에 의해 스티븐 리 마이어스와 티파니 수뉴욕 타임즈 컴퍼니
레이캬비크, 아이슬란드 — 아이슬란드 수도 레이캬비크의 항구 근처에 있는 현대적인 사무실 건물은 320개의 포유류 성기 표본을 전시하고 있는 아이슬란드 성기 박물관의 본거지로 가장 잘 알려져 있습니다.
그러나 사이버 장난을 추적하는 사람들에게 이 건물은 신원 도용, 랜섬웨어, 허위 정보, 사기 및 기타 범죄를 저지른 세계 최악의 가해자들이 있는 가상의 해외 피난처라는 평판도 갖고 있습니다.
그 이유는 박물관의 주소인 Kalkofnsvegur 2가 개인 정보 보호를 위해 보류된 회사의 등록 주소이기도 하기 때문입니다. 이 회사는 온라인 도메인을 운영하는 사람들이 자신의 신원을 보호할 수 있도록 하는 아이슬란드 및 기타 지역에서 호황을 누리고 대체로 규제되지 않는 산업의 일부입니다.
괴롭힘이나 스팸으로부터 자신을 보호하려는 웹사이트 소유자에게는 이러한 관행이 일반화되었지만 다른 사람들이 감시하는 규제 기관, 법 집행 기관 또는 피해자로부터 자신의 흔적을 숨기는 데도 도움이 되었습니다.
개인 정보 보호를 위한 보류 및 기타 소위 프록시 서비스로 인해 아이슬란드는 국가 규모에 비해 훨씬 더 많은 불법 활동의 글로벌 허브로 변모했습니다.
세계 최대 웹사이트 제공업체 중 하나인 Namecheap이 2021년에 설립한 이 회사는 수만 개의 개략적인 인터넷 사이트를 효과적으로 보호했습니다. 심지어 지방 당국도 문제가 발생했을 때 회사 대표에게 연락을 시도했지만 실패했다고 말했습니다.
페이스북과 인스타그램의 기만적인 정치 광고를 연구하는 시러큐스 대학의 연구원들은 도널드 트럼프 전 대통령 지지자들을 표적으로 삼아 사기성 광고에 130만 달러를 지출한 웹사이트의 소유자를 추적하던 중 우연히 성기 박물관을 발견했습니다.
이 사기는 Facebook의 소유자인 Meta가 올해 광고를 종료하고 도메인을 차단하기 전에 피해자를 속여 신용 카드 정보를 공유하고 무의식적으로 엄청난 월별 지불액을 지불하도록 하려고 했습니다.
인터넷에는 잘 속는 사용자를 속이거나 속이려는 유사한 사이트가 가득하며, 프록시 서비스가 남용될 경우 가해자를 잡거나 식별하는 것이 훨씬 더 어려워집니다.
Syracuse의 민주주의, 저널리즘 및 시민권 연구소의 연구 소프트웨어 엔지니어인 Jon Stromer-Galley는 “이것은 나에게 새를 주는 인터넷 버전입니다.”라고 말했습니다.
Withheld for Privacy는 건물의 주소를 고객의 기본 주소로 사용하기 때문에 Kalkofnsvegur 2는 미국의 백인 우월주의 단체인 Patriot Front가 트랜스 여성에게 위조 호르몬 약을 판매하는 데 사용하는 온라인 포럼에 연결되었습니다. 방문자로부터 돈과 개인 정보를 훔치기 위해 Amazon, Coinbase, Spotify 등의 회사를 사칭하는 피싱 사이트에 접속합니다. 그리고 의심하지 않는 미국인들에게 가짜 이야기를 퍼뜨리려는 러시아의 영향력 캠페인에 대해서도 마찬가지입니다.
미국이 블라디미르 푸틴 대통령 행정부와 연계한 러시아의 노력에는 현재 모스크바에 살고 있는 전직 플로리다 보안관 존 마크 두건(John Mark Dougan)이 올해 등록한 130개 이상의 가짜 뉴스 매체가 포함됩니다.
Dougan의 최근 노력 중에는 존재하지 않는 채널인 샌프란시스코의 KBSF-TV 웹사이트에서 진행된 인터뷰에서 Kamala Harris 부통령이 2011년 뺑소니 사고로 소녀를 다치게 했다는 거짓 주장이 있었습니다.
아이슬란드는 사기꾼이나 기타 범죄자를 보호하기 위한 것이 아니라 권위주의 정부로부터 일반 사용자를 보호하기 위한 것이라고 관계자들이 말한 강력한 개인 정보 보호법 때문에 프록시 서비스에 매력적인 곳입니다.
아이슬란드 최초의 인터넷 개인정보 보호법 제정을 도왔던 전직 아이슬란드 국회의원 모르두르 잉골프손(Mordur Ingolfsson)은 “우리는 바이트의 스위스라고 부르는 것을 만드는 것이 목표였습니다.”라고 말했습니다. 대신 일어난 일은 “우리가 한 일을 남용한 것”입니다.
개인 정보 보호를 위해 보류되거나 Namecheap은 반복적인 의견 요청에 응답하지 않았습니다. 아이슬란드 데이터 보호 당국의 감독 책임자인 Valborg Steingrimsdottir는 “그들의 서비스는 실제 컨트롤러가 누구인지 숨기는 것뿐입니다.”라고 말했습니다.
웹사이트는 주소의 온라인 버전과 같은 기능을 하는 반면, 웹사이트는 해당 주소의 건물과 같은 기능을 하는 인터넷 도메인은 오랫동안 미국 정부가 지정한 국제 비영리 조직인 ICANN(Internet Corporation for Assigned Names and Numbers)에 의해 규제되어 왔습니다. 1998년 정부 출범.
2018년까지 도메인을 사용하려는 사람은 누구나 연락처 정보를 공개해야 했으며, 연락처 정보는 검색 가능한 공개 데이터베이스에 기록되었습니다. 목표는 웹사이트가 자신들이 주장하는 그대로라는 대중의 신뢰를 보장하는 것이었습니다.
그런 다음 유럽 연합은 세계에서 가장 엄격한 온라인 개인 정보 보호법인 일반 데이터 보호 규정을 통과시켰습니다. 글로벌 표준을 형성한 규정에 따라 대부분의 등록자는 자신의 연락처 정보를 보호할 수 있습니다. 프록시 보호는 곧 많은 경우 기본 기능이 되었습니다.
미국 정부 사이트의 .gov나 아이슬란드의 .is와 같은 특정 최상위 도메인과 달리 보다 친숙한 .com, .org, .net 도메인과 대부분의 도메인은 등록기관이라는 민간 회사에서 관리합니다. 최대 규모의 GoDaddy를 포함한 많은 기업이 도메인 등록을 위한 개인 정보 보호 서비스를 무료로 제공하며 잠재적으로 문제가 있는 클라이언트에 대한 정보를 공유해야 한다는 압박도 거의 받지 않습니다.
인터넷 정책 및 보안 서비스를 제공하는 컨설팅 회사인 Illumintel의 사장인 Greg Aaron은 “사이버 범죄와 잘못된 정보에 대한 우려가 증가하는 상황에서 업계는 매우 불투명해졌습니다.”라고 말했습니다.
자사의 제품이나 서비스가 불법적으로 사용된 경우 책임이 없다고 주장하는 기술 기업이 아이슬란드와 기타 국가에서 거센 반발에 직면해 있습니다.
아이슬란드의 데이터 보호 당국은 검사 및 통신부와 함께 개인 정보 보호를 위해 보류와 같은 서비스가 아이슬란드에서 운영되는 것을 효과적으로 금지하는 법안을 추진했습니다.
Steingrimsdottir는 “이 문제를 관리할 수 있도록 법을 개정해야 합니다.”라고 말했습니다.
Namecheap은 2021년에 개인 정보 보호 도메인 서비스를 개인 정보 보호를 위해 보류로 전환한다고 발표했습니다. 이전에는 파나마에 기반을 둔 프록시를 사용했습니다. 발표문에는 회사가 “개인 정보 보호 표준으로 유명한 국가”이기 때문에 아이슬란드를 선택했다고 밝혔습니다.
많은 고객과 마찬가지로 개인 정보 보호를 위해 보류된 회사는 신비한 존재로, 그 활동이 의도적으로 난독화되어 있는 것처럼 보입니다. 아이슬란드 국세청에 따르면 이 서비스는 Kalkofnsvegur 2에 등록되어 있지만 이 서비스가 6층 건물에서 공간을 차지하고 있다는 외부 징후는 없습니다.
아이슬란드 성기 박물관은 지하에 있고, H&M 의류 매장은 처음 2층을 차지하고 있습니다. 3층에 공유 서비스 사무실을 운영하는 영국 회사인 Regus의 영업 관리자는 Withheld for Privacy가 건물에 존재하지 않는다고 말했습니다.
박물관의 최고 운영 책임자인 Thordur O. Thordarson은 건물이 온라인에서 사악한 활동과 연결되는 것에 대해 당혹감을 표명했습니다. 그는 과학 및 문화 전시물을 둘러보며 이렇게 말했습니다. “우리는 음경 박물관입니다. 하지만 우리는 진지한 음경 박물관입니다.”
레이캬비크 세무국의 공개 기록에 따르면 개인 정보 보호를 위해 보류된 이사는 멕시코 출신의 Sergio Raygoza Hernandez로 등재되어 있지만 그 웹사이트에서 제공하는 전화번호나 이메일 주소를 통해 그 사람이나 다른 누구에게도 연락할 수 없었습니다.
아이슬란드의 .is 도메인 규제를 담당하는 민간 기업인 ISNIC 역시 개인 정보 보호를 위해 Withheld의 누구에게도 연락하지 못했습니다. 개인 정보 보호를 위해 Withheld를 사용하여 5개의 .is 도메인을 등록하려는 사람들의 신원을 확인하려고 시도했습니다.
ISNIC의 CEO인 Jens Petur Jensen은 ISNIC가 법에 따라 해당 5개 도메인을 차단할 수 있지만 아이슬란드는 해당 사이트가 해당 국가의 주소에 등록되어 있더라도 다른 도메인을 사용하는 사이트에 대해 법적 권한이 없다고 말했습니다.
2021년 개인정보 보호를 위해 보류가 등록된 직후, 전 세계 당국은 Kalkofnsvegur 2에 대한 문제 있는 활동을 추적하기 시작했습니다.
텍사스주 증권위원회는 그해 그곳에 등록된 사이트인 프레스티지 자산 관리(Prestige Assets Management)에 대해 정지 명령을 내려 다른 회사를 사칭하고 잠재적 투자자를 속여 민감한 식별 정보를 제공하도록 하는 계획을 운영하고 있다고 비난했습니다.
워싱턴의 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency)도 그해 미국의 주요 파이프라인을 공격한 러시아 기반의 사이버 해킹 그룹인 DarkSide와 연결된 레이캬비크 주소의 랜섬웨어 사이트 2곳에 대해 경고를 발령했습니다.
개인 정보 보호를 위해 보류된 뒤에 숨겨진 사이트 그룹이 캐나다 배우 Simu Liu를 비방하는 온라인 캠페인에 연결되었습니다. 다른 사이트에는 구직 및 아파트 지원자, 스포츠카 애호가, 음악가를 표적으로 삼아 개인 정보나 금융 데이터를 요구하는 명백한 사기가 포함되어 있었습니다.
Facebook, Instagram 및 WhatsApp을 소유한 Meta는 Namecheap과 얽혀 있습니다. 2020년에 Meta는 “Facebook 앱과 제휴된 것처럼 가장하여 사람들을 속이는 것을 목표로 하는 도메인 이름을 등록한 혐의로” 회사와 이전 프록시 서비스를 고소했습니다. 개인 정보 보호를 위한 보류를 포함하도록 2022년에 수정된 합의에서 Namecheap은 저작권 침해 및 기타 남용에 맞서 싸우기 위해 Meta와 협력하기로 합의했습니다.
올해 페이스북 메타 페이지가 폐쇄된 리버티 디펜더 그룹(Liberty Defender Group)의 경우도 그런 경우인 것 같습니다. Syracuse의 연구원에 따르면 동일한 운영자에 연결된 다른 도메인에서는 American Benefits News 및 Frontier of Freedom과 같은 다른 이름으로 계속 광고를 게재하고 있습니다.
언론의 자유법에 의해 콘텐츠가 보호되는 다른 사이트의 경우 상환 수단이 훨씬 적습니다.
허위 정보를 추적하는 회사인 NewsGuard의 연구원인 McKenzie Sadeghi에 따르면 현재 러시아에 있는 전직 보안관 대리 Dougan은 미국 내 이전 사이트 등록이 가짜 뉴스 조직으로 노출된 후 개인 정보 보호를 위해 보류를 통해 새 도메인을 등록했다고 합니다. 온라인.
ICANN의 데이터베이스에 따르면 마이크로소프트와 미국 정부가 지난달 크렘린과 연계한 해리스의 교통사고에 대한 허위 주장을 퍼뜨리는 가짜 텔레비전 뉴스 사이트는 8월에만 등록됐다.
이후 해당 사이트는 차단되었습니다. Dougan은 아이슬란드에 등록된 사이트에 대해 논평을 거부했습니다.
러시아의 개입은 NATO 회원국이지만 상비군이나 정보국이 없는 아이슬란드에서 특별한 우려를 불러일으켰습니다.
허위 정보를 감시하는 국가 미디어위원회의 Elfa Yr Gylfadottir 국장은 “개방적이고 민주적인 사회로서의 우리의 취약점이 악용되고 있습니다.”라고 말했습니다.
관행을 바꾸려는 사람들의 과제는 확고한 수비수가 있다는 것입니다. 위협 분석 회사인 Silent Push의 연구원인 Zach Edwards는 개인 정보 보호 서비스가 많은 합법적인 도메인 소유자에게 필수적인 보호 소스라고 말했습니다.
“대부분의 심각한 위협 행위자는 실제로 자신을 노출하지 않을 것입니다.”라고 그는 말했습니다. “도메인을 소유한 다른 모든 사람들의 경우 개인 정보 보호를 위해 보류와 같은 기능이 없다면 일반 사람들의 개인 정보 보호는 훨씬 더 악화될 것입니다.”
개인정보 보호를 위해 보류된 도메인은 레이캬비크 건물에 약 3,500만 개의 도메인을 등록했으며, 대다수는 합법적인 사용자로 추정됩니다. 그러나 개인정보 보호 서비스의 불투명성으로 인해 이들을 단속하는 것은 더 어렵지 않습니다.
“사용 중지와 남용은 어디에서 시작되나요?” 전직 국회의원인 잉골프손(Ingolfsson)에게 물었다. “이 질문은 매우 어려운 질문인데 우리는 아직 답변을 하지 못했습니다.”
이 기사는 원래 The New York Times에 게재되었습니다.
Economy Now 뉴스레터에 가입하시면 더 많은 비즈니스 소식을 받아보실 수 있습니다.
