시스템이나 정보를 다른 기업에 제공하는 것에 대해 우려를 나타냅니다.

레바논의 여성 기자가 "스마트폰이 스파이웨어 Pegasus에 해킹되어 개인 사진을 Twitter에 게시당했다"며 해킹에 연루된 것으로 의심되는 Twitter 사용자와 사우디 왕태자들을 상대로 소송을 제기했습니다.

'I will not be silenced': Women targeted in hack-and-leak attacks speak out about spyware
https://www.nbcnews.com/tech/social-media/i-will-not-be-silenced-women-targeted-hack-leak-attacks-n1275540

소송을 제기한 여성은 알자지라의 기자인 가다 우에이스 씨. 우에이스 씨는 2020년 6월 자신이 비키니를 입고 거품목욕 중이던 사진이 누군가에 의해 Twitter에 투고된 것을 알게 됩니다. 이런 종류의 사진은 중동의 일부 문화권에서는 스캔들로 간주되며, 그 후 며칠 동안 우에이스 씨의 계정에는 비방이 섞인 메시지가 다수 보내져 왔다는 것. 메시지의 대부분은 사우디 왕태자인 무하마드 빈 사루만 씨를 지원하는 것으로 보이는 계정들이었고 이 중에는 정부관계자로 인증된 계정도 포함되어 있었다고 합니다.

우에이스 씨는 문제의 사진을 어디에도 공개하지 않았으므로 자신의 스마트폰이 해킹된 것이라고 판단했고 전문가의 조사를 받은 결과 우에이스 씨의 스마트폰에서 스파이웨어 Pegasus가 발견되었습니다. 우에이스 씨는 "기자로서의 신용을 훼손하려 시도했다"며 "정권에 의한 인권침해 혐의가 있다"며 무하마드 빈 사루만 씨와 아부다비 왕세자인 모하메드 빈 자이드 씨 외 복수의 Twitter 사용자를 상대로 소송을 제기했습니다.

이스라엘 기술기업인 NSO Group이 개발 · 판매하는 Pegasus에 스마트폰이 감염되면 개인적 메시지 내용이나 사진, 위치정보가 공격자에 의해 모니터링 가능하게 되는 것 외에도 원격조작으로 도청할 수도 있다고 합니다. Pegasus가 동원된 해킹 사례는 지금까지도 많이 보고되고 있으며, 45여 개국의 언론인과 활동가들 외에도 프랑스의 엠마누엘 마크롱 대통령을 비롯한 국가원수가 감시대상이었을 가능성도 부상하고 있습니다. Pegasus에 관한 조사는 국제인권 NGO인 국제사면위원회와 17개 미디어 등으로 조직된 페가수스 프로젝트에 의해 이루어지고 있으며, 2021년 8월 2일에는 "프랑스의 첩보기관이 조사결과를 뒷받침했다"고 발표했습니다. "독립적인 공공기관에 의해 우리의 조사가 뒷받침된 것은 처음"이라며 앞으로도 조사를 계속해 나가겠다고 밝혔습니다.

최근 증가 추세인 스마트폰 해킹 대책으로 스마트폰의 재부팅이 효과적이라고 AP통신이 보도했습니다.

Turn off, turn on: Simple step can thwart top phone hackers
https://apnews.com/article/technology-government-and-politics-hacking-752db867fafbaba1f9cc34f7588944c5

스마트폰 해킹 대책으로서 재부팅이 효과적인 이유는, 최근의 해킹은 사용자가 아무런 조작을 하지 않아도 악성코드가 설치되는 '제로클릭 취약점'을 활용한 방법이 주류를 이루고 있기 때문입니다. AP통신에 따르면 지금까지는 해킹은 악성 소프트웨어를 루트파일 시스템에 설치하는 등의 지속적인 공격이 주류였지만, 최근에는 Apple과 Google이 스마트폰의 핵심 운영시스템에 악성코드를 차단하는 보안대책을 통합한 영향으로 지속적인 공격이 어려워지고 있다는 것. 이로 인해 난이도가 높은 대신 효과가 지속되는 해킹보다 난이도가 낮은 대신 재부팅되면 효과가 사라지는 해킹이 선호되고 있는데, 대표적인 것이 제로클릭 취약성을 공격하는 기법입니다.

제로클릭 취약점의 사례 중 하나가 iPhone의 iOS 13.5.1의 iMessage에 존재하는 취약점입니다. 이 취약점을 노린 경우 표적이 된 iPhone을 의심스러운 메시지의 수신이나 위험한 URL에 대한 액세스를 거치게 하지 않고도 악성코드에 감염시키는 것이 가능해 세계의 유명인사와 정치인을 감시한 것으로 알려진 스파이웨어 'Pegasus'도 이 취약점을 이용한 것으로 알려져 있습니다.

The Great iPwn: Journalists Hacked with Suspected NSO Group iMessage 'Zero-Click' Exploit - The Citizen Lab
https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/

Report: gov't spyware targets phones of Al-Jazeera reporters
https://apnews.com/article/technology-malware-saudi-arabia-united-arab-emirates-dubai-c6cb6fc304aff092a88dd87b5c19e4fe

이러한 제로클릭 취약성을 악용한 공격이 재부팅으로 비활성화되는 이유는 악성코드의 감염부위가 '메모리'이기 때문입니다. 제로클릭 취약성을 악용한 공격은 보안의 발전으로 인해 핵심 운영시스템에 침입하기 어렵습니다만, 메모리라면 비교적 쉽게 침입할 수 있으며 검출하기도 어렵습니다. 메모리 내의 데이터는 스마트폰의 재부팅에 의해 사라지기 때문에 이러한 제로클릭 취약성 공격에는 재부팅이 유효합니다.

재부팅은 공격 자체를 미연에 방지하는 것이 아니고 어디까지나 공격자의 부담을 증가시키는 방어행위이므로 단 한번의 공격으로 비밀번호 등의 개인정보가 모두 유출되어 버릴 수도 있습니다.

미국의 국가안보국(NSA)은 2020년에 발행한 '모바일기기의 보안 모범 사례 가이드'에서 재부팅을 대책의 하나로 제시하고 있으며, AP통신은 '일주일에 한 번 재부팅하기'를 권장합니다.

미국 일리노이주의 시카고에서 총기폭력의 근절과 치안향상을 위해 'ShotSpotter'라는 AI 구동 총성감지센서가 설치되어 있습니다. ShotSpotter는 총소리를 감지하여 그 총성이 어디에서 발생했는지에 대해 분석하여 정보를 경찰에게 전달하는데, 최근에는 ShotSpotter가 총기폭력을 줄이는 데 도움이 되지 않을 뿐만 아니라 생사람을 잡고 있다는 지적이 많습니다.

Police Are Telling ShotSpotter to Alter Evidence From Gunshot-Detecting AI
https://www.vice.com/en/article/qj8xbq/police-are-telling-shotspotter-to-alter-evidence-from-gunshot-detecting-ai

2020년 5월 31일에 25세의 사파라인 헤링 씨가 머리에 총상을 입고 사망한 사건은 ShotSpotter가 활용된 결과 64세의 마이클 윌리엄스라는 남성이 체포되었습니다. 이 사건이 일어난 23시 46분 거리에 설치된 ShotSpotter는 어느 '소리'를 감지했습니다. 당초 ShotSpotter의 알고리즘은 소리를 '폭죽소리'로 인식했습니다. 당시는 조지 플로이드의 죽음에 대한 항의시위가 일어나고 있었으며, 데모와 관련있는 폭죽놀이라고 생각되었습니다.

그런데 ShotSpotter의 애널리스트는 알고리즘을 사용하지 않고 수동으로 전환하여 분석한 결과, 소리가 총성이라고 판단했습니다. 또 수개월 경과된 시점에서 사건의 조사가 이루어질 때 다른 ShotSpotter의 애널리스트는 소리가 감지된 좌표를 당시 윌리엄스 씨가 머물던 구획이라고 결정했습니다. 감시카메라의 영상에서 차량에 타고 있던 윌리엄스 씨가 용의자로 체포되었습니다. 윌리엄스 씨는 달려가는 차에서 누군가가 헤링 씨를 쐈다고 주장했습니다.

재판에서 윌리엄스 씨의 국선변호인은 판사에 ShotSpotter가 법적증거가 될 정당성을 갖추었는지 검토하도록 요청했습니다. 국선변호인은 "사람이 참여하는 이 같은 방법으로 ShotSpotter의 출력 내용은 '어떠한 형사사건에 관련없는 데이터'가 '윌리엄스 씨가 관련된 살인사건의 중심이 되는 데이터'로 극적인 변화를 이루었다"고 주장했습니다. 결국 검찰은 ShotSpotter를 사용한 증거를 모두 철회했다고 합니다.

ShotSpotter는 미국의 100개 도시에서 이용되고 있으며, 연간 2만 1000건의 알림을 생성했습니다. 경찰의 요청에 따라 ShotSpotter의 애널리스트는 알고리즘에 감지된 데이터를 수동으로 분석하는 경우도 많기 때문에, 위와 같은 사례는 드물지 않다고 합니다.

그러나 ShotSpotter의 마케팅 및 제품전략담당 수석부사장인 샘 크레파 씨는 지금까지 190건의 재판에서 ShotSpotter의 기술과 직원의 증언이 인정되었다며 윌리엄스 씨의 재판에서 검찰 이 ShotSpotter를 사용한 증거를 철회한 것이 자사의 기술에 대한 신뢰가 없어졌다고는 말할 수 없다고 주장했습니다.

또 크레파 씨는 알고리즘이 아니라 분석가가 수동으로 좌표를 분석하는 경우가 있다고 인정하면서 "90% 이상은 기계에 의한 분석입니다. 극소수의 경우 위치의 정확성에 대한 검증하도록 고객이 위치분석을 요청합니다. 만약 오류가 있는 경우 조사를 지원하기 위해 고객에게 보다 정확한 위치를 제공한다"고 설명합니다.

ShotSpotter는 97%의 정확도를 가졌다고 주장하고 있습니다만, 이 숫자는 엔지니어에 의해 산출된 것이 아니라 영업마케팅팀에 의해 보장되어 있다는 점도 우려되는 부분입니다. 실제로 2021년 5월 맥아더사법센터가 ShotSpotter의 데이터분석을 실시한 결과, 지난 21개월 동안 시카고에서 발생한 알림의 89%가 총기범죄의 증거가 아니었고 86%가 어떤 범죄의 증거도 되지 않았다며 그 효과에 의구심을 나타냅니다.

또 ShotSpotter를 배치하고도 도시의 범죄는 감소하지 않는다는 연구결과도 늘어갔습니다. 남일리노이대학의 에드워즈빌캠퍼스의 연구는 '세인트루이스의 ShotSpotter는 총기 관련 범죄억제에 거의 영향을 주지 못했고 경찰의 응답시간의 일관된 단축없이 실질적인 결과를 만들어내는 데 도움이 되지 않았다'라고 기록했습니다. 실제로 '허위 경보가 많아 투자수익이 나쁘다고 ShotSpotter와의 계약을 해지하는 고객도 존재한다는 합니다.

시카고는 ShotSpotter의 주요 고객 중 하나이며, 2017년부터 2021년까지 9만 4313건의 총격알림이 울렸습니다. 이는 연간 평균 2만 958건에 해당합니다.

2021년 4월 시카고에서 양손을 든 13세의 아담 톨레도 군이 경찰에 사살되었습니다만, 이 사건에서도 ShotSpotter의 알림이 울렸습니다. 인종과 경제에 관한 활동센터의 아리쿠스 굿윈 씨는 "이런 도구는 더 많은 경찰을 흑인이나 라틴계가 사는 지역에 출동하도록 합니다.ShotSpotter의 알림은 흑인이나 라틴계 사람들을 경찰관과 관련된 위험에 노출시킵니다. 이것이 아담 톨레도 군의 몸에 일어난 것"이라고 주장합니다.

실제로 뉴스미디어 Motherboard가 입수한 자료에는 시카고에서의 총기폭력은 거리에서 일어나고 있음에도 불구하고 ShotSpotter의 센서가 흑인과 라틴계가 사는 지역에만 배치되어 있는 것으로 나타났고 도시의 북부와 북서부 등 백인이 많이 사는 지역에는 센서가 없었다고 합니다.

사건이나 범죄 등 위험한 사태가 발생할 때 경고를 보내주는 방범 앱 'Citizen'은 SNS플랫폼의 형태로 운영되고 있으며, 사용자가 '우연히 발생한 사건의 정보를 게시하여 주변 사람들에게 그것을 알리고 있는 것처럼 보입니다. 그러나 실제로는 거리를 돌아다니며 사고나 범죄의 모습을 라이브 스트리밍하는 사람을 Citizen이 일당 200달러(약 22만 원) 정도에 고용하고 있다고 보도되고 있습니다.

Citizen pays New Yorkers $25 an hour to livestream crime scenes
https://nypost.com/2021/07/25/citizen-pays-new-yorkers-25-an-hour-to-livestream-crime-scenes/

Citizen is now paying New Yorkers to livestream crimes
https://www.inputmag.com/culture/citizen-is-now-paying-new-yorkers-to-livestream-crimes

Citizen은 App Store와 Google Play에서 다운로드 가능하고 2020년에 미국에서 차별반대 시위가 증가함에 따라 인기를 끌었습니다. 현재 미국의 30개 도시에 700만 명 정도의 사용자가 있는 것으로 알려져 있습니다.

앱이 경고에 이용하는 정보는 우연히 위험한 상황에 조우한 자발적 일반인에 의해 보고되는 것으로 보이지만, 구인사이트룰 통한 모집으로 비상사태를 쫓아 거리를 돌아다니는 '필드팀 멤버'가 있는지 사실이 발각되었습니다. 뉴욕포스트에 따르면 뉴욕에서 활동하는 필드팀의 멤버는 1일 8시간 교대에 일당 200달러였고 로스앤젤레스의 멤버는 1일 10시간 교대에 일당 250달러(약 28만 원)에 활동한다는 것.

예를 들어 '@cgutter_'라는 계정으로 앱에 등록되어 있는 Chris 씨는 뉴욕에서 활동하는 필드멤버 중 한 명. Chris 씨는 뉴욕에서 일어난 버스 사고 · 총격 등의 현장을 6군데 돌어다닌 날도 있다고 합니다. Chris 씨가 지금까지 제공한 동영상의 갯수는 1600개로 총 조회 수는 152만 회에 달합니다.

Citizen은 Chris 씨가 필드멤버임을 인정합니다. 그러나 Citizen 앱내에서 Chris 씨가 필드멤버인 것을 나타내는 플래그가 붙거나 하지는 않습니다. Citizen 대변인은 필드멤버의 존재는 비밀이 아니라며 "Citizen은 앱이 사용 가능한 일부 도시에 팀을 배치하여 플랫폼의 동작을 시연하는 동시에 사건이 발생했을 시의 실시간 책임있는 방영방법을 모델링하고 있다"고 설명했습니다.

또 Citizen은 자사의 웹사이트에 필드멤버 구인을 하고 있지 않습니다. 그러나 구인사이트 'JournalismJobs.com'에서 '사용자 생성 콘텐츠를 다루는 기술기업'이 익명으로 필드팀 멤버를 모집하고 있던 것 같습니다. 이 모집은 이미 삭제되어 있지만 업무내용의 설명에는 '휴대전화로 앱에 직접 라이브 스트리밍하여 당신이 본 것을 보고합니다. 목격자나 경찰서 또는 기타 당사자가 있는 경우에는 당신은 앱의 시청자를 위해 솔선해서 인터뷰해야 합니다'라고 적혀있습니다.

인터넷에 있는 컴퓨터를 식별하고 관리하는 이름이 도메인입니다. 웹사이트를 개설할 때 이 도메인을 취득하는 것이 매우 중요한데, 일반적으로 도메인은 무료가 아닌 유료로 제공되고 있습니다. 그런 도메인을 무료로 제공한다고 선전하던 서비스가 실은 사기였다고 합니다.

HackermonDev - Freenom, the free domains website, is a scam.
https://daniel.is-a.dev/blog/freenom-the-free-domains-website-is-a-scam-3

Freenom, the free domains website, is a scam | Hacker News
https://news.ycombinator.com/item?id=27951785

문제가 된 도메인 등록기관은 'Freenom'입니다. 일반적으로 도메인 이름은 싼 것은 몇십 원이고 비싼 것은 수백만 원에 구입 가능인데, Freenom는 '무료 도메인을 얻을 수 있다'는 서비스를 판매하고 있었습니다.

그러나 Freenom을 고발한 개발자 Hackermon 씨는 "나는 최근 Freenom 서비스 전체가 기본적으로 사기이며, 취득한 도메인 어느 것도 소유하지 않은 것을 알았다"며 개발자들에게 경종을 울리고 있습니다.

Hackermon 씨에 의하면 도메인을 취득하고 당분간은 문제없이 사용할 수 있었다고 합니다만, 그 도메인의 웹 트래픽이 늘어나자 통지없이 갑자기 도메인의 사용이 중지되었고 매물로 나와버렸다는 것. 도메인을 다시 활성화시키려면 돈을 내고 도메인을 다시 구입하는 수밖에 없었다고 합니다. 웹사이트 관리자는 도메인이 정지되면 자신의 사이트에 대한 액세스가 제한되어 버리기 때문에 마지 못해 도메인을 다시 구입해야 할 처지가 됩니다.

이 같은 보고는 기업 및 서비스 리뷰사이트 'Trustpilot'에 모이고 있습니다. 현재 리뷰 수 93건에 5단계 평가 중 최악인 'Bad'에 85%의 표가 모여 있습니다.

Freenom Reviews | Read Customer Service Reviews of freenom.com
https://www.trustpilot.com/review/freenom.com

리뷰를 살펴보면 '도메인을 도난당했다'나 '웹사이트가 표시되지 않는다. 도메인 등록기관으로는 최악이다', '이유 없이 사람을 추방하고 메일이나 고객지원에도 응답하지 않는다 '등 Freenom에서 도메인 사용이 중지되었다는 보고가 잇따르고 있습니다.

소셜 뉴스사이트 Hacker News에는 '나도 Freenom에서 얻은 무료 도메인을 사용하고 있었습니다만, 이미 도메인은 잠겼고 복구에도 실패했다'라는 보고와 '웹사이트가 트래픽을 획득하기 시작하면 도메인의 사용을 중지하고 매각해버립니다. 요금을 지불하지 않으면 도메인을 되찾을 수 없다는 비즈니스 모델은 이미 YouTube에도 도입되고 있습니다. 처음에는 광고가 없었는데, 인기가 모이자 광고를 나오게 되었다'라는 의견도 게시되어 있습니다.

소비자의 기대에 부응하기 위해 휴대전화를 비롯한 각종 디바이스는 얇고 작게 그리고 배터리가 오래가도록 진화했다. 하지만 소형화를 실현시킨 리튬이온 배터리에는 다양한 위험이 도사리고 있다.

리튬이온 배터리가 뉴스의 헤드라인을 장식하고 있다. 최근에는 비행기에서 헤드폰이 폭발한 사건이 주목을 받고 있다. 그 외에도 삼성 'Glaxy Note 7'의 두 차례에 걸친 리콜이나 호버보드의 배터리에 관한 심각한 문제가 보도되고 있다.

리튬이온 배터리 자체가 위험한 것이라고 인식해두는 것이 좋다. 배터리 내부는 섬세하고 이상발열로 이어져 쉽게 발화될 수 있다. 산소에 접하는 것만으로도 실제 발화하고 내부의 액체는 사람의 피부를 까맣게 타게 할 수 있는 위험한 화합물도 섞여 있다.

성숙하고도 불안정한 기술

그럼 왜 그런 것을 사용하는 것일까? 그 이유는 리튬이온 배터리의 에너지효율이 엄청나게 높기 때문이다. 기업이 방대한 에너지를 작은 패키지 안에 넣음으로써 스마트폰과 노트북도 하루종일 사용할 수 있게 되었다.

처음 상용화된 충전식 리튬이온 배터리는 약 25년 전에 소니가 핸디캠에 사용한 것이라고 한다. 현재는 전세계에 몇십 개의 배터리 공급업체가 존재한다. 리튬이온 전지는 매우 성숙한 기술인 것이다.

그러나 다른 많은 성숙한 기술과는 달리 그 불안정성은 증가하고 있다. 사람들이 용량이 더 크고 더 슬림한 패키지에 더 저렴한 배터리를 요구하고 있기 때문이다.

리튬이온 배터리가 무의식적인 스포트라이트를 받게 된 요인은 많지만 그 중 가장 일반적인 5가지를 살펴보자.

◆ 이유 1 : 제조상의 결함
단순하게 생각하면 폭발한 모든 배터리는 제조방법에 뭔가 문제가 있는 것 같다. 그러나 삼성 'Galaxy Note 7'의 사건 이 보여주는 것처럼 특정 문제를 파악하려고 시도하는 것은 그리 쉬운 일이 아니다.

삼성 자사의 배터리를 탑재한 스마트폰에 관한 최초의 리콜에서는 배터리를 보호하는 케이스와 내부의 전극 사이에 충분한 공간이 없었다는 것을 알 수 있었다. 압박을 받은 결과 일부 배터리의 전극이 휘어져 쇼트를 일으킨 것이다.

문제의 휴대전화가 리콜되었으나 타사의 '안전한' 배터리를 탑재한 대체 디바이스에서도 다른 문제가 발생한 것으로 보아 전혀 다른 원인으로 인한 것이라고 생각된다.

◆ 이유 2 : 설계상의 미비
최근 디바이스의 대부분은 최대한 얇고, 가볍고, 스마트하게 되도록 설계되어 있다. 특히 작은 본체에 대용량 배터리를 탑재한 것이라면 튼튼하지 않으면 큰 피해가 초래될 수 있다. 배터리 주변에서 발생한 물리적 압력은 전극 및 세퍼레이터에 타격을 주고 단전을 초래할지도 모른다.

또 환기와 온도관리가 불충분하면 배터리 내부의 가연성 전해질의 발열을 일으킬 수 있다. 일단 그것이 지나치게 뜨거워지면 화학반응이 더욱 활발해져 발열을 거세질지도 모른다. 열폭주라는 상황은 종종 폭발 또는 발화라는 결과를 초래한다. 그리고 일단 산소에 닿으면 더 큰 폭발이 일어날 것이다.

◆ 이유 3 : 사용자가 준 데미지
디바이스가 제대로 설계되어 있었더라도 떨어뜨리거나 장시간 사용하면 불안정한 전원에게 데미지를 줄 수 있다. 당신의 배터리가 손상을 받았는지 여부를 알 수 있는 최선의 방법은 배터리가 부풀어 올랐는지를 보는 것이다. 그것은 화학반응으로 인해 가스가 생성되었다는 증거이다.

그 팽창 자체가 커버에 압박되어 파열이나 화재로 이어질 가능성도 있다. 불행히도 현재 대부분의 휴대폰은 내부에 배터리가 봉인되어 있어 알아보기 위해 분해하면 보증대상에서 제외된다. 만약 휴대전화의 외부케이스가 벌어지고 비정상적으로 뜨거운 경우에는 조심스럽게 다루고 점검받는 것이 최선책이다.

◆ 이유 4 : 충전기로 인한 문제
휴대전화를 집에 두고 가고 싶다면 저렴한 무상표의 충전케이블을 사용하기 전에 잘 생각하는 편이 좋다. 이러한 케이블과 전원어댑터가 싼 데는 이유가 있다. 있을 수 없는 정도의 낮은 가격을 실현하기 위해 제조업체는 종종 제품의 절연체를 줄이고 안전에 관한 법률을 회피하며 전원관리 기능을 생략하고 있다. 이런 제품은 감전사와 충전기 폭발, 큰 화재로 이어질 수 있다.

◆ 이유 5 : 업계의 압력과 시장경쟁
만약 기업이 배터리 1개마다 약간의 금액을 억제할 수 있으면 그것을 수천만, 수백억 규모의 이익으로 전환할 수 있다. 그 결과 많은 리튬이온 배터리 제조업체가 배터리의 가격을 낮추기 위해 가장 손쉬운 방법을 취한다. 절연체 및 품질관리 비용을 줄이는 것이다. 그 소재는 이미 얇은 세퍼레이터에 손상을 줄 수 있는 결함이 있을지도 모른다.

그것들이 호버보드 화재의 주요 원인이었을 가능성이 높다. 시판된 최초의 모델은 고가였지만, 인기의 높아짐에 따라 저렴하고 내용물이 싸구려인 복제품이 만들어졌다. 크라우드펀딩과 저렴한 부품은 가전업계를 민주화했지만 비용의 감소는 종종 안전을 대가로 이루어진 경우가 많다.

출처 참조 번역
· Wikipedia
· リチウムイオンバッテリーが「爆発」する5つの理由
https://wired.jp/2017/04/01/dont-blame-batteries/

PC나 스마트폰에서 웹서비스에 로그인할 때 개인을 증명하는 방법으로 ID와 암호를 입력하는 방식이 일반적입니다. 그러나 단순한 문자열을 입력하는 기존의 암호방식은 유출되거나 무차별대입 공격으로 깨지는 등 보안위험이 높고, 최근에는 생체인증과 물리적 보안키 등 암호를 사용하지 않는 인증방식이 등장하고 있습니다. 그래도 암호는 꾸준히 광범위하게 사용되고 있습니다.

Why the password isn’t dead quite yet | Ars Technica
https://arstechnica.com/information-technology/2021/07/why-the-password-isnt-dead-quite-yet/

암호는 보안에 큰 우려가 되는 것은 틀림없습니다. 암호작성과 관리는 매우 번거로운 것이기 때문에 결과적으로 사용자는 암호를 반복적으로 사용하거나 쉽게 추측할 수 있는 것으로 하고 있습니다.

실제로 2020년에 가장 많이 사용된 비밀번호는 '123456'이었고 그 다음이 '123456789'인 것처럼 다른 사람들로부터 쉽게 예측되거나 무차별대입 공격으로 돌파되기 쉬운 비밀번호가 많이 사용되고 있는 것으로 드러났습니다.

Most common passwords of 2020 | NordPass
https://nordpass.com/most-common-passwords-list/

he worst passwords of 2020 show we are just as lazy about security as ever | ZDNet
https://www.zdnet.com/article/the-worst-passwords-of-2020-show-we-are-as-lazy-about-security-as-ever/

그래서 다른 사람들로부터 침해받지 않는 보안으로 얼굴 모양을 카메라로 인식하고 지문을 센서로 읽는 등 생체인증이 인기를 끌고 있습니다.

예를 들어 휴대전화의 잠금을 해제하는 방법은 기술의 진보로 얼굴과 지문을 스캔하는 생체인식이 일반화되었습니다. 이 생체인증은 로그인을 확인하기 위해 서버에 액세스할 필요없이 휴대전화 내부에서 처리됩니다. 또 Titan 보안키와 YubiKey 등 장치와는 별개의 물리적 보안토큰을 사용하여 암호없이 로그인할 수 있습니다. 이러한 물리적 토큰은 결국 거의 모든 PC나 스마트폰에서 사용할 수 있게 될 것으로 전망되고 있습니다.

2021년 6월 Microsoft에서 발표한 Windows 11은 생체인식 및 PIN을 사용하여 암호없는 로그인을 권장한다고 발표했습니다. 또 Google은 다단계 인증규격을 책정하는 FIDO Alliance를 견인하는 기업으로, 온라인 인증의 패스워드레스화에 적극적으로 임하고 있습니다. Apple도 iOS 15와 macOS Monterey에서 암호를 사용하지 않고 Face ID와 Touch ID로 계정인증을 하는 '패스키'를 iCloud 키체인에 통합한다고 발표했습니다.

Move beyond passwords - WWDC 2021 - Videos - Apple Developer
https://developer.apple.com/videos/play/wwdc2021/10106/

Connecting to a Service with Passkeys | Apple Developer Documentation
https://developer.apple.com/documentation/authenticationservices/public-private_key_authentication

업계 전체가 암호를 없애려고 노력하고 있습니다만 암호를 완전히 제거하기 위해서는 2가지 주요 과제가 남아있다고 할 수 있습니다.

하나는 '암호인증 방식이 너무 세계적으로 사용되고 있다'는 것. FIDO Alliance의 전무이사인 앤드류 시키아 씨는 "사용자는 모두 먼저 반드시 암호를 설정합니다. 이것은 이미 학습된 행동입니다. 우리가 비밀번호라는 진정으로 빈약한 기반에 의존하고 있는 것이 문제입니다. 우리는 그 종속성을 가장 먼저 끝내버리지 않으면 안 된다"고 주장합니다.

FIDO Alliance은 패스워드레스의 인증표준을 추진하기 위해 패스워드레스 규격을 채택하고 있는 조직에게 설문을 요청해 매년 사용자경험을 조사하고 이를 바탕으로 사용자경험 지침을 발표했습니다. 시키아 씨는 '''제도나 시스템을 만들면, 사람은 따라온다'는 것으로는 반드시 충분하지 않다"고 지적합니다.

두 번째 과제는 '암호없는 인증규격은 새로운 장치만 지원한다'는 점입니다. 세계에는 얼굴인식과 지문인식 등을 사용한 패스워드 없는 인증을 지원하지 않는 오래된 스마트폰과 피쳐폰을 사용하는 사람은 많이 존재하고 있으며, FIDO Alliance가 규격의 표준제정을 추진하고 있지만 하드웨어가 따라오지 못하는 것이 현실입니다.

패스워드레스의 도입이 확산하여도 암호방식의 전환을 추진하지 않으면 안된다는 현실적인 문제도 남아 있습니다. 암호관리도구 1Password는 iOS버전과 macOS버전에서 마스터 패스워드 대신 TouchID와 FaceID를 도입하고 있습니다만, 어디까지나 비밀번호를 관리하기 위한 마스터 패스워드를 패스워드레스화하고 있을뿐 암호 자체를 FaceID와 TouchID로 대체한 것은 아닙니다.

1Password의 수석제품관리자인 아크세이 바르가바 씨는 "암호의 대안에 대해서는 이전부터 우려가 있었습니다. 예를 들어 생체인증은 사용자 고유의 신체적 특징을 사용하는 것입니다만, 지문이나 얼굴 데이터가 유출되었을 경우 암호는 그때마다 변경하는 것이 가능하지만, 얼굴이나 지문은 변경할 수 없다"고 말합니다.

한편, Google의 신원 및 보안플랫폼 제품담당 수석이사인 마크 릿샤 씨는 "패스워드레스를 지원 모든 구성 요소는 메인스트림으로 전환할 수 있는 성숙도에 도달했습니다. 강력한 플랫폼 지원을 갖추어 모든 주요 공급자에서 작동하며 사용자에게 익숙한 것이 되었습니다. 그동안 우리 업계는 암호를 없애는 방법도 몰랐으나, 지금은 시간이 걸리지만 방법은 알고 있다"고 설명합니다.

인터넷 검색엔진 'DuckDuckGo'가 출시한 웹브라우저 'DuckDuckGo Privacy Browser'에 메일서비스를 바꾸지 않고도 메일의 개인정보를 보호할 수 있는 '메일보호기능의 베타버전이 추가되었습니다.

Introducing Email Protection: The easy way to block email trackers and hide your address
https://www.spreadprivacy.com/introducing-email-protection-beta/

인터넷에서 주고받는 메일의 70%에 트래커가 포함되어 있다는 논문과 같이 메일은 많은 사람이 생각하는 것보다 개인정보를 침해될 위험을 많이 내포하고 있습니다.

메일에 포함되어 있는 트래커는 사용자의 단말기 정보와 위치정보 등 다양한 정보를 수집하고 타겟광고를 목적으로 프로필을 만듭니다. 메일을 열람 후 그 메일의 내용과 관련된 광고가 표시되는데 이것이 바로 메일트래커의 영향입니다. 메일트래커가 수집하는 정보는 사용자의 동의없이 직접 제삼자에게 전송되기 때문에 큰 문제라고 할 수 있습니다.

이러한 문제를 해결하기 위해 DuckDuckGo는 메일보호기능의 베타버전을 발표했습니다. 이것은 무료로 사용할 수 있는 메일전송서비스와 같은 것으로, 메일에 포함된 트래커를 삭제하고 메일서비스나 응용프로그램을 변경하지 않고도 개인의 메일주소의 개인정보를 보호합니다.

메일보호기능의 일환으로 사용자는 무료로 사용할 수 있는 개인용 '@duck.com' 메일주소를 얻을 수 있습니다. 이 메일주소로 발송된 메일은 메일트래커가 삭제된 상태에서 받은 편지함으로 전송됩니다. DuckDuckGo 앱과 확장기능을 사용하여 웹에서 볼 때에도 개인용 '@duck.com' 주소에 손쉽게 액세스할 수 있습니다.

또 사용자의 개인정보를 보호하기 위해 이른바 '일회성 메일주소'를 언제든지 쉽게 생성할 수 있습니다. 스팸과 메일주소를 공유할 가능성이 있다고 의심되는 웹사이트는 이 메일주소를 생성하여 사용자가 개인정보를 자체적으로 보호할 수 있다는 것. 또 메일주소는 쉽게 비활성화할 수 있어서 스팸메일을 받아 생기는 스트레스도 없어집니다.

DuckDuckGo는 메일트래커를 삭제하기 위해 메일을 전송하지만 메일의 내용을 DuckDuckGo가 저장하진 않습니다. 누구에게 보낸 것인지 등의 정보도 DuckDuckGo 측이 저장하지 않습니다.

메일보호기능에서 DuckDuckGo가 어떻게 정보를 처리하는지에 대해서는 아래의 페이지에 요약되어 있습니다.

DuckDuckGo Email | Privacy Guarantees
https://duckduckgo.com/email/privacy-guarantees

DuckDuckGo의 메일보호기능의 베타버전에 액세스하려면 개인대기자 명단에 등록할 필요가 있으므로 iOS 또는 Android 버전 DuckDuckGo 앱에서 설정 → 'Email Protection'→ 'Join the Private Waitlist'의 순으로 적용해야 할 필요가 있습니다.

이스라엘의 보안기업 NSO Group이 개발한 스마트폰 모니터링 소프트웨어 'Pegasus'가 20개국에서 180명이 넘는 언론인을 감시하기 위해 사용되고 있었다고 보도되고 있는데, 그 상세한 실체가 서서히 드러나고 있습니다.

Apple iPhones were successfully hacked by NSO’s Pegasus surveillance tool - The Washington Post
https://www.washingtonpost.com/technology/2021/07/19/apple-iphone-nso/

Zero-click iMessage exploit was used to spy on journalists
https://www.xda-developers.com/zero-click-imessage-exploit-was-used-to-spy-on-journalists/

Apple iPhones can be hacked even if the user never clicks a link, Amnesty International says
https://www.cnbc.com/2021/07/19/apple-iphones-can-be-hacked-even-if-the-user-never-clicks-a-link-amnesty-international-says.html

'Pegasus'는 iOS 및 Android를 탑재한 스마트폰을 감시하는 스파이웨어인데, iOS의 경우 Apple 순정 메시지앱인 iMessage에 존재하는 제로데이 취약점을 이용하는 방식으로 iPhone에 침입합니다.

10개국 17개 언론사에서 80명 이상의 언론인이 참여하는 글로벌 컨소시엄의 'Pegasus Project'가 독자적으로 조사한 내용에 따르면, 'Pegasus'는 iOS 14.6가 탑재된 iPhone 12 Pro Max나 iOS 14.4가 탑재된 iPhone SE(2세대), iOS 14.0.1가 탑재된 iPhone SE(2세대) 등 iOS 14 이후의 다양한 버전에서 발견되고 있다고 합니다.

2020년의 시점에서는 스파이웨어 'Pegasus'는 iOS 13을 탑재한 iPhone을 표적으로 삼고 있었습니다. 2020년 시점에서의 'Pegasus'도 최신 버전처럼 iMessage의 취약점을 이용하고 있었는데, 당시는 제로클릭 취약성을 이용하고 있었던 것으로 밝혀졌습니다. 즉 iOS 13가 탑재된 단말기를 대상으로 설계된 'Pegasus'와 iOS 14가 탑재된 단말기를 대상으로 설계된 'Pegasus'는 기술적으로는 크게 다른 것입니다.

또 iOS 13가 탑재된 단말기를 대상으로 설계된 'Pegasus'는 2020년 12월 즈움에 보도되었습니다.

The Great iPwn: Journalists Hacked with Suspected NSO Group iMessage 'Zero-Click' Exploit - The Citizen Lab
https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/

Report: gov't spyware targets phones of Al-Jazeera reporters
https://apnews.com/article/technology-malware-saudi-arabia-united-arab-emirates-dubai-c6cb6fc304aff092a88dd87b5c19e4fe

'Pegasus'가 이용하는 취약점을 수정해야 갈 수밖에 없게 된 이유로는, iOS 14에서는 'BlastDoor'라는 보안대책이 도입되었기 때문입니다. 'BlastDoor'는 앱을 효과적으로 분석하고 신뢰할 수 없는 데이터를 검출하며 앱간의 상호작용을 방지하는 보안 샌드박스입니다. 'BlastDoor'는 iOS 13 기기를 대상으로 하는 'Pegasus'가 악용했던 제로클릭 공격을 막는 데 성공했기 때문에 개발사인 NSO Group은 다른 취약점을 이용하여 iOS 14 기기를 대상으로 하는 'Pegasus'를 만들지 않을 수 없게 된 것입니다.

워싱턴포스트는 모로코에 수감된 정치운동가의 아내인 클로드 만긴 씨의 소유인 iPhone 11가 iOS 14가 탑재된 단말기를 대상으로 설계된 'Pegasus'에 감염된 것을 발견하였고 그것이 어떤 식으로 기능하고 있는지를 독자적으로 조사했습니다. 단말기 조사에서 데이터가 도난되었는지 여부는 확인할 수 없었지만 'Pegasus'는 메일 · 통화기록 · 소셜미디어 게시물 · 암호 · 연락처 · 사진 · 동영상 · 녹음파일 검색기록 등 데이터를 수집하고 있는 것으로 밝혀졌습니다. 또 카메라와 마이크를 마음대로 활성화하거나 통화 및 음성메일의 내용을 감청하거나 위치정보를 수집할 수 있다는 것.

만긴 씨의 경우 'Linakeller2203'이라는 Gmail 사용자로부터 보내져 온 메일을 통해 'Pegasus'에 감염된 것으로 알려졌습니다. 만긴 씨의 iPhone 11이 'Pegasus'에 감염된 것은 2020년 10월경으로 이 시기부터 2021년 6월 사이에 몇 번이나 단말기를 해킹당했다고 보도되었습니다.

감염된 iOS 단말기에서 'Pegasus'를 일시적으로 제거하려면 iPhone을 다시 시작하는 것만으로 OK. 보안연구소인 Citizen Lab의 Bill Marczak 씨는 "iPhone을 다시 시작하면 제로클릭 공격이 발생할 때까지 'Pegasus'가 활성화되지 않는다"고 트위터로 전했습니다. 그러나 'Pegasus'의 감지는 매우 어려워지고 있다고도 보고되고 있습니다.

'Pegasus'가 iOS 단말기를 모니터링하는 데 사용되고 있다는 보도에 대해 Apple에서 보안엔지니어링 및 아키텍처 담당이사인 Ivan Krstić 씨는 "Apple은 언론인과 인권운동가, 세상을 더 좋게 하려고 활동하는 모든 사람에 대한 사이버공격을 명확하게 비난합니다. Apple은 10년 이상 보안을 혁신해가며 업계를 선도해 왔습니다. 그 결과, 보안연구자들은 iPhone이 시장에서 가장 안전한 소비자 모바일 단말기라는데 동의합니다. 보도되고 있는 사이버공격은 매우 정교한 것으로, 개발에 수십억 원의 비용이 투입된 것으로 보이고, 많은 경우 특정 개인을 대상으로 하는 데 사용되는 것입니다. 즉, 대다수의 사용자에게는 위협이 아니라는 것입니다. 그러나 우리는 모든 사용자를 보호하기 위해 끊임없는 노력을 계속하고 있으며 사용자의 단말기와 데이터를 보호하기 위한 시책을 새롭게 추가하고 있다"라는 성명을 발표했습니다.

Apple은 2021년 7월 20일에 iOS 14.7을 출시하며 동시에 보안 업데이트도 발표했습니다만, 이 업데이트가 'Pegasus'에 관련된 것인지 여부는 현시점에서는 알 수 없습니다.

'Pegasus'의 개발원인 NSO Group은 지금까지 기자와 변호사, 활동가, 검사, 외교관, 교사, 판사, 학자, 정치인 등을 감시해 온 것으로 밝혀졌습니다. 새롭게 멕시코의 안드레스 마누엘 로페스 오브라도르 대통령과 관계자 50명을 감시하고 있던 점이나 인도의 정치인인 나렌드라 모디 총리의 정치적 라이벌로 알려진 라훌 간디 씨 등도 감시대상인 것으로 드러났습니다.

또 미국정부의 글로벌 감시실태를 폭로한 전 NSA 직원 에드워드 스노든 씨는 'Pegasus'와 같은 스파이웨어에 대해 "이런 종류의 기술거래를 금지하기 위해 움직이지 않으면 모니터링 표적이 더욱 증가해 수만 명 규모를 넘어 수천만이 대상이 될 것입니다. 이것은 우리의 상상보다 훨씬 일찍 일어날 것"이라며 한시라도 빨리 스파이웨어의 확산을 막을 수 있는 대책을 강구해야 한다고 경고합니다.

스마트폰 모니터링 소프트웨어로써 이스라엘의 보안기업 NSO Group이 개발한 'Pegasus(페가수스)'가 적어도 180명 이상의 언론인 감시에 이용되고 있었다는 의혹이 있습니다. 감시대상으로 거론된 전화번호의 수는 5만 건에 이르는데, NSO Gruop은 "그 보고서에는 확실한 근거가 없다"며 내용을 부인하고 있습니다.

Pegasus: The new global weapon for silencing journalists • Forbidden Stories
https://forbiddenstories.org/pegasus-the-new-global-weapon-for-silencing-journalists/

Forensic Methodology Report: How to catch NSO Group’s Pegasus | Amnesty International
https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/

Private spy software sold by NSO Group found on cellphones worldwide - Washington Post
https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/

이 'Pegasus'에 대한 보고서는 10개국 17개 언론사에서 80명 이상의 언론인이 참여하는 글로벌 컨소시엄 'Pegasus Project'가 발표한 것입니다. 프로젝트는 국제인권 NGO인 국제앰네스티 보안연구소의 기술지원을 받았고 언론인의 활동을 돕는 NPO인 Forbidden Storie가 정리했습니다.

보고서에 따르면 조사팀은 NSO Group의 고객이 감시의 목적으로 표적 삼은 5만 건 이상의 전화번호 목록을 분석했습니다. 그 결과 최소한 10건의 고객에 의해 20개국 180명 이상의 언론인의 전화번호가 감시되고 있었던 것으로 밝혀졌습니다.

Forbidden Stories에 따르면 해당 국가는 멕시코, 영국, 프랑스, 스페인, 헝가리, 터키, 레바논, 이집트, 모로코, 알제리, 토고, 우간다, 르완다, 콩고민주공화국, 카자흐스탄, 아제르바이잔, 바레인, 쿠웨이트, 아랍에미리트 연방, 인도입니다. 감시대상은 이전부터 지적된 언론인과 인권활동가뿐만 아니라 정적, 사업가, 심지어 국가원수조차도 포함되어 있었다고 합니다.

감시대상이 되고 있는 언론인은 이미 협박을 받았거나 체포된 사례가 있는데, 이러한 박해를 피해 국외로 탈출했지만 여전히 감시가 계속되었다는 사례도 보고되었습니다. 2018년 10월 터키의 사우디 총영사관을 방문한 이후 행방불명이 되었고 이 후 영사관에서 살해된 것으로 밝혀진 언론인 자말 카슈끄지 씨의 사건처럼 생명을 위협받을 수도 있다고 Forbidden Stories는 지적합니다.

언론인보호위원회의 프로그램 디렉터인 카를로스 마르티네스 데라 세르나 씨는 Forbidden Stories에 대해 "언론인에 대한 감시는 매우 강한 위축효과를 가져옵니다. 이것은 언론인이 사명을 위해 적대적 환경에서 일하고 있는 상황뿐만이 아니라서 미국이나 서유럽 외에도 모두가 심각하게 받아들여야 하는 매우 중요한 문제"라고 말합니다.

'Pegasus'를 개발한 NSO Group은 Forbidden Stories와 미디어 파트너에 대해 "계약 및 국가 안보상의 이유로 우리 정부고객의 신원을 확인하거나 부정할 수 없다"고 답변했습니다. 그리고 Pegasus Project에 의한 보고서는 잘못된 가정과 확증없는 이론에 근거한 것이며, 조사그룹이 분석한 5만 건의 전화번호 데이터에 대해서는 "Pegasus를 사용하는 정부가 표적으로 한 전화번호 리스트일 리 없다"고 부인했습니다. Pegasus의 용도에 대해 "고객의 구체적인 첩보활동은 파악하고 있지 않지만 이런 종류의 시스템은 주로 감시 이외의 목적으로 사용되고 있다는 명확한 결론을 내렸다"고 답변했습니다.

2018년에 등장한 여러 사람이 동시에 맨눈으로 입체감을 느낄 수 있다는 3차원 디스플레이 'Looking Glass' 8K(32인치) 2세대가 2021년 여름부터 출하룰 위한 예약주문을 접수하고 있습니다.

Looking Glass Factory Looking Glass Factory · The World's Leading Holographic Display
https://lookingglassfactory.com/8k

'Looking Glass'는 특별한 안경 등을 착용하지 않고도 여러 사람이 동시에 맨눈으로 입체 화상 · 영상을 볼 수 있는 렌티큘러 렌즈방식을 이용한 디스플레이입니다. 2018년 크라우드 펀딩을 실시했을 때는 5만 달러(당시 환율로 약 5400만 원) 목표에 84만 달러(당시 환율로 약 9억 1000만 원)가 모여, 8.9인치 모델과 15.6인치 모델이 출시되었습니다.

The Looking Glass - A Holographic Display for 3D Creators
https://lookingglassfactory.com/

2020년에는 세계 최대 크기의 3D 입체 디스플레이로 'Looking Glass 8K'의 출하를 시작했습니다.

Available Now : The Looking Glass 8K Immersive Display - YouTube
https://www.youtube.com/watch?v=Fo3kqFofeck

'Looking Glass 8K Gen2'는 1세대의 중량인 28.5kg에서 15.5kg로 크게 가벼워졌고, 반사를 억제하여 '여러 사람에게 입체가 보인다'는 특징이 강화되었다고 합니다.

공식사이트에서 '고급 · 베타'가 2021년 8월에 출시 예정임이 안내되어 있습니다. 극소수의 수량 한정으로 가격은 2만 5000달러(약 2750만 원)이고 미국의 경우 배송료가 무료입니다.

Looking Glass 8K Gen2 Advance Beta Display - Looking Glass Factory
https://lookingglassfactory.com/product/8k-advance-beta

정식 버전은 2021년 10월 출하 예정입니다. 1만 7500달러가 1만 5000달러로 할인되고 4K(15.6인치) 모델의 2세대도 출하가 예정되어 있습니다.

Looking Glass 8K Gen2 - Looking Glass Factory
https://lookingglassfactory.com/product/8k

2021년 7월 17일에 개최되는 세계 이모티콘 데이를 겨냥해 Facebook이 개발한 메시징 애플리케이션 Facebook Messenger가 새로이 사운드 이모티콘 'Soundmojis'를 출시했습니다.

Introducing Soundmojis on Messenger for Emoji Day - About Facebook
https://about.fb.com/news/2021/07/introducing-soundmojis-on-messenger-for-emoji-day/

Emojis finally have a voice: Introducing Soundmojis on Messenger – Messenger News
https://messengernews.fb.com/2021/07/15/emojis-finally-have-a-voice-introducing-soundmojis-on-messenger/

Facebook Messenger for iOS debuts what we've all been waiting for: Soundmoji - 9to5Mac
https://9to5mac.com/2021/07/15/facebook-messenger-ios-soundmojis/

Soundmojis는 Sound(소리)와 Moji(문자)를 조합한 명칭대로 박수와 귀뚜라미의 울음소리, 드럼롤, 사악한 웃음 등의 짧은 사운드를 겸비한 이모티콘입니다.

SOUNDMOJIS AND GOATMOJIS IS NOW ON MESSENGER
https://youtu.be/iQBNYGb1_Vc

Soundmojis를 사용하려면 이모티콘 입력탭의 스피커형 아이콘을 누릅니다. 그러면 사용 가능한 Soundmojis의 목록이 표시됩니다. 경쾌한 소리를 내는 드럼롤이나 코미디 드라마의 녹음된 웃음 등 27종의 Soundmojis를 보낼 수 있습니다.

메시지창에 표시되면 해당 사운드를 재생합니다.

Facebook에 따르면, 향후 업데이트에서 Soundmojis의 종류를 확대해 나갈 예정입니다.

Amazon이 Facebook의 소형 위성인터넷 개발부문을 인수했다고 The Information이 보도했습니다. 그렇다면 Facebook은 소형 인공위성을 이용한 위성인터넷서비스 구축을 포기한 것이 됩니다.

Amazon Acquires Facebook’s Satellite Internet Group — The Information
https://www.theinformation.com/articles/amazon-acquires-facebooks-satellite-internet-group

Amazon bought Facebook’s satellite team to help build Starlink competitor | Ars Technica
https://arstechnica.com/information-technology/2021/07/amazon-bought-facebooks-satellite-team-to-help-build-its-starlink-competitor/

Facebook’s satellite internet team joins Amazon - The Verge
https://www.theverge.com/2021/7/14/22576788/amazon-acquires-facebook-satellite-team-project-kuiper

보도에 따르면, Amazon은 수천 기의 위성을 발사하는 SpaceX의 Starlink 같은 위성인터넷을 구축하기 위해 Facebook의 12명 이상이 소속되어 있던 무선인터넷 부문을 인수했습니다. LinkedIn 페이지에 따르면, Amazon이 이 거래로 확보한 인재는 항공시스템과 무선네트워크의 개발에 종사해 온 광학 · 기계 · 소프트웨어 엔지니어라고 합니다. 그 중 1명은 페이스북의 위성인터넷 프로젝트인 'Project Kuiper'의 디렉터 진 바인스 씨입니다. 보도에 따르면 바인스 씨는 2021년 4월에 Amazon으로 옮긴 것으로 알려져 있습니다.

Amazon’s Project Kuiper aims to offer satellite broadband access – GeekWire
https://www.geekwire.com/2019/amazon-project-kuiper-broadband-satellite/

Amazon will launch thousands of satellites to provide internet around the world - The Verge
https://www.theverge.com/2019/4/4/18295310/amazon-project-kuiper-satellite-internet-low-earth-orbit-facebook-spacex-starlink

Facebook은 미국에서 방송통신사업을 규제 · 감독하는 연방통신위원회(FCC)에 2018년에 저궤도 위성 발사 허가를 요청했습니다. 하지만 Facebook은 위성인터넷의 구축을 어디까지나 '작은 연구개발 실험'이라고 부르고 있었으며, 이 시점에서 인터넷서비스 제공을 약속하지 않았습니다.

그리고 현지 시각 7월 15일 Facebook은 "위성인터넷을 구축하고 인터넷서비스 제공업체 및 이동통신사 또는 기술공급 업체가 되는 것은 우리의 계획에 없었습니다. 위성기술이 차세대 인터넷 인프라를 가능하게 한다는 것을 우리는 오랫동안 믿어왔습니다. 지속적인 노력의 일환으로 우리 팀은 광통신과 무선주파수 시스템 및 솔루션을 사용하여 위성통신을 향상시키는 새로운 방법의 설계 및 테스트에 초점을 맞추고 왔습니다. 이 팀이 달성해 온 성과를 정말 자랑스럽게 생각합니다. 그리고 이 팀은 Amazon에서 개발을 계속할 것"이라고 밝히며 사내 위성인터넷 개발팀이 Amazon에 인수된 사실을 인정했습니다.

Facebook의 위성인터넷 개발팀을 인수한 Amazon은 Project Kuiper에서 저궤도 위성발사를 계획하고 있지만, 경쟁 서비스인 SpaceX의 Starlink에 크게 뒤쳐지고 있습니다. Starlink는 이미 1500개 이상의 위성을 발사했고 1만 명 이상이 베타테스트에 참여하고 있습니다. 한편, Project Kuiper는 3236개의 저궤도 위성을 쏘아올릴 수 있는 승인을 FCC로부터 얻었으며, 이 프로젝트에 100억 달러(약 11조 원) 이상을 투자할 계획이 있다지만, 언제 위성을 발사하거나 서비스를 시작할 것인가에 대한 자세한 내용은 밝히지 않았습니다. Amazon에서는 Project Kuiper에 500명 이상의 직원이 종사하고 있는 것으로 보도되고 있습니다.

2023년의 인공위성 발사가 '예상 중 가장 빠른 발사 타이밍'이라고 외신 Ars Technica는 전합니다. 그러나 FCC의 규칙에 따라 Amazon은 2026년 7월 30일까지 1618기의 위성을 쏘아올릴 필요가 있습니다. 또 Amazon은 FCC에 대해 공개적으로 '첫 번째 578기의 위성을 발사한 후 인터넷서비스를 제공할 예정'이라고 통지했으므로 2023년부터 4년 동안 1600개 이상의 위성을 발사하여 위성인터넷 서비스를 시작하게 됩니다.

Ars Technica가 Amazon에 문의한 결과 "Facebook의 Connectivity팀에서 몇몇 직원을 맞이했고 Project Kuiper에 돌입하기 위해 2021년 초에 Amazon에 가입시켰다"라는 답변이 있었다고 합니다.

런던 경시청이 1억 8000만 파운드(약 2750억 원) 상당의 암호화 자산을 런던에 거주하는 39세의 여성에게서 압수한 사실을 2021년 7월 13일에 발표했습니다. 런던 경시청은 2021년 6월에도 동일 인물에게서 1억 1400만 파운드(1740억 원) 상당의 암호화 자산을 압수했었는데, 이번 압수로 총액은 약 4500억 원에 이를 것으로 보입니다.

Detectives break record in new cryptocurrency seizure worth nearly... - Metropolitan Police
https://news.met.police.uk/news/detectives-break-record-in-new-cryptocurrency-seizure-worth-nearly-ps180million-431112

Woman arrested for money laundering after seizure of £114 million... - Metropolitan Police
https://news.met.police.uk/news/woman-arrested-for-money-laundering-after-seizure-of-114-pounds-million-of-cryptocurrency-430289

Met police seize nearly £180m of bitcoin in money laundering investigation | Bitcoin | The Guardian
https://www.theguardian.com/technology/2021/jul/13/met-police-bitcoin-money-laundering-cryptocurrency

런던 경시청은 2021년 6월 24일에 런던에 거주하는 39세의 여성을 돈세탁 혐의로 체포했습니다. 이 체포 시점에는 문제의 여성이 1억 1400만 파운드 상당의 암호화 자산을 돈세탁하려고 시도하고 있었던 것이 조사과정에서 드러나 영국 사상 최고액의 암호화 자산 압수로 보도되었습니다. 그러나 새로이 문제의 여성에게서 추가로 1억 8000만 파운드의 암호화 자산이 압수되면서 암호화 자산의 최고액이 갱신되었습니다.

런던 경시청의 조 라이언 형사는 "우리는 1개월도 지나지 않아 다시 거액의 암호화 자산을 압류하는 데 성공했습니다. 우리의 조사는 복잡하고 광범위했으며, 이 돈세탁의 중심에 있는 인물에 초점을 맞추고 있습니다. 조사는 향후 몇 달 간 계속될 것"이라고 밝혔습니다.

런던 경시청의 그레이엄 맥널티 부책임자는 "현금은 여전히 범죄의 왕이지만, 디지털 플랫폼이 발전함에 따라 범죄조직이 돈세탁에 암호화 자산을 이용하는 사례가 늘고 있다"며 "암호화 자산은 수 년 전만해도 우리에게 미개척의 영역이었습니다. 그러나 현재는 고도의 훈련을 받은 암호화 자산 전문팀이 존재해 암호화 자산을 가진 범죄자를 앞질렀다"고 자신감을 드러내며 증가하는 암호화 자산을 이용한 범죄에 대응하고 있음을 어필합니다.

The Guardian에 따르면 압수된 암호화 자산은 비트코인으로, "2021년 7월 현재 비트코인의 가치는 2021년 4월경에 비해 2분의 1 이하로 감소해 압수된 암호화 자산은 3개월 전에 2배 이상의 가치가 있었을 가능성이 있다"고 추정합니다. 또한 기술 관련 미디어 Tom's Hardware는 "압수된 비트코인의 가치가 크게 오르고 내린다는 사실은 돈세탁 추적을 어렵게 한다"며 암호화 자산을 이용한 돈세탁 추적의 어려움을 지적합니다.

채팅툴 Discord가 SNS에 공격적인 게시물을 탐지하는 도구를 개발하는 'Sentropy'를 인수했다고 2021년 7월 14일에 발표했습니다. 동시에 Sentropy의 CEO인 존 레드 그레이브 씨가 Sentropy이 Discord에서 역할을 블로그에서 설명하고 있습니다.

Sentropy x Discord: A Safer Tomorrow | by Sentropy Technologies | Sentropy
https://medium.com/sentropy/sentropy-x-discord-1ed5c4269896

Sentropy는 SNS나 온라인 게시판 등 온라인 플랫폼의 운영자를 향해 비방이나 차별적인 발언을 자동으로 감지하여 적절한 조치를 실행하기 위한 도구를 제공하는 기업입니다. 2021년에는 공격적인 게시물을 감지하는 개인사용자를 위한 도구도 제공되기 시작하는 등 인터넷상의 공격적인 발언으로부터 사용자를 보호하는 활동을 하고 있습니다.

Sentropy Technologies
https://www.sentropy.com/

레드 그레이브 씨는 Discord에 의한 인수를 발표한 블로그 게시물에서 "Discord는 월간 1억 5000만 명의 사용자를 보유하고 있습니다. 앞으로도 급속한 성장을 할 Discord에는 사용자끼리를 연결하기 위한 안전하고 신뢰할 수 있는 방법이 필요합니다. Sentropy는 온라인 커뮤니티를 보호하기 위해 세계 최고 수준의 기술과 제품을 구축했습니다. Discord와 Sentropy는 안전한 플랫폼을 구축하기 위해 협력할 것"이라며 Discord 사용자를 공격적인 내용과 발언으로부터 보호하기 위한 기술개발에 돌입할 계획을 밝혔습니다.

또 레드 그레이브 씨는 자신의 Twitter 계정에서 "나는 온라인상의 증오를 유발하는 연설이나 공격적인 발언과의 싸움에 Sentropy와 Discord가 협력할 것으로 기대합니다. 나는 Discord의 제이슨 시트론 CEO와 스타니 슬라프 비지네흐스키 CTO와 미래에 대한 비전을 공유하고 있다"고 전했습니다.

시트론 CEO는 "신뢰 및 안전은 Discord에게 우선순위이며, Discord의 성장과 확대에 따라 신뢰 및 안전에 대한 투자도 확대해 나가고 있습니다. 우리는 Sentropy가 Discord에 참가를 기쁘게 생각한다"고 말했습니다.

Sentropy의 개인사용자를.위한 도구지원은 이미 종료했으며, 기업용 도구의 지원은 2021년 9월 30일에 종료할 예정입니다.

SNS 등으로 세간에 미치는 영향력이 큰 사람인 인플루언서는 자신의 강점을 살려 홍보활동 등으로 수익을 올리고 있습니다만, 그 영향력이 사기꾼 등의 표적이 될 가능성이 큽니다. 인플루언서에게 '협업하지 않겠습니까?'라고 쪽지를 보내는 계정을 2만 개 이상 운용하고 있는 것으로 보이는 패션브랜드 'Vincere'의 실태에 대해 소프트웨어 엔지니어링 전문가로서 국제연합과 미국의 디지털서비스 기관에 근무한 경력을 가진 마리안 베로티 씨가 설명합니다.

Who’s Running the Vincere Bot Network on Instagram? | by Marianne Bellotti | The Startup | Jul, 2021 | Medium
https://medium.com/swlh/whos-running-the-vincere-bot-network-on-instagram-a558be6c69db

Vincere는 T셔츠와 스웨터, 청바지, 선글라스 등 패션아이템을 다수 갖춘 스트리트웨어계의 패션브랜드입니다. 2021년 7월 12일 시점에서 Instagram의 팔로워 수는 14.9만 명으로 적어도 SNS에서 일정 이상의 성공을 거두고 있는 것르로 보입니다.

Vincere(@vincerewears) • Instagram 사진과 동영상
https://www.instagram.com/vincerewears/

그러나 베로티 씨의 조사에 따르면, 이 Vincere는 대규모 봇네트워크를 구축하고 있다는 것. 베로티 씨가 Vincere를 의심하게 된 계기는 Instagram에서 운용되고 있는 봇의 조사를 위해 만든 함정 계정에 Vincere로부터 'Collab? DM @vincerewears(협업하지 않겠습니까? @vincerewears으로 회신 바람)'이라는 쪽지가 도착했습니다.

이 함정 계정은 팔로우 중인 계정도 없었고 극소수의 팔로워에 게시물에 해시태그가 일체 없었기 때문에 '무엇을 통해 Vincere의 봇 여기를 알았는가'가 수수께끼였습니다. 이에 베로티 씨가 조사한 결과, Vincere가 2만 개 이상의 계정을 이용하여 인플루언서를 노리고 봇네트워크를 구축하고 있다는 의심이 강해졌다고 합니다.

Vincere는 '드랍쉽'이라는 판매형태를 취하는 브랜드입니다. 드랍쉽은 제품의 자사생산 · 자사보관 · 자사배송 등은 일절하지 않고 주문을 받은 후 제조 · 보관 · 출하를 중국의 전문업체가 전부 소화하는 판매형태입니다. 실제로 Vincere에서 99달러(약 11만 원)에 판매되고 있는 T셔츠는 중국의 알리바바그룹이 운영하는 온라인 소매서비스 AliExpress에서 16달러(약 1만 8000원)에 판매되고 있는 것으로 나타났습니다. 즉 Vincere는 차액 83달러를 이윤으로 벌고 있는 셈입니다.

Vincere가 Aliexpress에서 판매되고 있는 T셔츠를 5배 부풀려 판매해도 불법이 아닙니다. 그러나 베로티 씨에 따르면, 드랍쉽은 진입장벽이 낮아 업체간 경쟁이 심화되고 있으며, 업체가 약관상 금지된 봇광고 활동에 빠지는 케이스가 많아지고 있다고 합니다. 이러한 업체는 봇을 활용하여 '당신에게는 특별히 전 제품을 50% 할인합니다. 이곳에서 발행한 코드를 홍보해 주시고 팔로워가 쇼핑을 한 경우에는 일정 마진을 드립니다'라고 인플루언서에게 거래를 제안하거나 브랜드 앰배서더가 되도록 요청하고 있습니다.

이렇게 봇을 활용하고 있는 패션 브랜드 Vincere에 국한된 것이 아니고 이런 브랜드는 대부분의 경우 추적되지 않도록 주소를 은닉하는데, 사서함의 주소를 교묘하게 위장해 게재하고 있는 브랜드도 확인되었습니다. 이 사서함을 주소로 사용하는 Lasting Impact LLC라는 회사는 산하의 Urban Ice · Valerio · Brute Impact · Pink Pineapple · HypeAuthority라는 브랜드로 주소를 돌려쓰고 있는 것으로 밝혀졌습니다.

베로티 씨에 따르면, Vincere 이외의 브랜드가 운용하고 있는 것으로 의심되는 봇계정을 총 1만 9000개인 반면 Vincere는 2만 개 이상의 계정을 운영하는 있다고 보인다는 것.

베로티 씨의 '해시태그 없는 게시물을 찾아낸 방법'에 대해서는, 위치태그가 사용되었을 가능성이 있다고 합니다. 로스앤젤레스에 있는 일면이 핑크색인 장대한 벽 The Pink Wall와 약 1억 년 전에 식어 굳어진 마그마가 지하수에 의해 침식된 큰 바위가 늘어선 조슈아트리국립공원은 이른바 '핫플레이스'로 알려져 있으며, 위치태그에서 이러한 위치를 검색하면 인플루언서가 포즈를 취하고 있는 이미지를 다수 수집할 수 있습니다.

계기가 된 베로티 씨의 게시물에도 위치태그가 부여되어 있었기 때문에 Vincere의 봇에게 탐지된 것으로 보여지며, 실제로 베로티 씨는 해시태그를 일절 없이 그리피스천문대에서 촬영한 사진을 게시한 결과 봇으로부터 메시지가 보내져 왔다고 합니다.

이러한 봇네트워크는 Vincere 등의 패션브랜드가 직접 운영하는 것은 아니고 적어도 네트워크의 일부를 '시장에서 구입하고 있다'는 흔적이 확인됩니다. Vincere를 홍보하는 봇 중에는 Vincere와 경쟁하는 패션브랜드인 'Valerio'의 명칭을 포함하는 계정이 다수 보입니다.

베로티 씨에 따르면, 이러한 봇네트워크 매매시 적용되는 가격결정 방식 중 하나가 '팔로워의 증가에 따라 가격을 결정한다'는 방식입니다. 그러나 봇판매자 측이 봇계정으로 팔로우할 수도 있기 때문에 봇으로 홍보하는 악의적 패션브랜드는 봇판매자에게 실제로는 팔로워가 전혀 증가하지 않았음에도 거액을 지불하지 않으면 안되는 사기를 당하기 쉽습니다. 이러한 사정에 대해 베로티 씨는 "결국 사기꾼이 사기당한다"고 코멘트합니다.

인터넷서비스를 이용하는 사용자가 평소와는 다른 단말기와 위치에서 액세스할 때 추가 확인하는 방법을 위험기반 인증(RIBA)이라고 합니다. Apple은 새로운 개인정보 보호기능으로 'Private Relay'를 발표했습니다만, Private Relay는 사용자의 IP주소를 암호화하는 것이기 때문에 IP주소를 사용하는 RIBA를 무력화시킨다고 디지털전문가인 플로리안 포스터 씨가 지적합니다.

IMO - Risk Based Authentication is broken
https://zitadel.ch/blog/imo-rba-is-broken/

Apple은 2021년 6월 8일에 열린 개발자 이벤트 'WWDC 2021'에서 새로운 개인정보 보호기능 'Private Relay'를 발표했습니다. Private Relay는 사용자의 웹브라우징 행동을 익명화하는 기능입니다.

Apple's new 'private relay' feature will not be available in China | Reuters
https://www.reuters.com/world/china/apples-new-private-relay-feature-will-not-be-available-china-2021-06-07/

iCloud Private Relay and other Apple WWDC privacy features
https://www.fastcompany.com/90643627/apple-privacy-wwdc-private-relay-vpn-icloud-plus-macos-monterey

Apple의 Private Relay에서는 먼저 사용자의 IP주소와 '암호화된 액세스 할 URL'이 Apple에 전송됩니다. 그 다음 Apple이 사용자의 IP주소를 암호화하여 암호화된 URL과 함께 제휴 콘텐츠제공자가 운영하는 릴레이스테이션에 보냅니다. 그리고 릴레이스테이션은 암호화된 URL을 디코딩하여 사용자에게 원하는 웹사이트에 대한 액세스를 제공하는 구조입니다.

Private Relay의 구조에서 중요한 것은 'Apple은 사용자의 IP주소를 알고 있지만, 방문한 사이트를 알 수 없다', '제휴 콘텐츠제공자는 방문하는 사이트를 알고 있지만, 사용자의 IP주소를 알 수 없다'는 점입니다. 사용자의 정확한 IP주소와 접속하는 사이트를 모두 알고 있는 사업자가 존재하지 않기 때문에 사용자의 데이터가 악용될 가능성이 매우 낮아집니다.

그러나 Apple의 Private Relay가 활성화됨으로써 우려되고 있는 것이 RIBA의 무력화입니다. RIBA는 사용자가 로그인을 필요로 하는 인터넷서비스를 이용할 때 IP주소와 OS, 브라우저 등의 정보가 평상시와 다른 경우 스푸핑 가능성이 있다고 판단하여 추가로 본인확인을 요구하는 구조를 말합니다. RIBA에서는 IP주소 등을 이용하여 본인확인을 하므로 콘텐츠제공자 측에 제공된 IP주소가 암호화되어 있으면 RIBA 자체가 기능하지 않게 되어 버리는 것입니다.

포스터 씨가 검토한 결과 Private Relay의 설정화면에는 'IP주소 · 위치'항목이 있고 이 설정화면에서는 'Private Relay는 사용자의 인터넷활동을 비공개로 하고 안전을 확보할 수 있습니다. 완벽한 IP마스킹 및 웹트래픽의 암호화를 통해 Safari에서의 웹브라우징을 보호합니다. 또 앱을 사용할 때에도 사용자를 보호할 수 있으며, ISP가 사용자의 프로파일을 생성하는 것을 방지할 수 있다'고 설명되어 있습니다.

또한 IP주소에 관한 항목에서는 '웹사이트가 Safari에서 로컬콘텐츠를 제공할 수 있도록 'Approximate Location(대략적인 위치)'을 사용할 것을 권장합니다. 'Broader Location(광범위한 위치 정보)'을 사용할 수 있지만, 이 경우 콘텐츠의 검색결과에 영향을 줄 수 있다'고 기재되어 있으며, 선택에 따라 검색결과에 영향을 미친다는 것을 알립니다.

사용자의 지문을 이용하면 RIBA를 계속 이용하는 것이 가능하다는 주장도 있지만, Cookie 및 기타 지문은 규제되고 있습니다. 따라서 해결책은 RIBA에서 벗어나 암호를 사용하지 않는 새로운 세션 관리방법을 고려할 것을 포스터 씨는 제안합니다. 앞서 Apple은 암호가 불필요한 Face ID와 Touch ID만으로 웹서비스에 로그인할 수 있는 '암호' 기능을 개발하고 있다고 보도되었습니다.

Move beyond passwords - WWDC 2021 - Videos - Apple Developer
https://developer.apple.com/videos/play/wwdc2021/10106/

Connecting to a Service with Passkeys | Apple Developer Documentation
https://developer.apple.com/documentation/authenticationservices/public-private_key_authentication

고가로 재판매되는 iPhone은 국가나 지역에 따라서는 절도와 강도의 표적이 될 위험이 있는데, 브라질에서는 '훔친 iPhone을 재판매하지 않고 은행계좌에 무단 액세스하는 데 사용한다'는 범죄가 다발하고 있다고 합니다. 범죄자가 훔친 iPhone에서 은행계좌에 접근하는 수법에 대한 현지 언론인 Folha de S. Paulo가 보도했습니다.

'Consigo desbloquear todos os modelos de iPhone', diz criminoso que invade contas bancárias - 07/07/2021 - Cotidiano - Folha
https://www1.folha.uol.com.br/cotidiano/2021/07/consigo-desbloquear-todos-os-modelos-de-iphone-diz-criminoso-que-invade-contas-bancarias.shtml

Brazilian iPhone thieves demonstrate importance of responsible password practices | AppleInsider
https://appleinsider.com/articles/21/07/07/brazilian-iphone-thieves-demonstrate-importance-of-responsible-password-practices

Brazilian criminals detail how they gain access to bank accounts from stolen iPhones - 9to5Mac
https://9to5mac.com/2021/07/07/brazilian-criminals-detail-how-they-gain-access-to-bank-accounts-from-stolen-iphones/

브라질은 이전부터 iPhone의 도난이 자주 발생하고 있었으며, 대부분은 중고제품으로 재판매할 목적이었다고 합니다. 그런데 2021년 6월 iPhone을 훔친 범인이 피해자의 은행계좌에 접근하여 돈을 훔치는 사건이 발생했다고 보도되었습니다. 이 피해는 2020년 후반부터 증가했으나 iPhone의 데이터에 액세스하는 수법은 알려지지 않았습니다.

현지 시각 7월 7일 브라질의 상파울루 경찰이 체포한 범인으로부터 범죄수법을 실토받았습니다. 경찰은 당초 범인이 고급 해킹도구나 iPhone의 취약성을 찔렀다고 생각했지만 실제로 필요했던 것은 '훔친 iPhone의 SIM카드와 잠금이 해제된 다른 iPhone'뿐인 것으로 드러났습니다.

범인은 먼저 훔친 iPhone에서 SIM카드를 꺼내 잠금이 해제되어 있는 다른 iPhone에 삽입합니다. 이어 SNS 등으로 피해자의 전화번호에 연결된 계정을 찾아 계정을 확인한 후 관련 이메일 주소를 찾습니다. 많은 경우 이메일 주소가 Apple ID 계정과 동일하기 때문에 범죄자는 이메일 주소와 전화번호를 사용하여 SIM카드를 옮긴 iPhone에서 Apple ID의 암호를 재설정할 수 있었다고 합니다. 범인 중 한 명은 경찰에게 "iPhone 5에서 iPhone 11까지 잠금을 해제할 수 있다"고 진술했다는 것.

다음 범인은 암호를 변경한 Apple ID를 사용하여 iCloud에서 시스템 백업정보를 다운로드하였고 'password'에 연결된 정보를 검색하여 은행계좌 등에 액세스하기 위한 정보를 입수했습니다. 많은 경우 피해자는 비밀번호나 계좌번호 등 중요한 정보를 일반 텍스트로 저장하고 있었다고 범인은 증언했습니다.

이미 상파울루 경찰은 12명을 일련의 스마트폰 절도혐의로 체포했으며, 28명의 관련자도 특정했습니다. 경찰은 이번 수법 외에도 iPhone의 데이터에 액세스하는 고급 잠금해제용 소프트웨어를 보유한 범죄자도 있다고 추정하고 있습니다.

또 도난당한 장치에서 데이터를 삭제하려면 iPhone의 경우 수중의 장치에서 '나의 iPhone 찾기'에서 로그인 정보를 삭제할 장치를 선택하면 됩니다.

Use the Find My app to locate a missing device or item
https://support.apple.com/en-us/HT210515

Android 스마트폰의 경우 '장치 검색'에서 로그인된 도난당한 장치의 데이터를 삭제하는 것이 가능합니다.

Find, lock, or erase a lost Android device
https://support.google.com/accounts/answer/6160491

9to5Mac은 "계정을 보호하기 위해 할 수 있는 최선의 방법은 메모 및 기타 앱에 일반 텍스트로 암호를 저장하지 않는 것입니다. 다른 좋은 옵션은 일반 SIM카드 대신에 다른 장치로 쉽게 옮길 수 없는 eSIM을 사용하는 것"이라며 장치가 도난되기 전에 대책을 세우는 것이 중요하다고 조언합니다.

SNS나 검색서비스를 운영하는 Google · Twitter · Facebook · Microsoft · Yahoo! 등 세계 유수의 IT기업이 아동포르노 근절을 위해 '해시리스트(Hash List)'를 공유하는 것으로 밝혀졌습니다.

Hash List “could be game-changer” in the global fight against child sexual abuse images online
https://www.iwf.org.uk/about-iwf/news/post/416-hash-list-could-be-game-changer-in-the-global-fight-against-child-sexual-abuse-images-online

Facebook, Google and Twitter block 'hash list' of child porn images - Telegraph
http://www.telegraph.co.uk/technology/internet-security/11794180/Facebook-Google-and-Twitter-to-block-hash-list-of-child-porn-images.html

인터넷감시재단(IWF)은 지금까지 수만 장의 아동포르노 이미지를 수집했습니다. 이것들은 고도로 훈련된 분석관에 의해 조사되고 특수코드를 실행시킴으로써 '디지털세계의 지문'으로 불리는 해시값이 산출됩니다.

축적된 아동포르노 이미지의 해시값을 응용하여 인터넷에서 동일한 해시값을 자동으로 감지하여 아동포르노 이미지로 인식된 것을 자동으로 차단하는 시스템이 현재 개발중입니다. 유사한 시스템을 이미 Dropbox나 Google 등이 저작권 보호를 위해 사용하고 있습니다.

해시값으로 특정 이미지를 차단하는 기술이 개발중인데, IWF는 수집한 아동포르노 이미지의 '해시리스트'를 곧 IT기업에 공개한다고 발표했습니다. 또 Google에서 개발하고 있는 해시값을 응용한 아동포르노 이미지 식별시스템을 다른 IT기업과 널리 공유할 예정이라고 합니다.

아동포르노 이미지가 자동으로 차단되는 시스템이 본격적으로 도입되면 Google · Twitter · Facebook · Microsoft · Yahoo! 등이 제공하는 서비스에서 아동포르노 사진을 공개하려고 시도해도 자동으로 차단되어 버립니다. 또 오리지널 이외의 복사본도 같은 해시값을 포함하기 때문에, 일거에 차단이 가능하다고 합니다.

"IWF의 해시리스트는 온라인상의 아동포르노 퇴치를 위한 싸움에서 정말 중요한 역할을 담당합니다. 이 시스템은 즉시 이미지를 인식, 제거하여 아동포르노 사진이 인터넷에 업로드되는 것을 방지한다"고 IWF의 회장인 수지 하그리브스 씨는 설명합니다. IWF에 따르면, 해시리스트는 스토리지 서비스와 업로드 서비스, 이미지 검색 서비스, 필터링 서비스, SNS, 채팅, 데이터센터 등 모든 서비스에서 아동포르노 사진을 감지하는 데 사용할 수 있다고 합니다.

인터넷은 아동포르노 등의 미성년자를 대상으로 한 성적 소재(child sexual abuse material : CSAM)가 많이 존재하고 있습니다. CSAM을 인터넷에서 제거하는 작업은 인간의 손으로 이루어지고 있습니다만, 끝없이 등장하는 CSAM에 대처할 수 없는 것이 현실입니다. 그래서 Google은 CSAM에 마주하는 인간을 도울 수 있도록, AI를 활용한 CSAM 판정도구 'Content Safety API'를 개발했습니다.

Using AI to help organizations detect and report child sexual abuse material online
https://www.blog.google/around-the-globe/google-europe/using-ai-help-organizations-detect-and-report-child-sexual-abuse-material-online/

불법 아동포르노가 인터넷상에서 표시되는 것을 방지하기 위해 Google과 같은 콘텐츠제공자는 감시활동을 실시하고 있습니다. 그러나 특정 콘텐츠를 인터넷에서 삭제하는 행위는 '표현의 자유'에 대한 침해가 될 수 있기 때문에 컨텐츠의 불법성에 대해서는 인간에 의한 신중한 판단을 피할 수 없습니다.

Tech Confessional: The Googler Who Looked At The Worst Of The Internet
http://www.buzzfeed.com/reyhan/tech-confessional-the-googler-who-looks-at-the-wo

CSAM을 지속적으로 모니터하고 있는 사람들은 살아있는 인간이며, 제거활동은 정신적으로 힘든 것으로 알려져 있습니다.

Workers on Porn Detail Sue Microsoft for Injuries – Courthouse News Service
http://courthousenews.com/workers-on-porn-detail-sue-microsoft-for-injuries/

Microsoft Anti-Porn Workers Sue Over PTSD - The Daily Beast
http://www.thedailybeast.com/articles/2017/01/11/microsoft-anti-porn-workers-sue-over-ptsd.html

또 기존의 CSAM의 감시활동에 도입된 도구는 이미 보고된 불법 CSAM의 해시값과의 일치에 의존하는 재업로드를 예방하기 위한 것입니다. 따라서 제한된 인원으로 새롭게 등장하는 CSAM에 대한 대처가 늦어지고 있는 실정입니다.

이에 Google은 딥러닝을 활용한 화상 · 영상 인식기술을 통해 콘텐츠를 자동으로 판단하여 CSAM을 판별하는 'Content Safety API'를 개발했습니다. Content Safety API는 무수히 많은 인터넷 콘텐츠를 AI로 자동판별하고 CSAM이 의심되고 육안에 의한 확인이 필요한 것을 감지할 수 있어 검색된 내용을 필요성과 시급성에 따라 정렬합니다. 인터넷을 감시하는 인간은 중요도 순으로 정렬된 CSAM부터 삭제할지 여부의 판단이 가능해 작업을 간소화할 수 있습니다.

Google에 따르면 Content Safety API를 도입한 경우에는 기존보다 8배나 많은 CSAM을 발견하는 데 성공했다고 밝혀, 적은 인원으로도 작업을 효율적이고 신속하게 실시할 수 있게 합니다.

CSAM 제거활동을 실시하는 Internet Watch Foundation의 수지 하그리브스 대표는 "지금까지 발견할 수 없었던 불법 콘텐츠를 감지해내 전문가가 더 큰 스케일로 판단할 수 있는 자료를 제공합니다. 범죄자의 불법 업로드 행위의 추적을 돕는 인공지능 도구가 개발된 것을 기쁘게 생각한다"며 AI를 활용한 CSAM 대항 도구를 환영합니다.

유럽의회가 2021년 7월 6일 전기통신 사업자에게 통신의 기밀성을 요구하는 법률의 내용을 완화해 사업자가 SNS나 메일을 스캔할 수 있도록 허용하는 법률안을 승인했습니다. 이것은 전염병의 영향으로 인터넷상의 아동학대가 증가하고 있는 데 따른 조치이지만, 개인정보 보호와 보안의 문제가 지적되고 있습니다.

Parliament adopts temporary rules to detect child sexual abuse online | News | European Parliament
https://www.europarl.europa.eu/news/en/press-room/20210701IPR07503/parliament-adopts-temporary-rules-to-detect-child-sexual-abuse-online

EU Parliament lets companies look for child abuse on their platforms, with reservations – POLITICO
https://www.politico.eu/article/european-parliament-platforms-child-sexual-abuse-reporting-law/

New EU law allows screening of online messages to detect child abuse – EURACTIV.com
https://www.euractiv.com/section/data-protection/news/new-eu-law-allows-screening-of-online-messages-to-detect-child-abuse/

Chatcontrol: European Parliament approves mass surveillance of private communications – Patrick Breyer
https://www.patrick-breyer.de/en/chatcontrol-european-parliament-approves-mass-surveillance-of-private-communications

유럽의회는 7월 6일 전자통신 개인정보 보호지침(2002/58/EC)의 규제를 일시적으로 완화해 웹서비스 제공자가 자체적으로 아동학대 콘텐츠를 스캔할 수 있도록 허용하는 법안을 찬성 537표, 반대 133표, 기권 24표로 가결했습니다.

이 법안은 아동학대 방지를 강화하는 다른 신법이 제정되기까지 최장 3년간 유효한 시한적 법으로, 메일이나 SNS에서 교환되는 문자나 이미지, 동영상 등 비음성 통신이 대상입니다. 자사의 서비스에서 아동학대에 관련된 통신을 발견한 사업자는 이메일이나 게시물의 전송을 막은 후에 법집행기관에 통보해야 합니다. 이번 법안에서는 사용자의 통신내용을 확인할지 여부는 기업의 재량에 맡겨져 있지만, 2021년 가을에 성립이 예정되어 있는 추가 법안은 모든 통신사업자를 대상으로 스크리닝을 의무화할 방침입니다.

유럽의회의 Birgit Sippel 의원은 성명에서 "아동에 대한 성적학대는 인권을 유린하는 무서운 범죄입니다. 이번 조치는 온라인상에서의 아동 성학대를 감지할 필요성과 개인정보 보호요청 사이에서 타결된 것입니다. 완벽하지 않을지도 모릅니다만, 향후 3년간의 임시 해결책으로 유효한 것"이라고 발표했습니다.

그러나 투표에 참가한 유럽의회 의원 중 일부는 의논이 졸속으로 진행되었다며 비난하는 사람도 있습니다. Sophie inʼt Veld 의원은 투표 전날 "우리가 법안에 대해 비판적인 질문을 하면 바로 '아동에 대한 성적학대와의 싸움에 최선을 다하고 있지 않다"는 반응이 돌아왔다"고 불쾌감을 나타냅니다.

또 유럽의회 의원으로 인터넷의 자유를 내거는 독일해적당의 당원이기도 한 패트릭 브레이어 씨는 "EU 최초의 대규모 감시에 대한 규제가 채택된 것은 학대의 피해자와 언론인 등 자유에 민감한 커뮤니케이션을 지지하는 모든 사람에게 슬픈 사건입니다. 무차별적 스캔은 아이를 지키지 못하고 오히려 어린이의 개인적 사진이 누군가에게 공개되거나 오히려 범죄자로 낙인될 위험이 있습니다. 성적학대를 방지하는 것이라면, 아동포르노 사이트에 대한 수사를 강화하고 압수된 데이터에 대한 조사에 몇 년이나 걸리는 현 상황을 해결하는 것이 우선"이라고 주장합니다.

개인정보 보호의 관점뿐만 아니라 보안상의 이유로도 우려되고 있습니다. 브레이어 씨는 IT계 뉴스사이트 Computer Weekly에 기고한 기사에서 "알고리즘에 의해 감지된 콘텐츠가 실제로 아동학대에 해당하는지 여부는 인간이 수동으로 확인해야 합니다. 이것을 가능하게 하기 위해서는 통신내용을 볼 수 있도록 백도어를 설치할 필요가 있기 때문에, 종단간 암호화의 보안이 근본적으로 위험해진다"고 지적합니다.

유럽의회는 향후의 전망에 대해 "이번 법 개정은 소비자보호의 강화 등을 담은 유럽전자통신코드가 2020년 12월부터 본격적으로 적용되기 시작한 이후 웹서비스 제공자가 아동의 성적학대 콘텐츠의 확산에 자주적으로 대항하는데 있어서 필요한 것입니다. 당국은 2021년에 이 문제를 해결하기 위한 더 영구적인 해결책을 수립할 예정"이라고 설명합니다.

Apple은 iOS 14.5 이후에 프라이버시 기능을 강화했고 기업의 iOS 사용자 행동추적을 제한하고 있습니다. 이에 중국의 광고회사가 Apple의 개인정보 보호기능을 우회하여 iOS 사용자가 추적을 거부하고 있어도 추적을 가능하게 하는 방법을 개발했습니다. 2021년 3월에 밝혀진 이 'CAID'라는 프로젝트의 전말을 Financial Times가 보도하고 있습니다.

Apple wins privacy battle in China
https://www.ft.com/content/c79a5f6a-0827-47a4-9b3b-622a81fcc75a

Attempts to Circumvent Apple's App Tracking Transparency Rules in China Reportedly Fail to Gain Traction - MacRumors
https://www.macrumors.com/2021/07/05/china-iphone-ad-tracking-efforts-fail/

Apple은 iOS의 개인정보 보호 강화를 위해 iOS 14.5에서 새롭게 App Tracking Transparency(ATT)라는 프레임워크를 도입했습니다 . ATT는 '광고표시를 위한 기업의 사용자 추적'을 제한하는 것으로, 사용자가 앱을 사용하기 전에 '광고추적 허용'을 요청해야 합니다. 사용자가 추적을 거부하면 기업은 사용자의 흥미 · 관심을 파악할 수 없기 때문에 효과적인 광고를 표시할 수 없게 될 것으로 우려되자 중국 기업 가운데는 ATT를 우회하는 기술을 개발하는 곳도 생겨났습니다.

Chinese Developers Working on Bypass to Apple's App Tracking Transparency in iOS 14.5 | iPhone in Canada Blog
https://www.iphoneincanada.ca/news/att-china/

Chinese Tech Companies Reportedly Testing New Tool to Circumvent Apple's App Tracking Transparency Rules - MacRumors
https://www.macrumors.com/2021/03/16/china-tech-giants-test-tracking-tool-avoid-idfa/?scrolla=5eb6d68b7fedc32c19ef33b4

중국의 광고회사에 의해 개발된 기술은 'CAID'라는 것으로, 사용자가 광고추적을 허용하지 않아도 독자적 광고식별자를 이용하여 추적이 가능합니다. CAID는 중국정부의 지원을 받는 China Advertising Association(중국광고협회/CAA)의 지원을 받고 있으며, 동영상 공유서비스 'TikTok'을 운영하는 ByteDance와 WeChat의 개발원인 Tencent에 의해 테스트 중이라고 보도되었습니다.

또 CAID 개발측은 Apple이 CAID의 개발을 인식하고 있다고 설명했다는 점에서 "Apple은 개발을 알면서도 눈 감고 있다"고도 지적되고 있었지만, 이 후 Apple은 중국의 개발자 2명에게 경고를 실시했다고 발표했습니다. 그리고 CAID를 구현한 중국 앱의 업데이트를 차단했습니다.

그리고 7월 5일 Financial Times는 Apple의 대응으로 CAID가 존속하기 어려워졌다고 보도했습니다. 홍콩에서 일하는 관계자는 Apple이 추가한 제한으로 인해 프로젝트는 견인력을 잃었다고 말합니다. 이 움직임에 대해 중국 앱 정보사이트 'AppInChina'의 CEO인 Rich Bishop 씨는 "Apple과 소비자 개인의 승리입니다. 중국의 주요 기술기업은 후퇴하게 되었고 Apple의 규칙을 준수할 수밖에 없게 되었다"고 전망했습니다. 또 애드테크 기업 'Branch'의 Alex Bauer 씨는 '''Apple은 시장의 주요 앱 모두를 금지시킬 여유가 없다'는 가정하에 중국 앱의 에코시스템은 CAID에 베팅하고 있었다"고 설명합니다.

Financial Times의 코멘트 요청에 ByteDance와 Tencent는 응하지 않았고, Apple은 "App Store의 이용약관 및 가이드라인은 전세계 모든 개발자에게 동일하게 적용됩니다. 사용자의 선택을 무시하는 앱은 App Store에서 삭제된다"고 답했습니다.

조 바이든 대통령을 비롯한 워싱턴의 많은 의원은 컴퓨터칩과 기반기술에 관련된 중국의 동향에 주의를 기울이고 있습니다. 그런 가운데, 네덜란드의 반도체 제조기업 ASML이 생산하는 거대한 기계가 정치인에게 중요한 판단재료가 되고 있다고 보도되고 있습니다.

The Tech Cold War’s ‘Most Complicated Machine’ That’s Out of China’s Reach - The New York Times
https://www.nytimes.com/2021/07/04/technology/tech-cold-war-chips.html

Inside the Tech Cold War's 'most complicated machine' that remains well out of China's reach-Business News , Firstpost
https://www.firstpost.com/business/inside-the-tech-cold-wars-most-complicated-machine-that-remains-well-out-of-chinas-reach-9779351.html

ASML은 EUV(극자외선) 등 다양한 종류의 빛을 사용하여 초소형 회로를 칩에 형성하는 '포토리소그래피' 장치를 제조합니다.

ASML의 포토리소그래피 장치는 일본 · 미국 · 독일의 협력하에 수십 년이라는 세월에 걸쳐 개발되었고 2017년에야 상용 모델이 완성되어 Samsung 및 TSMC, Intel이나 IBM의 대량생산 라인에 도입되었습니다. 이 장비는 대당 1억 5000만 달러(약 1660억 원)로 출하에는 40개의 운송 컨테이너와 20대의 트럭, 3대의 보잉 747이 필요하다고 합니다.

트럼프 정권은 2019년에 ASML의 포토리소그래피 장비를 중국에서 출시하지 않도록 네덜란드 정부에 제의하는 데 성공했습니다. 그리고 바이든 정권도 이 조치를 바꿀 기색은 없습니다.

미국 의회에서는 해외 칩메이커에 대한 의존도를 낮추기 위해 500억 달러(약 55조 원) 이상의 예산에 대해 논의가 이루어지고 있습니다. 연방정부, 특히 국방부는 중국 본토에 지리적으로 가까운 대만 TSMC에 미국의 반도체 산업이 의존하는 것을 우려하고 있습니다.

조지타운대학 Centre for Security and Emerging Technology의 리서치 애널리스트인 윌 헌트 씨는 "최첨단 칩을 제조하기 위해서는 이 ASML의 포토리소그래피 장치가 필요하며, 이 장치는 ASML에서만 제조됩니다. 중국이 이 같은 장치를 스스로 제조하려면 적어도 앞으로 10년은 걸릴 것"이라고 전망했습니다.

보스턴컨설팅그룹과 반도체산업협회가 2021년에 실시한 조사에서는 자급자족 체제의 칩공급망을 구축하려면 최소 1조 달러(약 1100조 원)가 필요하며, 이에 따라 칩과 그것을 사용한 제품의 가격도 상승한다고 예측했습니다. 중국이 ASML에서 벗어나 독자적으로 장비를 개발하려고 시도하면 상당히 어려운 싸움을 면치 못하게 됩니다.

2021년 3월 미국의 AI국가안보위원회는 바이든 정권과 의회, 포토리소그래피 장치 이외의 ASML 제품도 중국으로의 수출을 규제할 것을 제안하는 최종보고서를 제출했습니다. 한편 정책전문가들은 중국이 이미 ASML 장비를 사용하고 있으므로 추가로 판매하는 것을 금지하여도 전략적인 이점이 별로 없고, 단지 ASML의 이익을 해치게 될 것이라고 주장합니다. ASML도 정책전문가와 비슷한 입장을 취하고 있습니다. ASML의 최고기술책임자 겸 사장인 마틴 반 덴 브링크 씨는 "상식이 통용되길 바라고 있다"고 발언했습니다.

iPhone에는 '특정 SSID의 Wi-Fi 네트워크에 연결하면 iPhone의 Wi-Fi 기능이 제대로 작동하지 않는다'라는 버그가 발견되었는데 비슷한 문제를 일으키는 네트워크 이름이 새로 발견되었습니다. 앞서 발견된 버그는 네트워크 설정을 재설정하여 해결할 수 있었지만, 이번에 발견된 것은 단말기를 출하시 상태로 되돌려야 해 더욱 심각하다고 보도되고 있습니다.

Researcher finds certain network names can disable Wi-Fi on iPhones - The Verge
https://www.theverge.com/2021/7/4/22563166/researcher-finds-network-names-percent-disable-wi-fi-iphones

보안연구자의 Carl Schou 씨가 2021년 6월 19일에 '％p％s％s％s％s％n'이라는 SSID의 네트워크에 접속하면 iPhone의 모든 Wi-Fi 관련 기능이 비활성화되어 버린다는 사실을 발표했습니다. 이 문제를 다룬 Apple 제품 관련 뉴스미디어 9to5Mac은 "iOS가 '%(알파벳)'라는 문자열을 텍스트가 아닌 변수 또는 명령으로 해석하면서 버퍼 오버플로우가 발생하는 것이 원인일 것"이라고 지적했습니다.

A specific network name can completely disable Wi-Fi on your iPhone - 9to5Mac
https://9to5mac.com/2021/06/19/a-specific-network-name-can-completely-disable-wi-fi-on-your-iphone/

지난번에 이어 Schou 씨는 7월 4일에 iPhone이 '％secretclub％power'라는 Wi-Fi 네트워크에 접속하면 단말기는 Wi-Fi 및 Wi-Fi 관련 기능을 사용할 수 없게 될 뿐만 아니라, 네트워크 설정을 재설정해도 회복되지 않았다고 보고했습니다.

네트워크 설정을 재설정해도 기능이 회복되지 않았다는 점에서 9to5Mac은 "이 문제를 해결하려면 장치를 공장출하 상태로 하드리셋할 수 밖에 없습니다 .9to5Mac은 이 문제를 독자적으로 테스트하지 않았고 다른 사람이 테스트하는 것에 대해서도 권장하지 않는다"고 밝혔습니다.

문제를 일으킨 '％p％s％s％s％s％n'와 '％secretclub％power' 모두 ％p'와 '％s'를 포함한다는 공통점을 가지고 있습니다. 이 때문에 9to5Mac은 "'%p'와 '%s' 혹은 '%n' 문자열에 관련된 버그는 다른 곳에서도 많이 존재합니다. 따라서 네트워크 이름에 백분율 기호가 포함된 Wi-Fi 네트워크에 접속하는 것을 피하는 것이 가장 안전한 대책입니다. 그리고 Apple이 원인이 되고있는 OS의 버그를 수정하는 업데이트를 실시하는 것을 기다려 보자"고 적었습니다.

IT계 뉴스사이트 The Verge는 이 문제에 대해 Apple에 코멘트를 요구했지만 회답은 얻을 수 없었다고 합니다.

미국 최대의 석유 파이프라인 운영 기업 Colonial Pipeline이나 세계 최대의 식육업체 JBS 등 일상생활에 깊게 관련있는 기업이 랜섬웨어 공격의 대상이 되는 사건이 다발하고 있습니다. 그런 가운데, 미 국토안보부의 사이버인프라보안기관(CISA)이 랜섬웨어 방지 도구 'Ransomware Readiness Assessment(RRA)'를 2021년 6월 30일에 공개했습니다.

CISA’s CSET Tool Sets Sights on Ransomware Threat | CISA
https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/cisas-cset-tool-sets-sights-ransomware-threat

Release Ransomware Readiness Assessment CSET v10.3 · cisagov/cset · GitHub
https://github.com/cisagov/cset/releases/tag/v10.3.0.0

현지 시각 2021년 6월 30일에 공개된 RRA는 랜섬웨어 공격에 대한 대책상황을 평가해주는 도구로 CISA의 사이버보안 평가도구 'Cyber Security Evaluation Tool(CSET)'의 일부로 공개되었습니다. CISA에 따르면 RRA는 보안 성숙도에 관계없이 모든 조직에 도움이 되도록 설계되어 있다고 합니다. 이외에도 CISA는 "우리는 모든 조직이 RRA로 랜섬웨어 대책평가를 받는 것을 강하게 권한다"며 랜섬웨어 공격에 대한 대책강화의 중요성을 강조했습니다.

RRA를 사용하려면 CSET의 공식 배포페이지를 방문하여 'Download CSETStandAlone.exe'를 클릭하여 설치프로그램을 다운로드해야 합니다.

Ransomware Readiness Assessment CSET v10.3
https://github.com/cisagov/cset/releases/tag/v10.3.0.0

설치 후 실행하면 '데이터 백업', '웹 브라우저의 관리 및 DNS 필터링', '피싱 방지 및 인지'와 같은 랜섬웨어 대책에 필요한 조치가 카테고리별로 표시됩니다.

각각의 카테고리에는 여러 질문 항목이 포함되어 있고 'Yes'와 'No' 중 하나를 선택하도록 되어 있습니다. 예를 들어, '데이터 백업' 카테고리에는 '중요한 데이터를 백업하고 최소한 30일간을 복원할 수 있는 환경을 갖추고 있습니까?', '데이터의 백업은 매년 테스트되고 있습니까?'라는 질문이 이어집니다.

모든 질문에 답한 후 'Next'를 클릭하면 각 범주의 랜섬웨어 대책 달성률이 막대그래프로 표시됩니다.

화면 왼쪽의 메뉴에서 'Performance Summary'를 선택하면 랜섬웨어 대책의 달성률을 중요도 순으로 확인할 수 있습니다. 또 왼쪽 메뉴에서 'Reports'를 선택한 후 'RRA Report'를 클릭하면 랜섬웨어 대책상황을 정리한 상세보고서를 출력할 수 있습니다.

RRA는 어디까지나 랜섬웨어 대책상황을 평가하는 도구이며 'RRA를 설치하면 랜섬웨어 공격을 받지 않게 된다'는 것은 아닙니다. 그러나 RRA를 이용하여 랜섬웨어 대책에 필요한 많은 조치를 확인할 수 있어서 조직의 랜섬웨어 대책상황을 확인하고 향후 대책을 세우는 데 유용한 도구로 활용할 수 있습니다.

반도체 메모리에 데이터를 저장하는 SSD는 읽기 및 쓰기 속도와 충격 내성이 HDD보다 우수합니다. 그런 SSD의 구조와 특성에 대해 데이터 시스템 연구가 피터 본치 씨 연구팀이 설명합니다.

Database Architects: What Every Programmer Should Know About SSDs
https://databasearchitects.blogspot.com/2021/06/what-every-programmer-should-know-about.html

HDD에 랜덤 액세스 하려면, 자기헤드를 자기디스크의 올바른 위치에 물리적으로 이동시킬 필요가 있으며, 이 동작에는 10밀리 초 정도 걸립니다. 반면 SSD의 랜덤 액세스는 플래시메모리에서 이루어지므로 100분의 1 정도의 시간으로 충분합니다.

SSD는 큰 파일을 덩어리 그대로 저장하는 것이 아니라 내부에서 저장소의 최소 단위로 분리하여 여러 플래시칩에 저장되며, 그리고 순차 액세스로 모든 플래시칩을 사용할 수 있도록 하드웨어 프리페처(Hardware Prefetcher)가 갖추어져 있습니다. 하지만 플래시칩 단독으로 볼 경우에도 순차적 액세스 및 랜덤 액세스에서 큰 차이가 있는 것은 아니고, 대부분의 SSD가 랜덤 액세스에서 최고속도를 달성할 수 있습니다. 이렇게는 모든 플래시칩을 바쁘게 작동시키기 위해서는 수백 개의 랜덤 IO요청을 동시에 관리해야 하는데, 이에 다수의 스레드를 기동하거나 libaio 등의 비동기 I/O 인터페이스를 사용하여 실현할 수 있다고 합니다.

HDD와 SSD의 또 하나의 차이로는, HDD는 하나의 자기헤드나 자기디스크로 읽거나 쓰기 때문에 순차 액세스에서만 잘 작동하는 반면, SSD는 수십 또는 수백 개의 플래시메모리칩을 사용하여 병렬 액세스를 하기 때문에 두 가지 접근방법 모두에서 잘 작동한다는 점입니다.

SSD의 쓰기속도는 읽기속도보다 10배 정도 느린 약 1ms 정도 소요된다고 합니다. 컨슈머 SSD는 쓰기 후 sync/flush 명령을 실행하여 지연시간을 측정할 수 있습니다. 쓰기의 높은 지연을 보완해 높은 쓰기 대역폭을 실현하기 위해 쓰기도 읽기 때처럼 여러 플래시칩에 동시에 액세스하는 구조를 이용합니다. 쓰기 캐시는 비동기적으로 페이지를 쓸 수 있기 때문에 좋은 성능을 얻기 위해 동시에 많은 기록을 관리할 필요가 없습니다. 그러나 쓰기는 읽기보다 10배나 긴 시간 플래시칩을 차지하기 때문에 대기시간을 완전히 제거할 수는 없습니다.

SSD는 매우 저렴한 고성능으로 진화하고 있습니다. 분치 씨 연구팀은 어떻게 성능을 실현하고 있는지에 대한 자세한 튜토리얼도 소개하고 있습니다.

Google 검색은 이제 현대인에게 없어서는 안 될 존재이며, 검색결과를 매우 높게 신뢰하는 사람이 많습니다. 그런 Google 검색결과에서 "하마터면 연쇄살인마가 될뻔 했다"는 에피소드를 스위스에 거주하는 기업가 Hristo Georgiev 씨가 소개했습니다.

Google turned me into a serial killer · Hristo Georgiev
https://hristo-georgiev.com/google-turned-me-into-a-serial-killer

어느 날 Georgiev 씨는 동료로부터 "Georgiev 씨의 이름을 Google에서 검색하면 우연히 같은 이름의 연쇄살인범에 대한 Wikipedia 기사에 링크된 형태로 Georgiev 씨의 얼굴 사진이 나온다"고 알리는 이메일을 받았다고 합니다.

실제로 Georgiev 씨의 이름을 Google에서 검색한 결과, Google 검색결과 오른쪽에 'Hristo Georgiev'라는 연쇄살인범에 대한 Wikipedia 기사와 함께 Georgiev 씨의 얼굴사진이 표시되었습니다.

Wikipedia에 따르면, 이 살인마 Hristo Georgiev는 불가리아에서 1974년부터 18980년 사이에 5명을 살해했고 1980년에 총살형에 처해졌다고 합니다. 물론 스위스에 거주하는 Georgiev 씨는 이름은 동일하지만 완전히 딴사람입니다.

Georgiev 씨는 "누군가가 정교한 장난을 한 것"이라고 생각하여 Wikipedia 기사를 확인했지만, 기사에는 Georgiev 씨의 사진이 게재되어 있지 않았습니다. 즉, Georgiev 씨의 얼굴사진과 Wikipedia 기사를 연결하여 표시한 것은 Google 검색알고리즘이 원인이었던 것.

Georgiev 씨는 놀라서 곧바로 Google에 알렸고 조치가 이루어져 현시점에서 'Hristo Georgiev'로 검색해도 Georgiev 씨의 얼굴사진은 표시되지 않습니다.

당초 Georgiev 씨는 폭소하면서 이 소식을 친구들과 공유했습니다. 하지만 곧 이 착오가 끔찍한 사태를 초래할 수 있다는 것을 깨달았습니다. Georgiev 씨는 "수십억 명의 사람들이 사용하는 검색알고리즘에 의해 정보가 쉽게 왜곡된다는 사실은 정말 무서운 것"이라고 우려합니다.

Georgiev 씨는 "가짜 뉴스의 확산에 따라 이름이 나돌아다니고 있는 사람은 말 그대로 무방비 상태입니다. 오늘 인터넷에서 존재감을 나타내는 사람은 누구나 자신의 '온라인에서의 표현'에 주의해야 합니다. Google 검색 같은 시스템의 사소한 실수로 인해 그 사람의 경력과 명성을 붕괴시키는 대형 참사로 이어질 수 있습니다. 나는 지금까지 이런 일이 자신에게 일어나지 않을 것이라는 생각을 가지고 있었습니다. 그러나 그것은 착각이었다"고 소감을 밝혔습니다.

또 "일개 인터넷 기업이 세계의 정보를 체계화시키는 것은 그다지 좋은 것이 아닐지도 모른다"고 덧붙입니다.

Georgiev 씨는 Google에 보상을 요구할 계획은 없다고 합니다.

2016년 방글라데시의 중앙은행인 방글라데시은행에서 누군가에 의해 총액 9억 5100만 달러(약 1조 1410억 원)가 부정하게 송금되는 사건이 일어났습니다. 사후조사에서 이 사건의 이면에는 북한의 해커집단이 존재하는 것으로 추측되었습니다. 당시 방글라데시은행에서 무슨 일이 있었는지, 어떻게 해커집단이 대규모 강탈을 실현했는지에 대한 세부사항이 밝혀졌습니다.

When North Korean hackers almost pulled off a billion-dollar heist from Bangladesh Bank | The Daily Star
https://www.thedailystar.net/toggle/news/when-north-korean-hackers-almost-pulled-billion-dollar-heist-bangladesh-bank-2115317

How North Korea came within a million dollars of a billion dollar hack - Security News
https://www.bollyinside.com/news/how-north-korea-came-within-a-million-dollars-of-a-billion-dollar-hack

2016년 2월 5일(금) 20시 30분쯤, 방글라데시은행의 10층에서 프린터가 고장났습니다. 직원은 즉시 프린터의 고장을 알게 되었습니다만, 프린터의 고장 자체가 드문 일이 아니었기 때문에 크게 문제시하지 않았다고 합니다. 그러나 나중이 되어 이 고장이 약 1조 원 규모의 강탈계획의 첫 번째 사인이었다고 밝혀집니다.

라자루스 그룹으로 알려진 해커집단은 공격이 이루어지는 1년 전인 2015년부터 이미 방글라데시은행의 컴퓨터 시스템에 침입했습니다. 라자루스 그룹은 'Rasel Ahlam'이라는 가상의 인물을 만들어 은행에 입사지원을 했으며, 은행직원이 받은 메일에서 문서를 다운로드할 때 시스템이 바이러스에 감염된 것으로 보입니다. 이것이 2015년 1월의 일입니다.

그리고 5월 라자루스 그룹은 필리핀 최대 은행인 RCBC의 '쥬피터 스트리트' 지점에 4개의 계좌를 개설했습니다. 계좌를 개설하기에 앞서 사용된 운전면허증은 가짜였으며 개설자는 모두 동일한 직책 · 급여임에도 불구하고 소속된 회사는 별도였다는 점 등 부자연스러운 부분이 여럿 존재했지만 문제시되지는 않았습니다. 그리고 처음으로 500달러(약 55만 원)를 예금한 상태에서 4개의 계좌는 보류된 상태가 계속되었다고 합니다.

해커들이 시스템을 해킹한 후 1년 동안 몸을 숨기고 있었던 점에는 이유가 있습니다. 방글라데시은행에서는 계좌에서 행해진 모든 송금을 종이에 인쇄하는 백업방법을 가지고 있었으며, 그 작업은 10층의 프린터에서 이루어지고 있었습니다. 따라서 프린터에서 인쇄가 되는 순간에 해킹 사실이 밝혀질 우려가 있어서, 프린터를 제어하는 소프트웨어에 대한 해킹이 완료될 때까지인 1년 동안 해커들은 몸을 숨기고 있었던 것입니다.

프린터에 대한 해킹이 완료된 2016년 2월 4일(목) 20시경 해커들은 행동을 개시했습니다. 방글라데시은행의 뉴욕연방준비은행 계좌 잔금 거의 전부에 해당하는 총액 9억 5100만 달러가 마닐라에 위치한 RCBC은행의 계좌로 송금되었습니다. 방글라데시는 다음날 5일(금)부터 7일(일)까지가 공휴일이었으며, 마닐라는 2월 8일(월)은 구정의 휴일이었습니다. 따라서 송금이 이루어진 시기가 뉴욕에서는 4일(목) 아침이었지만, 사태가 발각된 시기는 9일(화)이 되었습니다. 뉴욕, 방글라데시, 마닐라의 시차를 이용하여 해커는 사실상 5일간의 공백 기간을 만들어내는 데 성공한 것입니다.

방글라데시은행의 프린터가 재가동되어 송금기록이 인쇄되었을 즈음에는 뉴욕연방준비은행의 계좌에 예치해 두었던 돈의 거의 전액이 송금된 것을 발견합니다. 그러나 방글라데시은행은 무엇이 일어났는지를 몰랐고 초기에는 송금된 돈은 되찾을 수 있는 것이라고 오인해 사태를 공개하지 않았습니다. 그러나 사이버보안 전문가인 Rakesh Asthana 씨에게 의견을 구한 결과, 송금 당시 은행시스템 'Swift'로의 액세스가 이루어졌으며, 송금을 취소할 수 없다고 판명났습니다. 해커는 Swift를 해킹한 것이 아닌 일반 은행원을 모방하여 액세스를 시도했다는 것. 이미 필리핀에 어느 규모의 돈이 도착했는데, 되찾기 위해서는 법원의 명령이 필요했던 방글라데시은행은 2월 하순에 소송을 제기했습니다. 이로 인해 사태가 만천하에 공개됩니다.

사태를 파악한 뉴욕연방준비은행은 은행시스템이 마닐라에 있는 RCBC은행 지점의 '쥬피터'라는 단어에 대해 경고가 울리도록 설정했습니다. 경고가 발생한 모든 거래의 지불이 검토되면서 많은 송금이 중단되었습니다. 그러나 일부 거래는 통과하게 됩니다.

한편, 조금 시간을 거슬러 올라간 2월 5일에는 RCBC은행에 개설된 4개의 계좌가 갑자기 움직이기 시작했습니다. 돈은 계좌 간 송금을 거쳐 환전회사에 송금되어 현지 통화로 교환되었고 은행에 다시 입금되었습니다. 그리고 해커 일부를 현금으로 인출하여 필리핀의 '솔레이어 리조트 & 카지노'라는 카지노 시설에서 돈세탁을 시작했습니다. 카지노에서는 현금이 카지노칩으로 교체되었고 도박을 거쳐 다시 현금으로 교환되기 때문에 추적을 차단할 수 있습니다. 솔레이어 외에도 '미다스'라는 카지노의 계좌로 뉴욕연방준비은행의 경고를 회피한 5000만 달러(약 600억 원)가 발견되었는데 그 중 3100만 달러는 카지노에서 프라이빗 제트로 떠난 Xu Weikang이라는 인물에게 넘어간 것으로 발각되었습니다.

방글라데시은행의 추적에 의해 도난당한 9억 5100만 달러 중 대부분을 되찾을 수 있었습니다만, 약 6500만 달러(약 780억 원)의 행방은 오리무중입니다.

또 이 사건을 일으킨 해킹그룹은 전 세계 컴퓨터에 악성코드를 감염시켜 몸값을 요구한 랜섬웨어 'WannaCry' 사건과 소니픽쳐스의 전체 시스템을 다운시킨 해킹사건과 동일범인 것으로 판단되고 있습니다.

More Signs North Korea May Be Behind Hacking of Sony Pictures - WSJ
http://online.wsj.com/articles/more-signs-north-korea-may-be-behind-hacking-of-sony-pictures-1417467267

New evidence points to North Korean involvement in Sony Pictures hack | The Verge
http://www.theverge.com/2014/12/1/7316401/new-evidence-points-to-north-korean-involvement-in-sony-pictures-hack