I want you to travel back in time with me, to the before time, to 2017. I don't know if you can remember it, dinosaurs were roaming the earth. I was a security researcher, I had spent about five or six years doing research on the ways in which APTs, which is short for advanced persistent threats, which stands for nation-state actors, spy on journalists and activists and lawyers and scientists and just generally people who speak truth to power.
저와 함께 한번 시간을 거슬러 내려 가봐요. 2017년의 과거로요. 기억하실지는 모르겠지만 공룡들이 지구를 맴돌았고, 저는 한 보안 연구원이었어요. 그때 한 5~6년 동안 어떤 연구를 하고 있었는데, ATP(지능형 지속공격)이었어요. 지능적 지속공격, 또는 국가의 해커들이 언론인과, 정치인과, 변호사들과, 과학자들같은 진실에 힘을 담는 사람들을 염탐하는 것에 대한 연구였어요.
And I'd been doing this for a while when I discovered that one of my fellow researchers, with whom I had been doing this all this time, was allegedly a serial rapist. So the first thing that I did was I read a bunch of articles about this. And in January of 2018, I read an article with some of his alleged victims. And one of the things that really struck me about this article is how scared they were. They were really frightened, they had, you know, tape over the cameras on their phones and on their laptops, and what they were worried about was that he was a hacker and he was going to hack into their stuff and he was going to ruin their lives. And this had kept them silent for a really long time.
이 연구를 한창 하고 있었을 때 저는 이 연구를 처음부터 끝까지 함께한 동료 연구원이 이른바 연쇄강간범이란 사실을 알게 되었어요. 그래서 맨 처음으로 했던 것이, 그런 것에 관한 글들을 찾아봤어요. 그러다가 2018년 1월에 그 사람의 피해자들의 관한 글을 읽게 됐어요. 한가지 제 인상에 강하게 남았던 것은 그 피해자들의 두려움이었어요. 그들을 정말로 두려움에 떨고 있었어요. 그둘은 자신의 핸드폰 카메라와, 컴퓨터에 테이프를 붙여놔야 했고 그 해커가 자신들의 기기들을 해킹해서 자신의 인생을 망가트릴까봐 불안해 하고 있었어요. 그 불안이 그들을 오랜 시간 동안 침묵하게 만들었건 거예요.
So, I was furious. And I didn't want anyone to ever feel that way again. So I did what I usually do when I'm angry: I tweeted.
그걸 본 저는 격분했죠. 그 누구도 다시는 그 런 감정을 안 느꼈으면 했어요. 그래서 제가 화날 때마나 하듯이 트위터를 했어요.
(Laughter)
(웃음)
And the thing that I tweeted was that if you are a woman who has been sexually abused by a hacker and that hacker has threatened to break into your devices, that you could contact me and I would try to make sure that your device got a full, sort of, forensic look over. And then I went to lunch.
이렇게 트윗했어요. 만약 당신이 해커에게 성적으로 피해를 받은 적이 있다면 그리고 만약 그 해커가 당신을 해킹할 것이라고 협박했다면 저에게 연락을 주세요. 그러면 저는 당신들의 기기가 전체적으로 과학 수사의 보호를 받을수 있도록 해주겠습니다. 그러고는 저는 점심을 먹으러 갔죠.
(Laughter)
(웃음)
Ten thousand retweets later,
그로부터 몇만 개의 리트위트 후,
(Laughter)
(웃음)
I had accidentally started a project.
저는 저도 모르게 프로잭트를 시작해 버렸죠.
So every morning, I woke up and my mailbox was full. It was full of the stories of men and women telling me the worst thing that had ever happened to them. I was contacted by women who were being spied on by men, by men who were being spied on by men, by women who were being spied on by women, but the vast majority of the people contacting me were women who had been sexually abused by men who were now spying on them. The one particularly interesting case involved a man who came to me, because his boyfriend had outed him as gay to his extremely conservative Korean family. So this is not just men-spying-on-women issue.
매일 일어나면 메일이 꽉 차 있었죠. 남녀노소 관계없이 자신들에게 일어난 최악의 이야기들로 꽉 차 있었죠. 남자들에게 감시받는 여자들, 남자들에게 감시받는 남자들, 여자들에게 감시받는 여자들 등 많았지만 대부분 저에게 연락하는 분들은 남자들에게 성적 폭행을 당한뒤 그들에게 감시받고 있는 여성들이었어요. 특히 흥미로웠던 사건을 설명하자면 어떤 남자가 저에게 찾아와서 자신의 남자친구가 자신의 아주 보수적인 한국인 가족들에게 자신이 게이라는 사실을 밝혔대요. 이것은 단순히 남자가 여자를 감시하는 사건이 아니였던 거죠.
And I'm here to share what I learned from this experience. What I learned is that data leaks. It's like water. It gets in places you don't want it. Human leaks. Your friends give away information about you. Your family gives away information about you. You go to a party, somebody tags you as having been there. And this is one of the ways in which abusers pick up information about you that you don't otherwise want them to know. It is not uncommon for abusers to go to friends and family and ask for information about their victims under the guise of being concerned about their "mental health."
그래서 저는 이 이야기를 통해 깨달았던 것을 알려줄게요. 제가 깨달은 것은 정보가 누출된다는 겁니다. 물처럼요. 여러분이 원치 않는 곳으로 흐르죠. 인간들도 새요. 여러분의 친구들이 정보를 내줍니다. 여러분의 가족들이 정보를 내줍니다. 여러분이 어떤 파티에 참석하면, 누가 여러분이 거기 있었다고 태그를 합니다. 그리고 그런 수단으로 그 가해자들이 여러분의 대한 그들이 알지 않았으면 하는 정보들을 접하죠. 가해자들이 피해자의 가족과 친구들에게 찾아가 피해자들의 정보를 묻는 것은 극히 흔한 일이에요. 그들의 '정신 건강'을 걱정해 주는 척 말이죠.
A form of leak that I saw was actually what we call account compromise. So your Gmail account, your Twitter account, your Instagram account, your iCloud, your Apple ID, your Netflix, your TikTok -- I had to figure out what a TikTok was. If it had a login, I saw it compromised.
제가 본 다른 방식의 정보 누수는 계정 침범이라는 방식이에요. 여러분의 Gmail 계정, Tweeter 계정, Instagram 계정, iCloud 계정, Apple 계정, Netflix 계정, TikTok 계정, 저는 틱톡이 뭔지 몰라서 찾아봐야 했었어요. 만약 그 사이트에 로그인이 된다면 저는 그걸 침범당했다고 여겼죠.
And the reason for that is because your abuser is not always your abuser. It is really common for people in relationships to share passwords. Furthermore, people who are intimate, who know a lot about each other, can guess each other's security questions. Or they can look over each other's shoulders to see what code they're using in order to lock their phones. They frequently have physical access to the phone, or they have physical access to the laptop. And this gives them a lot of opportunity to do things to people's accounts, which is very dangerous.
가해자가 꼭 여러분의 가해자는 아니기 때문이에요. 연애하는 사람들이 자신의 비밀번호를 공유하는 일은 아주 흔하죠. 더욱 나아가 행동력이 있는 사람들 중에서 서로의 대해서 잘 일아서 서로의 비밀번호 알아맞출수 있거나, 서로의 어깨 너머로 슬쩍 훔쳐 봐서 서로의 핸드폰 비밀번호를 몰래 알아차릴 수 있죠. 그들은 서로의 핸드폰이나 컴퓨터에 자주 접할 수 있죠. 그리고 그것이 그들에게 서로의 계정에 여러가지 것을 할 수 있는 기회를 많이 주죠. 그것은 아주 위험합니다.
The good news is that we have advice for people to lock down their accounts. This advice already exists, and it comes down to this: Use strong, unique passwords for all of your accounts. Use more strong, unique passwords as the answers to your security questions, so that somebody who knows the name of your childhood pet can't reset your password. And finally, turn on the highest level of two-factor authentication that you're comfortable using. So that even if an abuser manages to steal your password, because they don't have the second factor, they will not be able to log into your account.
좋은 소식은 우리는 사람들에게 자신의 계정들을 잠그라는 충고를 합니다. 그러한 충고는 이미 존재하니까 모든 계정에 어렵고 독특한 비밀번호를 쓰세요. 보안에 관련된 질문들에 답이 뭐냐면 어렵고 독특한 비밀번호를 써서 어릴 적 애완동물의 이름을 아는 사람이 비밀번호를 비꾸지 못하게 하세요. 그리고 제일 이용하기 편한 제일 높은 단계의 두 가지 요소의 인증기를 켜세요. 그래서 가해자가 비밀번호를 알아내도 두 번째 요소가 없어서, 계정에 로그인 하지 못하도록 말이죠.
The other thing that you should do is you should take a look at the security and privacy tabs for most of your accounts. Most accounts have a security or privacy tab that tells you what devices are logging in, and it tells you where they're logging in from. For example, here I am, logging in to Facebook from the La Quinta, where we are having this meeting, and if for example, I took a look at my Facebook logins and I saw somebody logging in from Dubai, I would find that suspicious, because I have not been to Dubai in some time.
또 해야할 것 대부분의 계정들의 안전과 보안 탭들을 보는 것이죠. 대부분의 계정들는 계정에 로그인 되있는 기기들, 또한 로그인한 위치를 알려주는 안전과 보안 탭이 있어요. 예를 들어서, 저는 여기 우리가 현재 있는 장소인 라 퀸타에서 페이스북에 로그인을 합니다. 그리고 예를 들어서 제 페이스북 로그인기록을 봅니다. 그런데 두바이에서 제 계정에이 로그인한 기록을 보면 저는 그게 의심스러워집니다. 왜냐하면 저는 두바이에 간지 꽤 오래됐기 때문이죠.
But sometimes, it really is a RAT. If by RAT you mean remote access tool. And remote access tool is essentially what we mean when we say stalkerware. So one of the reasons why getting full access to your device is really tempting for governments is the same reason why getting full access to your device is tempting for abusive partners and former partners.
하지만 어떤 때에 이것은 진짜 RAT입니다 RAT또는 원격 제어 조정이요. 그리고 그런 원격 제어 도구는 일명 스토커웨어라고 하죠. 그래서 정부가 여러분의 기기에 완전한 접속을 원하는 이유는 하나가 왜 가해자가 똑같은 것을 원하는 이유와 같습니다.
We carry tracking devices around in our pockets all day long. We carry devices that contain all of our passwords, all of our communications, including our end-to-end encrypted communications. All of our emails, all of our contacts, all of our selfies are all in one place, often our financial information is also in this place. And so, full access to a person’s phone is the next best thing to full access to a person's mind.
우리는 언제나 추적장치들을 들고 다니는 거죠. 우리는 모든 비밀번호들을 담은 기기를 들고 다니는 거죠. 전체 암호화된 모든 대화들, 모든 이메일, 통화 내역들, 모든 셀카들이 한 곳에 있고 종종 우리의 금융 정보들도 이곳에 들어있죠. 그러므로 한 사람의 핸드폰의 완전한 접속은 그 사람의 머릿속의 접속 다음으로 유용한 것입니다.
And what stalkerware does is it gives you this access. So, you may ask, how does it work? The way stalkerware works is that it's a commercially available program, which an abuser purchases, installs on the device that they want to spy on, usually because they have physical access or they can trick their target into installing it themselves, by saying, you know, "This is a very important program you should install on your device." And then they pay the stalkerware company for access to a portal, which gives them all of the information from that device. And you're usually paying something like 40 bucks a month. So this kind of spying is remarkably cheap.
그리고 스토커웨어들이 접속을 시켜줍니다. 그러면 스토커웨어가 어떻게 작동하는지 물으시겠죠? 스토커웨어는 가해자들이 구매할 수 있게 판매를 하고 있죠. 가해자들은 대부분 그 기기들을 직접 만질 수 있기 때문에 피해자의 기기에 그것을 설치합니다. 아니면 피해자들이 직접 설치를 하게 유도합니다. "아주 중요한 프로그램이니까 꼭 설치해." 라는 말과 할께 말이죠. 그러고는 그 기기의 포털의 권한을 갖기 위해서 스터커웨어 회사에게 돈을 지불하죠. 그 돈을 받은 회사는 그 기기의 모든 정보를 가해자에게 제공하죠. 보통 한달에 40달러 정도 해요. 놀라울 정도로 싼 금액이죠.
Do these companies know that their tools are being used as tools of abuse? Absolutely. If you take a look at the marketing copy for Cocospy, which is one of these products, it says right there on the website that Cocospy allows you to spy on your wife with ease, "You do not have to worry about where she goes, who she talks to or what websites she visits." So that's creepy.
그 회사들은 자신들의 도구가 상처를 주는 도구라는 사실을 알까요? 당연히 알겠죠. 이런 제품들 중 하나인 Cocospy의 시중 버젼을 살펴보면, 그 웹사이트에서는 이렇게 말합니다, "Cocospy 로 아내를 손쉽게 감시할수 있죠. 그녀가 어딜가든, 누구와 얘기를 하든, 무슨 웹사이트를 가든 걱정하실 필요 없습니다" 소름 끼치죠.
HelloSpy, which is another such product, had a marketing page in which they spent most of their copy talking about the prevalence of cheating and how important it is to catch your partner cheating, including this fine picture of a man who has clearly just caught his partner cheating and has beaten her. She has a black eye, there is blood on her face. And I don't think that there is really a lot of question about whose side HelloSpy is on in this particular case. And who they're trying to sell their product to.
또 다른 제품인 Hellospy는 마케팅 페이지에 쉽게 바람 피울수있는 편리함과 자기 배우자의 바람 피우는 것을 잡아야 되는 중요함을 호소하죠. 바람 핀 애인을 잡아서 그 여자를 때려준 사진과 함께요. 그녀의 눈은 멍들었고, 얼 굴에는 피가 묻어있죠. 여기서 Hellospy는 누구의 편이고, 누구에게 팔려고 하는지는 질문의 여지가 없는 것 같네요.
It turns out that if you have stalkerware on your computer or on your phone, it can be really difficult to know whether or not it's there. And one of the reasons for that is because antivirus companies often don't recognize stalkerware as malicious. They don't recognize it as a Trojan or as any of the other stuff that you would normally find that they would warn you about. These are some results from earlier this year from VirusTotal. I think that for one sample that I looked at I had something like a result of seven out of 60 of the platforms recognized the stalkerware that I was testing. And here is another one where I managed to get 10, 10 out of 61. So this is still some very bad results.
만약 여러분 컴퓨터와 핸드폰에 스토커웨어가 있다면 그걸 알아차리는 것은 정말로 어렵죠. 그 이유는 하나는, 안티바이러스 회사들이 스토커웨어를 위험요소로 감지를 안하기 때문이죠. 그 회사들은 이런 제품들을 트로이 목마 바이러스나 보통 여러분에게 위험 신호를 보낼만한 것들과는 다르게 인식하죠. 여기 Virustotal의 올해 초 자료들입니다. 제가 본 자료에 의하면 60개 중에서 일곱개의 플랫폼들이 제가 실험하고 있던 스토커웨어를 감지했죠. 그리고 여기 10개를 감지한 곳도 있네요. 61개 중에서요. 이것들은 정말 안좋은 현상이죠.
I have managed to convince a couple of antivirus companies to start marking stalkerware as malicious. So that all you have to do if you're worried about having this stuff on your computer is you download the program, you run a scan and it tells you "Hey, there's some potentially unwanted program on your device." It gives you the option of removing it, but it does not remove it automatically. And one of the reasons for that is because of the way that abuse works. Frequently, victims of abuse aren't sure whether or not they want to tip off their abuser by cutting off their access. Or they're worried that their abuser is going to escalate to violence or perhaps even greater violence than they've already been engaging in.
저는 몇몇 안티바이러스 회사들에게 스토커웨어도 감지하라고 설득했습니다.. 여려분이 할 일은 간단합니다. 여러분 기기가 그런 것들에 노출될 걱정을 하고 계신다면 그 안티바이러스 프로그램들 중 하나를 다운받고 기기를 스캔하면, "기기에 원치 않을 수도 있는 프로그램이 있습니다." 라고 하면서 그것을 제거하라는 제안을 하지만 직접 제거해 주지는 않습니다. 그러한 이유 중 하나는 이런 폭력의 방식 때문이죠. 대부분의 피해자들은 가해자들의 권한을 없애서 그들에게 알리게 될 지 확실하지 않아 합니다. 아니면 그들은 가해자들의 행동이 현 상황에서 폭행이나 더욱 심한 방식의 괴롭힘으로 발전할까봐 걱정하죠.
Kaspersky was one of the very first companies that said that they were going to start taking this seriously. And in November of this year, they issued a report in which they said that since they started tracking stalkerware among their users that they had seen an increase of 35 percent. Likewise, Lookout came out with a statement saying that they were going to take this much more seriously. And finally, a company called Malwarebytes also put out such a statement and said that they had found 2,500 programs in the time that they had been looking, which could be classified as stalkerware.
Kaspersky라는 희사는 이러한 문제들을 심각하게 받아 들이겠다고 한 첫 회사들 중 하나죠. 그리고 올해 11월에 낸 그들의 조사 자료를 따르면, 그들이 스토커웨어를 감지하기 시작한 후로 35%의 이용자 수 향상을 경험했죠. 이와같이, Lookout 이라는 회사도 이 문제를 심각하게 받아들이겠다고 했습니다. 또한 Malwarebytes 리는 회사도 이와 같은 발언을 하며 자신들이 감시하기 시작하자, 2500개의 스토커웨어들을 감지했다고 했죠.
Finally, in November I helped to launch a coalition called the Coalition Against Stalkerware, made up of academics, people who are doing this sort of thing on the ground -- the practitioners of helping people to escape from intimate partner violence -- and antivirus companies. And our goal is both to educate people about these programs, but also to convince the antivirus companies to change the norm in how they act around this very scary software, so that soon, if I get up in front of you and I talk to you about this next year, I could tell you that the problem has been solved, and all you have to do is download any antivirus and it is considered normal for it to detect stalkerware. That is my hope.
마지막으로 11월에는 제가 이 분야의 전문가들, 이러한 일들을 현장에서 하는사람들, 피해자들을 가해자들의 영향에서 벗어나도록 도와주는 사람들, 안티바이러스 회사들로 구성된 스토커웨어에 대항하는 연합을 세우는 걸 도왔습니다. 우리 목표는 사람들을 이러한 프로그램의 대해 교육시키는 것도 있지만, 안티바이러스 회사들의 이러한 상황에 대응하는 방식을 비꾸라고 설득하려는 것도 있습니다. 그리하여 제가 또 내년에 여려분들의 앞에 서서 이것에 괸하여 얘기하면, 이 문제는 해결됐다고 할 수 있게 말이죠. 여러분들이 아무 안티바이러스나 다운받아도 스토커웨어를 감지할 수 있는 것이 제 희망사항입니다.
Thank you very much.
감사합니다.
(Applause)
(박수)