OSINT 방어: 디지털 발자국 보호

*상태: 레벨 2

대상: 조직가, 대변인 및 신상 털기(Doxxing) 위험에 직면한 모든 사람*

오픈 소스 인텔리전스(OSINT)는 공개적으로 사용 가능한 출처 — Google, 소셜 미디어, 데이터 브로커, 공개 기록, LinkedIn, 법원 서류, 부동산 기록 등 — 에서 정보를 수집하는 것입니다. 해킹이나 법적 권한, 특별한 기술이 필요하지 않습니다: 단지 끈기, 시간, 무료로 사용 가능한 도구만 있으면 됩니다. 모든 계층의 적들이 OSINT를 사용합니다. 이 가이드는 OSINT 발자국(footprint)을 체계적으로 줄이는 방법을 알려줍니다.

핵심 통찰력: 온라인에서 완전히 투명 인간이 될 수는 없지만, 표적이 되기에는 비용이 많이 드는 사람이 될 수는 있습니다. 적이 귀하의 집 주소를 찾는 데 10분 대신 10시간을 소비해야 한다면, 대부분의 T1 수준 적들은 포기하고 넘어갈 것입니다. 의미 있는 마찰(방해)을 유도하는 것은 충분히 가능합니다.

1. 현재 노출 이해하기

발자국을 줄이기 전에, 현재 상황을 이해해야 합니다.

1.1 스스로를 구글링(Google)해 보기

포괄적인 자체 감사부터 시작하십시오:

따옴표 안에 본인의 전체 이름을 검색("이름 성"), 그런 다음 조합을 추가합니다: "이름 성" 시카고, "이름 성" 활동가, 사용자 이름(username), 직장 이름
전화번호 구글링: 하이픈 없이 숫자만, 따옴표 안에 넣어서 검색
집 주소 구글링: "123 Main St Chicago" — 종종 부동산 기록, 사업자 등록, 법원 서류가 나타납니다.
이메일 주소 구글링: 이는 귀하의 이메일을 공개적으로 볼 수 있는 프로필, 포럼 게시물 또는 이메일이 게시된 데이터베이스와 연결해 줍니다.
사용자 이름 구글링: 포럼, Reddit, 게임, 오래된 블로그 등 공개적으로 사용한 모든 사용자 이름

찾은 모든 것을 문서화하십시오. 스프레드시트를 만드십시오: 무엇이 발견되었는지, 어디서 발견되었는지, 가장 먼저 처리해야 할 우선순위는 무엇인지 기록하십시오.

1.2 역방향 이미지 검색

활동과 연관된 귀하의 사진이 공개되어 있다면:

Google 이미지, TinEye, PimEyes(안면 인식 기반 역방향 이미지 검색)에 업로드해 보십시오.
PimEyes는 특히 강력합니다 — 어떤 경우에는 감시 카메라 영상을 포함하여 웹 전역에서 얼굴을 찾아냅니다.
적이 알아내기 전에 PimEyes를 사용하여 귀하의 노출 수준을 파악하십시오.

1.3 데이터 브로커 감사

데이터 브로커는 공공 기록, 설문 조사 및 상업 데이터에서 개인 정보를 수집하여 판매하는 회사입니다. 주요 브로커는 다음과 같습니다:

Spokeo, WhitePages, Intelius, BeenVerified, Radaris, TruthFinder, Pipl
FamilyTreeNow (특히 가족 관계에 대해 상세함)
MyLife, PeopleFinder, Instantcheckmate

이들 각각에서 본인을 검색해 보십시오. 그들이 가지고 있는 것이 곧 적들이 가지고 있는 것입니다.

2. 데이터 브로커 옵트아웃 (수신 거부)

데이터 브로커 옵트아웃은 대부분의 사람이 할 수 있는 가장 영향력이 큰 OSINT 방어 행동입니다. 지루하지만 효과적입니다.

2.1 수동 옵트아웃

각 데이터 브로커마다 옵트아웃 절차가 있습니다. 대부분 다음을 요구합니다:

삭제를 위해 본인의 이름과 식별 정보를 제출 (아이러니하지만 필수적임)
삭제까지 30~60일 대기
프로세스 반복 — 브로커는 소스에서 데이터를 다시 수집하므로 6~12개월 내에 정보가 다시 나타날 가능성이 높습니다.

우선순위 옵트아웃 목록:

Spokeo: spokeo.com/optout
WhitePages: whitepages.com/suppression_requests
BeenVerified: beenverified.com/opt-out
Intelius: intelius.com/opt-out
Radaris: radaris.com/ng/public/profile/remove
TruthFinder: truthfinder.com/opt-out
Instantcheckmate: instantcheckmate.com/opt-out
MyLife: mylife.com/optout
FamilyTreeNow: familytreenow.com/optout

미국 전국 대상 리소스: Privacy Rights Clearinghouse는 privacyrights.org/data-broker-opt-out 에서 포괄적인 옵트아웃 가이드를 유지 관리합니다.

2.2 자동화된 옵트아웃 서비스

수동 옵트아웃을 완료할 수 없는 경우, 자동화된 서비스가 대신해 줍니다 (데이터가 다시 나타날 경우 반복적으로 제거함):

DeleteMe: 1인당 연간 ~$129; 포괄적인 브로커 정보 삭제, 검증 보고서 발행
Kanary: 커버리지가 좋은 대안
Mozilla Monitor Plus: Firefox와 통합된 Mozilla Foundation의 최신 옵션

제한 사항: 어떤 자동화된 서비스도 모든 브로커를 다루지 못하며, 브로커는 지속적으로 새로운 수집 소스를 추가합니다. 자동 제거는 수동 우선순위 옵트아웃을 보완하는 것이지 대체하는 것이 아닙니다.

2.3 Google 검색 결과 삭제

Google을 사용하면 검색 결과에서 특정 개인 정보 삭제를 요청할 수 있습니다:

집 주소, 전화번호, 이메일 주소
로그인 자격 증명 (Login credentials)
미성년자의 이미지
동의하지 않은 노출 이미지

myaccount.google.com/data-and-privacy 또는 직접 삭제 도구(support.google.com/websearch/troubleshooter/9685456)를 통해 삭제 요청을 제출하십시오.

참고: 이렇게 하면 기본 페이지가 아니라 검색 결과가 삭제됩니다. 소스(원본)를 삭제하려면 해당 호스팅 사이트에 직접 문의하십시오.

3. 소셜 미디어 보안 강화

3.1 공개 프로필 감사

각 소셜 미디어 계정에 대해:

공개적으로 표시되는 내용(프로필 사진, 이름, 약력, 게시물)을 검토하십시오.
내가 팔로우하는 사람과 나를 팔로우하는 사람을 검토하십시오 — 대부분의 플랫폼에서 이러한 소셜 그래프는 기본적으로 공개됩니다.
태그된 사진을 검토하십시오 — 내가 게시하지 않았지만 다른 사람이 나를 태그한 사진

3.2 플랫폼별 조치

Facebook:

설정 및 개인정보 → 활동 로그 → 향후 게시물을 볼 수 있는 사람 → 친구 (또는 최대 개인정보 보호를 위해 나만 보기)
설정 및 개인정보 → 사람들이 나를 찾고 연락하는 방법 → 전화번호로 나를 찾을 수 있는 사람 → 나만 보기
설정 → 개인정보 → 내 Facebook 정보 → Facebook 외부 활동 → 내역 지우기 — 그리고 향후 Facebook 외부 활동 추적 비활성화
공개 프로필에서 전화번호와 이메일 삭제
위치, 소속 또는 현재 노출되기를 원하지 않는 정보를 드러내는 이전 게시물을 검토하고 삭제하십시오.

Instagram:

비공개 계정으로 전환: 설정 → 계정 공개 범위 → 비공개 계정
태그된 사진 제거 또는 숨기기: 내 프로필 → 사진 → [사진] → ⋯ → 내 프로필에서 숨기기
비활성화: 설정 → 광고 → 광고 기본 설정 → 파트너가 제공하는 내 활동에 관한 데이터

Twitter/X:

민감한 사용자의 경우 가능하면 보호/비공개 계정으로 만드십시오.
전화번호 제거: 설정 및 개인정보 → 내 계정 → 계정 정보 → 전화번호
위치 데이터 비활성화: 설정 및 개인정보 → 개인정보 및 안전 → 위치 정보

LinkedIn:

설정 → 공개 범위 → 공개 프로필 수정 — 1촌이 아닌 사람에게 공개되는 내용 축소
전화번호와 정확한 주소 제거
비활성화: 설정 → 데이터 개인정보 보호 → 채용 공고를 찾는 방식 → 채용 담당자에게 관심 표시 (이 기능은 귀하의 정보를 제3자에게 브로드캐스트합니다)
귀하의 상황에 LinkedIn이 정말 필요한지 고려하십시오 — LinkedIn은 대부분의 전문가에 대해 가장 상세한 공개 프로필을 제공합니다.

3.3 플랫폼 간 사용자 이름(Username)의 일관성

분리하여 유지하고 싶은 플랫폼 간에 동일한 사용자 이름을 재사용하지 마십시오.
다른 사용자 이름을 사용하면 활동가 계정과 개인 계정 간의 사소한 연관성을 방지할 수 있습니다.
Namechk.com 또는 KnowEm.com을 사용하여 플랫폼 전반에 걸쳐 내 사용자 이름이 어디에 표시되는지 확인하십시오 — 그런 다음 해당 계정을 소유(claim)하여 정보를 지울 것인지(blank) 아니면 그냥 둘 것인지 결정하십시오.

4. 계정 삭제 및 데이터 최소화

4.1 오래된 계정 삭제

과거의 오래된 계정에는 귀하가 잊고 있던 데이터 유출, 잊혀진 게시물 및 신원 연관성(identity correlations)이 누적됩니다.

JustDeleteMe.com: 수백 개의 서비스에 대한 삭제 페이지로 가는 직접 링크 디렉토리(난이도 평가 포함)
더 이상 적극적으로 사용하지 않는 계정을 삭제하십시오.
삭제가 불가능한 경우 계정을 보관(archive)하고 잠그십시오 (비공개, 개인 정보 제거, 사용자 이름을 일반적인 것으로 변경).

4.2 이메일 주소 위생

활동을 위한 이메일 주소는 사생활을 위한 이메일과 다른 것을 사용하십시오.
단체 가입 및 커뮤니케이션을 위해 프라이버시를 존중하는 제공업체(Proton Mail, Tutanota)에 전용 이메일 주소를 만드십시오.
서비스에 가입할 때 이메일 별칭 (email aliases) (SimpleLogin, AnonAddy)을 사용하십시오 — 각 서비스마다 고유한 별칭 주소를 얻습니다. 해당 별칭에 스팸이 수신되기 시작하면 어떤 서비스가 내 데이터를 팔았는지 알 수 있습니다. 별칭을 비활성화하여 차단하십시오.

4.3 전화번호 위생

법적으로 요구되거나 작전상 필요한 경우가 아니면 앱이나 서비스에 실제 전화번호를 제공하지 마십시오.
서비스 가입 시 VOIP 번호 (Google Voice, MySudo, JMP.chat)를 사용하십시오.
가능한 한 기존 계정에서 전화번호를 삭제하십시오.
일부 서비스는 계정 복구 수단으로 전화번호를 사용합니다 — TOTP 인증으로 바꾸고 전화번호를 삭제하십시오 (계정에 계속 액세스할 수 있는지 확인).

5. 물리적 세계의 OSINT 축소

디지털 발자국은 그림의 절반에 불과합니다. 물리적 기록 또한 OSINT 데이터베이스의 먹이가 됩니다.

5.1 유권자 등록

미국 대부분의 주에서 유권자 등록 기록은 공개되어 있으며 귀하의 이름, 집 주소, 지지 정당이 포함됩니다. 일부 주에서는 이 데이터를 상업 브로커에게 판매합니다.

ncsl.org에서 유권자 등록 프라이버시에 관한 주(state)별 규정을 확인하십시오.
많은 주에서 가정 폭력 생존자, 범죄 피해자 또는 (일부 주에서는) 활동가를 위한 비공개 등록을 허용합니다 — 귀하의 주에 “주소 기밀 유지 프로그램(Address Confidentiality Program)”이 있는지 확인하십시오.
허용되는 주에서는 유권자 등록에 사서함(P.O. Box)이나 우편 서비스 주소를 사용하십시오 (주법의 합법성 확인).

5.2 부동산 기록

부동산을 소유한 경우, 미국 모든 주에서 이름과 부동산 주소가 공개 기록으로 남습니다.

가능하다면 프라이버시를 위해 LLC 또는 신탁(trust)을 통해 재산을 소유하는 것을 고려하십시오 (세금 및 법적 영향이 있으므로 변호사와 상담).
임대(rent)를 하는 경우, 집주인의 이름과 귀하의 대략적인 주소가 여전히 데이터 브로커 시스템에 나타날 수 있습니다.

5.3 사업 및 전문 자격 등록

사업자 등록(국무장관 제출 서류)은 등록 대리인 주소를 포함한 공공 기록입니다.
사업 관련 서류 제출 시 집 주소 대신 등록 대리인(registered agent) 서비스를 이용하십시오.
비영리 단체의 990 세금 신고서는 공개되며 임원 이름과 때로는 주소가 포함됩니다 — 모든 공식적인 제출 서류에는 자택 주소가 아닌 조직의 주소를 사용하십시오.

5.4 법원 기록

법원 기록(민사 소송, 소액 사건, 교통 위반, 형사 문제)은 일반적으로 공공 기록이며 데이터 브로커 수집에 자주 나타납니다. 선택지는 제한적입니다:

많은 법원이 민감한 문제에 대해 기록 봉인(sealing of records)을 허용합니다 — 변호사와 상의하십시오.
교통 법규 위반은 종종 나타나며 봉인될 수 없습니다.
추가 기록을 생성하는 경솔한 소송(frivolous litigation)을 최소화하십시오.

6. 방어적 OSINT: 자신의 노출 수준 모니터링

발자국을 줄인 후에는 새로운 정보가 표면화될 때 이를 감지할 수 있도록 모니터링을 설정하십시오.

6.1 Google 알리미(Alerts)

google.com/alerts에서 다음에 대한 Google 알리미를 설정하십시오:

따옴표로 묶은 전체 이름
알려진 사용자 이름(usernames)
조직의 이름
집 주소

해당 검색어와 일치하는 새 콘텐츠가 Google 인덱스에 나타나면 알림 이메일이 발송됩니다.

6.2 Have I Been Pwned

haveibeenpwned.com에서 정보 유출 알림에 가입하십시오 — 귀하의 이메일이 새로 발견된 데이터 유출(data breach)에 포함된 경우 알림을 받게 됩니다.

6.3 정기적인 재감사(Re-Audits)

초기 OSINT 감사(섹션 1)를 6개월마다 반복하십시오. 새로운 데이터 소스가 지속적으로 나타나며, 기존 브로커는 귀하가 옵트아웃한 후에도 데이터를 다시 수집합니다. 처리는 일회성이 아니라 지속적이어야 합니다.

7. 가족 및 관계 보호

OSINT 적대자는 귀하와 연결된 사람들 — 가족 구성원(특히 부모, 형제자매, 파트너), 고용주, 친한 친구 — 을 표적으로 삼아 귀하에 대해 직접 찾을 수 없는 정보를 찾아냅니다.

주요 가족 구성원에게 경고하기: 가장 가까운 가족에게 귀하가 온라인 조사의 표적이 될 수 있으며 그들이 연락을 받을 수도 있다고 말하십시오. 그들이 할 말: 귀하가 본인이 아니라는 것을 확인하는 것 외에는 아무 말도 하지 말 것. 만약 그들이 괴롭힘을 당할 경우 NLG(전국 변호사 협회) 연락처 정보를 제공하십시오.
활동가 계정과 연결된 사진에 가족 구성원을 태그하지 마십시오.
귀하의 활동가 신분과 연결된 어떠한 공적인 맥락에서도 가족 구성원의 직장, 일상 또는 식별 정보를 언급하지 마십시오.
소셜 그래프 데이터에서 귀하의 관계(연관성)를 줄이십시오: Facebook 친구 목록, Instagram 팔로워, LinkedIn 1촌을 검토하십시오. 활동가로서의 신원과 개인 신원을 연결하는 연결 고리가 있습니까?

이 가이드는 법률적 조언을 구성하지 않습니다. 법률은 관할 구역마다 다릅니다.

← 목차로 돌아가기