NHK '디지털 타투' 제1화의 IT 기술 및 법률

NHK 토요드라마 ‘디지털 타투’에 등장하는 IT 기술과 법적 절차는, 물론 TV 드라마로서 약간의 과장과 묘사의 생략이 있지만, 실제로 명예훼손 대응 상황에서 사용되고 있는 것입니다.

첫 번째 에피소드의 하이라이트는 주인공 YouTuber 타이가(세토 코우지 씨)에 대해 익명 게시판에서 살인 예고를 한 ‘월식 가면’의 주소와 성명을 특정하는 장면일 것입니다. 이 장면을 중심으로, 첫 번째 에피소드에서 등장한 IT 기술과 법적 절차에 대해 설명하겠습니다.

월식 가면과 ‘God’s Eye’ 관리자의 동일성

“월식 가면의 게시된 이미지를 분석하니, 같은 배경화면의 이미지를 발견했습니다. …보세요.”

“오, (방 벽에 걸려 있는) 가면이 같네요.”

“이 사람의 핸들 네임은 지저스입니다. ‘God’s Eye’라는 익명의 블로그를 운영하고 있습니다.”

NHK 토요드라마 ‘디지털 타투’ 제1화

유튜버 타이가는, 익명 게시판에서 자신에 대한 살해 예고를 하는 ‘월식 가면’의 신원을 파악하기 위해, 인터넷 상의 정보 조각을 캐묻습니다. 이는 순수한 IT 기술이나 법적 수단이 아니라, “사람의 심리적인 틈새나, 행동의 실수를 이용하여 개인이 가진 비밀 정보를 획득하는” 방법으로, ‘소셜 엔지니어링’이라고 불립니다. 실제로, 인터넷 상의 사건을 해결하는 중요한 수단 중 하나입니다.

드라마에서는, ‘월식 가면’이 스스로 업로드한 사진의 배경인 벽(가면이 걸려 있는 벽)이, 마찬가지로 익명으로 운영되는 블로그 ‘God’s Eye’ 내에 업로드된 ‘God’s Eye’ 운영자 자신의 방 벽과 일치하고 있으며, 이로부터 ‘월식 가면’ = ‘God’s Eye 운영자’로 판명되었습니다.

이 월식 가면의 행동, 즉, “익명 게시판에 업로드하는 사진의 배경에, 자신의 방 안의 특징적인 부분(가면)을 찍어 버리는” 행동은 약간 ‘부주의’하지만, 실제 사건 해결의 현장에서도, 마찬가지로 부주의한 행동을 바탕으로 ‘범인’을 특정하는 경우가 드물지 않습니다.

「God’s Eye」관리자의 whois 정보 조사

“그래서 이 녀석의 도메인을 @whois로 조사해봤지만, 역시 익명이었다.”

동일

이어서 타이가는 ‘월식 가면 = God’s Eye 운영자’임을 바탕으로, God’s Eye 운영자의 신원을 파악하려고 시도합니다. 처음으로 시도한 것은 God’s Eye의 도메인에 대한 whois 정보 조사였습니다.

독자 도메인과 whois 정보

‘God’s Eye’는 소위 말하는 독자 도메인을 사용하여 운영되는 사이트였습니다. 독자 도메인을 획득할 경우, 도메인 획득자는 자신의 주소와 성명을 ‘whois’라는 데이터베이스에 등록하고 전 세계에 공개해야 합니다.

독자 도메인 관리자의 신원 확인에 대해서는, 저희 사무실 홈페이지의 별도 기사를 참조하시기 바랍니다.

https://monolith.law/reputation/whois[ja]

whois 정보는 이를 참조하기 위한 웹 서비스, 예를 들어 ‘ANSI Whois’ 등을 사용하여 확인할 수 있습니다. 드라마에서는 타이가가 ‘@whois’라는 가상의 웹 서비스를 사용하여 동일한 조사를 수행하였습니다.

익명 도메인 등록 서비스란

그러나, 이 세상에는 소위 말하는 익명 도메인 등록 서비스라는 것도 있습니다. ‘독자 도메인을 획득하고 싶지만 주소와 성명은 공개하고 싶지 않다’는 사람들을 위해, 독자 도메인 판매업자, 즉 도메인 레지스트라가 제공하는 서비스입니다.

이 서비스를 사용하여 등록된 도메인의 경우, whois 정보로 등록되는 것은 해당 도메인을 획득한 개인의 정보가 아니라, 도메인 레지스트라의 정보가 됩니다. 따라서, whois 정보를 참조하더라도, 그 도메인 등록자의 정보를 얻을 수 없는 것입니다.

「God’s Eye」의 접근 분석 할당 ID 정보 분석

인터넷 상에서 익명 사이트의 운영자를 특정하는 경우, 해당 사이트(A라고 가정하겠습니다) 내에 정보가 없어도,

1. 먼저, A와 동일한 사람이 운영하는 다른 사이트(B라고 가정하겠습니다)를 찾아내는 것
2. 사이트 B에서 운영자의 주소와 성명을 특정할 수 있는지 조사하는 것

이라는 방법이 있습니다. ‘God’s Eye'(위의 A) 내에 정보가 없다고 판단한 타이가는 다음으로, 다른 사이트(B)가 없는지 탐색을 진행합니다.

접근 분석 서비스와 할당 ID

“그래서 이 녀석의 홈페이지 접근 분석 도구를 조사하니, 할당 ID가 확인되었다. ExDB를 사용해 이 녀석의 ID를 검색하니, 토모친이라는 VTuber의 사이트를 찾아냈다.”

동일

여기서 타이가가 ‘열쇠’로 삼은 것이 접근 분석 서비스의 할당 ID입니다. 접근 분석 서비스는 “여러 사이트를 운영하고 있으며, 접근 분석 서비스 상에서 각 사이트의 접근 정보를 포괄적으로 확인하고 싶다”는 요구에 응답하기 위해, 위탁자별 할당 ID를 준비하는 경우가 많습니다.

예를 들어, 우리 사무소는 접근 분석 서비스의 디팩토 스탠다드인 ‘Google Analytics’를 사용하고 있으며, 우리 사무소가 삽입한 ‘Google Analytics’용 코드는,

gtag(‘config’, ‘UA-42806097-2’);

와 같은 것입니다.

이는 ‘UA-42806097’ 위탁자의 ‘2’번째 사이트라는 의미입니다. 즉, 이 코드를 읽음으로써, 다음과 같은 가설을 세울 수 있습니다.

모노리스 법률 사무소의 운영자는 적어도 하나 더, ‘UA-42806097-1’의 사이트를 운영하고 있다.

‘SpyOnWeb’에 의한 조사

‘SpyOnWeb’이라는 사이트는 인터넷 상의 각 웹사이트에 대해 ‘Google Analytics’의 ID를 조사하고 기록하고 있습니다.

이 서비스를 사용하면, 예를 들어, ‘UA-42806097’ 위탁자가 운영하는 사이트 목록 등의 정보를 얻을 수 있습니다.

‘UA-42806097-1’의 사이트는 우리 사무소의 대표 변호사의 개인 사이트입니다.

드라마에서는, 타이가는 ‘ExDB’라는 가상의 웹 서비스를 이용해 이 방법을 사용하고, ‘God’s Eye'(사이트 A)와 동일한 할당 ID가 VTuber ‘토모친’의 사이트(사이트 B)에도 붙어있음을, 따라서 이 두 사이트의 운영자가 동일할 가능성이 높다는 것을 밝혀냈습니다.

아피리에이트 ID와 주소 및 이름·은행 계좌의 식별

다음으로 타이가는 사이트 B의 운영자를 조사할 수 있는지 여부를 조사합니다. 그래서 주목한 것이 “토모친의 사이트에는 아피리에이트 광고가 붙어 있다”는 사실입니다.

아피리에이트 광고와 사이트 운영자의 개인 정보

“하지만 이 사이트에는 아피리에이트 광고가 붙어 있다.
(중략)
이 광고료를 받기 위해서는 은행 계좌의 등록이 필요하고, 위탁자는 주소와 이름을 신청해야 한다.”

동일

아피리에이트 광고는 간단히 말하면, “그 사이트를 보고 있는 위탁자가 배너를 클릭하면, 사이트 운영자의 은행 계좌에 아피리에이트 보상이 입금된다”는 구조입니다.

즉, 아피리에이트 광고를 이용하기 위해서는, 사이트 운영자는 아피리에이트 서비스 제공자에게 자신의 개인 정보, 적어도 은행 계좌를 알려야 합니다.

따라서, 아피리에이트 광고를 분석하면 (정확히는, 아피리에이트 네트워크를 이해한 후, 어느 회사가 최종적으로 B의 운영자의 은행 계좌에 입금을 하는지 조사하면) “B의 운영자의 은행 계좌 정보(등 개인 정보)를 파악하고 있는 회사가 어디인지”를 조사할 수 있습니다.

이 정보가 확인되면, 그 후에는 그 회사에게 B 운영자(=A 운영자)의 정보를 공개하도록 요청하면 됩니다. 그러나, 이 공개 요청은 그리 쉽지 않습니다. 해당 회사에게는 그 정보가 클라이언트의 개인 정보이기 때문에, 일반 개인(또는 그 대리인인 변호사)에게는 정보를 공개해주지 않기 때문입니다. 타이가도 이 지점에서 조사를 한 번 중단하고, 더블 주인공인 이와이 변호사(타카하시 카츠미씨)에게 도움을 청하게 되었습니다.

변호사회 조회(23조 조회)에 의한 공개 요청

“하지만, 이것은 나가 물어봐도 알려주지 않는다. 그래서 아저씨가 등장. 변호사 자격을 가진 아저씨라면 23조 조회로 알려줄 수 있다.”

동일

변호사는 변호사만이 사용할 수 있는, 일종의 ‘특권’으로 변호사회 조회, 별칭 ’23조 조회’를 사용할 수 있습니다. 이것은 변호사 개인으로 해당 회사에게 공개 요청을 하는 것이 아니라, ‘변호사회’라는 조직에 공개 요청을 의뢰하고, 변호사회의 이름으로 정보 공개의 요청을 하는 제도입니다.

https://monolith.law/reputation/references-of-the-barassociations[ja]

타이가는 이와이 변호사에게 이 사건을 수임하고, 사건 처리를 위해 변호사회 조회(23조 조회)를 실시해달라고 요청했습니다. 이 조회가 성공하고, 이와이 변호사는 VTuber 토모친(B의 운영자) = ‘God’s Eye’의 운영자(A의 운영자) = 츠키시카가멘을 식별하였습니다.

” style=”flat” background=”#2FA8E1″ size=”5″]’디지털 타투’에 대해 자세히 설명한 페이지는 여기

요약

물론, 실제로 이런 방법을 이렇게 많이 조합해서 사용하는 경우는 드물고, 또한, 시도한 모든 방법이 성공하는 경우도 드물다는 것을 인정합니다.

그러나 실제 명예훼손 대응 상황에서도, 이처럼 IT 기술과 법적 수단을 결합한 일종의 ‘하이브리드’ 방식으로 사이트 운영자를 확인하는 것은 매우 중요하며, 또한 필수적입니다.

그래서 바로 이런 이유로, 명예훼손 대응은 IT와 법률 양쪽을 모두 잘 알고 있는 사람이 아니면, 상당히 어려운 일입니다.