미국 연방거래위원회(FTC)에 따르면, 데이터 유출로 고객 및 감시 대상자의 개인정보가 노출된 후 감시 산업에서 금지된 스토커웨어 제조업체는 이 침습적 소프트웨어를 다시 판매할 수 없게 될 것이라고 밝혔다.
FTC는 소비자 스파이웨어 회사 서포트 킹(Support King)과 그 자회사 스파이폰(SpyFone), 원클릭모니터(OneClickMonitor)의 설립자 스콧 주커만(Scott Zuckerman)이 해당 금지 조치를 취소해 달라는 요청을 거부했다.
FTC는 월요일 보도 자료를 통해 주커만이 올해 7월 연방 감독 기관에 금지 명령을 철회하거나 수정해 달라고 청원한 후 이를 거부했다고 발표했다.
2021년 FTC는 주커만이 “감시 앱, 서비스 또는 사업을 제공, 홍보, 판매 또는 광고하는 것”을 금지해 사실상 그가 또 다른 스토커웨어 사업을 운영하는 것을 막았다. 또한 FTC는 주커만에게 스파이폰이 수집한 모든 데이터를 삭제하고, 빈번한 감사를 받으며 사업을 위해 특정 사이버 보안 관행을 수립하라고 명령했다.
“스파이폰은 스토커들이 개인정보를 훔치는 것을 도운 감시 사업의 뻔뻔한 브랜드명이었다”고 당시 FTC 소비자보호국 대행 국장이었던 사무엘 레비네(Samuel Levine)는 말했다. “이 스토커웨어는 기기 소유자에게는 숨겨져 있었지만, 회사의 허술한 보안을 악용한 해커들에게는 완전히 노출되어 있었다.”
주커만은 청원에서 FTC 명령의 보안 요건으로 인해 서포트 킹이 더 이상 운영되지 않고 현재는 레스토랑만 운영하며 푸에르토리코에서 다른 “관광 사업”을 계획 중임에도 불구하고, 재정적 비용 때문에 다른 사업을 운영하기가 더 어려워졌다고 주장했다.
이메일로 연락한 주커만은 코멘트를 거절하고 변호사에게 질문을 돌렸다.
Techcrunch 이벤트
샌프란시스코
|
2026년 10월 13-15일
FTC 금지 조치는 2018년 한 보안 연구원이 스파이폰 소유의 아마존 S3 버킷을 발견한 사건에서 비롯되었다. 이 버킷은 셀카, 문자 메시지, 채팅 앱 메시지, 음성 녹음, 연락처, 위치, 해시된 비밀번호 및 로그인 정보 등 극도로 민감한 데이터를 인터넷에 공개해 누구나 볼 수 있고 접근할 수 있게 했다.
노출된 데이터에는 44,109개의 고유 이메일 주소와, 침해 사고를 발견한 연구원에 따르면 스파이폰 스토커웨어가 설치된 3,666대의 휴대전화에서 “최소 2,208명의 ‘현재 고객’과 각 폴더에 수백 또는 수천 개의 사진 및 오디오 파일”이 포함되어 있었다.
연락처
스토커웨어 제조업체에 대한 추가 정보가 있으신가요? 비업무 기기에서 로렌조 프란체스키-비키에라이(Lorenzo Franceschi-Bicchierai)에게 시그널(+1 917 257 1382), 텔레그램 및 키베이스(@lorenzofb), 또는 이메일로 안전하게 연락할 수 있습니다.
2021년 FTC 명령 이후 1년도 채 지나지 않아 테크크런치는 주커만이 또 다른 스토커웨어 회사를 운영하고 있는 것처럼 보인다고 보도했다. 2022년 테크크런치는 스토커웨어 앱 스파이트랙(SpyTrac)에서 유출된 대량의 데이터를 입수했다. 이 데이터는 스파이트랙이 서포트 킹과 직접적인 연결이 있는 프리랜서 개발자들에 의해 운영되며, 이는 FTC 금지를 우회하려는 시도처럼 보였다. 게다가 유출된 데이터에는 주커만이 삭제하라는 명령을 받은 스파이폰의 기록과 그의 또 다른 스토커웨어 앱인 원클릭모니터의 클라우드 저장소에 접근할 수 있는 키가 포함되어 있었다.
스토커웨어 분야의 저명한 전문가인 에바 갈페린(Eva Galperin)은 이 소식을 환영했다. “주커만 씨는 몇 년 동안 눈에 띄지 않으면 모든 사람이 FTC가 회사뿐만 아니라 그를 특별히 금지한 이유를 잊어버릴 것이라고 희망했던 것 같다”고 갈페린은 테크크런치에 말했다.
2022년 테크크런치가 보도한 주커만이 FTC 금지를 어긴 것으로 보인다는 사실은 “주커만이 교훈을 얻지 못했음을 시사한다”고 디지털 권리 비영리 단체 전자 프론티어 재단(Electronic Frontier Foundation)의 사이버 보안 디렉터인 갈페린은 덧붙였다.
스토커웨어 앱은 고객이 사랑하는 사람들의 휴대전화와 기기를 몰래 감시할 수 있게 한다. 잠재적으로 불법적인 활동을 가능하게 할 뿐만 아니라, 지난 8년 동안 테크크런치의 집계에 따르면 최소 26개의 스토커웨어 회사가 해킹을 당하거나 민감한 데이터를 온라인에 노출시킨 사례가 있다. 이러한 반복적인 사건들은 이들 회사가 고객과 그들이 감시하는 사람들의 프라이버시를 보호하는 데 반복적으로 실패했음을 보여준다.
