프리텍스팅 전문가가 말하는 프리텍스팅의 세계

프리텍스팅(pretexting)이 가장 활발했던 시기는 1990년대 중반이다. 당시 프리텍스팅 수요가 많았던 타블로이드, 로펌, 일반 기업들 대부분이 프리텍스팅으로 짭짤한 수익을 챙긴 제임스 랩(James Rapp)의 주요 고객들이다. 스스로를 데이터 브로커라고 밝힌 랩은 은행, 병원, 전회 회사의 직원들을 속여 정보를 빼내는 소위 ‘프리텍스팅(pretexting)’을 통해 다른 사람들의 사생활에 깊숙이 침투했다. 지난 2000년 연방 정부로부터 사업 중단 명령이 나오기 전까지 프리텍스팅을 이용한 랩의 데이터 수집 활동은 LAPD, 모니카 르윈스키, 콜롬비아 고등학교 대학살의 희생자들 일부에 이르기까지 거의 모든 영역을 파고들었으며, 이들에 대한 모든 정보가 랩의 수중에 있다.한때 더티 디즈 던 더트 칩(Dirty Deeds Done Dirt Cheap)이라는 데이터 중개 회사를 운영하기도 했던 랩은 “주소만 있으면 그 주소로 걸려오는 모든 전화번호를 알아낼 수 있다. 등록돼 있는 번호든, 아니면 휴대폰 번호든 상관없다. 전화번호를 알아내는 일은 그야말로 식은 죽 먹기”라고 소개했다.언론에 정보를 흘린 정보 유출자를 알아내기 위해 프리텍스팅을 이용했던 HP의 타깃 대상들도 이 범주에서 벗어나지 않는다. 실리콘밸리 거물기업 중 하나인 HP는 자사 이사진과 직원 2명, CNET 뉴스닷컴 기자 3명을 포함한 기자 9명, 기타 관련자들의 전화 기록을 입수하기 위해 프리텍스팅 기법을 이용하는 사설 탐정을 고용했다는 사실을 인정했다.현재 전국 언론의 이목을 집중시키고 있는 HP의 이번 사건이 터지면서 프리텍스팅을 이용해 정보를 수집한 후 고객에게 판매하는 데이터 브로커들의 어두운 이면이 집중적으로 조명되고 있다. 프리텍스터는 은행이나 병원 등에서 근무하는 직원들을 속여 사적인 데이터를 빼내는 사람을 말한다. 전문가들은 프리텍스팅을 사기성을 띤 ‘소셜 엔지니어링’이라고 정의한다. 랩에 따르면 프리텍스팅은 이미 대중화됐으며, 실행이 쉽고 고수익도 보장한다. 랩이 운영하던 회사는 1990년대 중반에 프리텍스팅 비즈니스로 한 해에 100만 달러의 매출을 올리기도 했다. 랩은 지난 6월 미 하원 감독/조사 소위원회(Oversight and Investigations)가 개최한 프리텍스팅 공청회에서 “하려고 마음만 먹는다면 누구라도 다른 사람인 것처럼 위장할 수 있다”며, “전화를 받는 상대방 혹은 고객 서비스 관계자들은 전화를 건 사람을 진정으로 돕고 싶어한다. 나는 수익 창출을 위해 프리텍스팅을 이용하며, 전화를 받는 상대방이 나에게 특정 데이터를 제공해야 한다고 생각하도록 확신시킨다”고 소개했다.소위원회는 오는 목요일 청문회를 열어 HP 임원들과 HP의 의뢰를 받은 기업 조사관들로부터 이번 사건에 이용된 프리텍스팅 관련 증언을 확보할 예정이다.프리텍스팅 기법랩이 그동안 해왔던 활동 내용을 살펴본다면 현재 미 전역에서 활동하고 있는 수백명의 데이터 브로커들이 어떻게 프리텍스팅을 이용하는지 알 수 있다. 랩은 데이터 브로커 사업을 정리한 후 현재 하고 있는 일에 대해서는 밝히지 않았다. 랩은 이번 HP의 스파이 활동과 직접적인 연관이 없는 것으로 알려져 있지만 이번 사건에 연루된 일부 관계자들과는 밀접하게 연관돼 있다.47세의 랩은 HP가 프리텍스팅을 위해 고용한 업체의 하청업체로 알려져 있는 사설 탐정 중 하나인 조에 드판테(Joe DePante)와 긴밀한 사업 협력 관계를 유지한 적도 있다. 관계자들에 따르면 캘리포니아 변호사 사무소가 현재 랩의 조카인 브라이언 와그너가 HP 사건에서 전화 기록을 제공하는 역할을 수행했는지에 대해 조사를 벌이고 있다.와그너와 드판테로부터 이와 관련한 입장을 듣고자 했으나 연락이 닿지 않았다.랩은 자동차 절도범으로 콜로라도 교도소에 수감돼 있을 때 프리텍스팅 사업을 알게 됐다. 당시 18세였던 랩이 정보를 제공받기 위해 고객 서비스 담당자들을 속이는 기법을 배운 곳이 바로 콜로라도 교도소다. 당시 아내 혹은 여자친구와 헤어진 다른 수감자들이 과거 여자친구나 아내가 살고 있는 지역을 알아봐 달라고 랩에게 요청하곤 했다. 이때 랩은 교도소의 유료 전화를 이용해 작업을 하면서 전화 회사의 800 번호로 전화를 걸어 거짓말을 하기 시작했다.의뢰인이 지정한 여성의 새 주소를 알아내야 하는 경우에는 전화 회사 직원에게 해당 여성의 전 주소를 대고 자신을 신뢰하도록 하는 방법을 이용했다.랩은 증언에서 “전화 상대방은 내가 필요로 하는 정보를 제공할 때 정보의 내용과 상관없이 일말의 동정심이나 압박감을 느꼈을 수 있다”고 밝혔다.랩에 따르면 프리텍스팅이 가장 활발했던 시기는 1990년대 중반이다. 당시에는 타블로이드 언론매체들이 유명인의 범죄나 스캔들 관련 보도에 열을 올리고 있었기 때문에 랩은 상당한 수익을 챙길 수 있었다. 뿐만 아니라 경쟁업체들의 정보를 빼내기 위해 갖은 수단을 사용하던 기업들의 프리텍스팅 수요도 상당했다. 랩은 직원들을 교육시키고 자신이 개발한 방식을 사업으로 전환하기 위해 프리텍스트 매뉴얼을 만들었다.이 매뉴얼은 지난 6월 소위원회 공청회에 제출됐으며, ‘공개되지 않은 주소와 전화번호에 대한 조사’ 항목도 포함돼 있다. 이 항목에서 랩은 개인의 비디오 상점, 야채 가게, 신문 제공업체, 혹은 케이블 업체 등 데이터 수집에 도움이 되는 다양한 소스들에 대해 다루고 있다. 뿐만 아니라 “카드 번호 없이 계산서 얻어내기”라는 내용도 별도의 장을 할애에 설명해 놓았다.하원 위원회 회원인 바트 스튜팩(공화당)은 “이들 중 일부는 이러한 수단을 이용해 매우 성공적으로 정보를 수집한다”며, “우리 자신에 관해 누군가가 가장 민감한 정보를 알아낼 수 있다고 생각된다면 언제나 조심해야 한다. 사람들은 자신의 정보가 사적인 정보로 보호받을 수 있는 금융과 의료 기록을 작성할 때 보안에 각별히 주의를 기울여야 한다”고 덧붙였다.비즈니스 수요보안 컨설턴트 롭 더글라스도 랩 같은 데이터 수집업체들이 프리텍스팅에 의존한다는 사실을 알기 전까지는 이들 업체를 이용했다. 데이터 보안에 관해 의회에서도 수차례 증언했던 더글라스에 따르면 프리텍스팅을 통해서만 확보할 수 있는 데이터의 최대 수요자는 기업들이다.그는 “기업들이 얻고자 하는 정보가 바로 이런 것들이다. 이 때문에 우리 회사의 정보 브로커를 해고하자 기업들과의 계약도 중단됐다. 하지만 우리 회사 말고도 이런 정보를 제공할 수 있는 곳은 많다. 나의 경우는 사업의 절반을 잃은 셈”이라고 밝혔다. 더글러스의 말을 곧이곧대로 수용한다면 HP의 이번 스캔들은 HP뿐 아니라 미국 기업들 사이에서 프리텍스팅이 일반화돼 있다는 말이 된다. HP의 경우를 보더라도 HP가 이러한 조사를 수행하고 있으며, 전 이사회 회원인 톰 퍼킨스가 진실을 밝히기 위해 임원들을 압박하지는 않았다는 사실을 일반인들이 모른 채 지나갈 수도 있었다.랩은 이보다 더 심각한 사실을 폭로했다. 프리텍스팅을 중단하는 것이 불가능할 수 있다는 것이다.그는 전화회사에 대해 언급하면서 전화회사가 고객에게 패스워드 설정을 요청하라고 제안했다. 이어 전화 발신자가 질문을 위해 유선전화나 휴대폰으로 전화를 걸어온 경우가 아니라면 어느 누구에게도 정보를 제공하지 말아야 한다고 주장했다.랩은 그러나 의료와 금융 기록에 대해서는 별다른 제안을 하지 않았다.랩은 병원의 경우 응급 상황에 대비해 기록을 제공해야 하므로 데이터 보안이 전화회사보다 더 취약한 상태라고 밝혔다. 또 은행의 경우는 굳게 잠긴 금고의 돈은 안전하게 보관할 수 있을지 모르지만 은행에 저장된 개인의 정보 보호는 매우 취약하다고 언급했다.랩은 “은행은 자사의 고객을 지원해야 한다. 고객과의 업무를 처리하려면 충분히 개방돼 있어야 한다는 말이다. 예를 들어 내가 은행에 전화를 걸어 예금을 기다리고 있으니 입금됐는지 확인해 달라고 요청한다. 이때 나는 모든 수표의 하단에 적혀 있는 공개 정보인 라우팅 숫자를 말한다. 그러면 은행은 ‘아니, 당신의 계좌번호가 필요합니다’라고 할 것이다.그러면 나는 이렇게 말한다. 이 예금은 내 계좌번호에서 처리됐다. 입금 확인을 요청하며 매우 급하다. 그 후에 해당 은행계좌 소유주의 사회보장번호를 알려준다. 그러면 은행이 나에게 계좌번호를 알려주게 된다. 이러한 프로세스는 중단시킬 수 없을 것“이라고 강조했다. @