삶 가운데 남긴 기록 AACII.TISTORY.COM
정보 유출자 색출 기법 (Canary Trap) 본문
카나리아 트랩(Canary Trap)
조직 내부의 정보 유출자(스파이)를 색출하기 위해서 용의자들마다 각각 서로 다른 기밀 정보를 제공한 뒤 해당 정보의 유출 경로를 추적하는 보안 기법입니다. 과거 광부들이 유독 가스를 감지하기 위해 탄광에 카나리아 새를 데려갔던 것에서 유래하여, 위험을 감지하는 덫이라는 의미를 담고 있습니다.
카나리아 트랩의 원리
1. 유출할 정보의 핵심 내용은 같지만 미세한 부분이 다른 여러 개의 가짜 문서(정보)를 만듭니다.
2. 유출 의심 대상자들에게 각각 약간 씩 다른 버전의 문서(정보)를 하나씩 나누어 줍니다.
3. 외부에 정보가 유출될 때까지 기다립니다.
4. 유출된 정보(문서)에 포함된 고유한 특징(미세하게 다른 부분)을 분석하여, 해당 버전을 받았던 인물을 범인으로 검거합니다.
디지털 환경인 오늘날에는 더 정교한 기술이 쓰입니다.
- 제로 폭 스페이스(Zero-width space): 눈에 보이지 않는 유니코드 공백 문자를 단어 사이에 무작위로 삽입하여 디지털 지문(워터마크)을 남깁니다.
- 동의어 자동 치환: 시소러스(유의어 사전) 프로그램을 이용해 문서의 사본마다 단어를 무작위로 조합하여 수천 개의 고유 사본을 자동 생성합니다.
- 추적 이메일 패턴: 수신인마다 메일 본문의 마침표 위치, 줄바꿈, 혹은 'I am'과 'I'm' 같은 미세한 축약어 표기를 다르게 발송합니다.
- 추적용 메타데이터 삽입: PDF나 워드 문서의 보이지 않는 영역(화이트 스페이스, 폰트의 미세한 크기 조절, 숨겨진 코드)에 열람한 직원의 사번이나 IP 주소를 암호화하여 심어둡니다. 문서를 화면으로 캡처해서 유출하더라도, 이미지 속에 숨겨진 미세한 픽셀 패턴(스테가노그래피)을 분석하면 누구의 화면이었는지 추적할 수 있습니다.
구체적인 방법
보통 유출자가 알아차리기 어렵도록 문장 표현, 쉼표나 띄어쓰기, 숫자의 반올림 방식, 예시 순서, 파일 내부 메타데이터, 보이지 않는 워터마크, 추적용 이메일 주소를 사용합니다.
1. 문서 유출 추적: 받는 사람별로 미묘한 문구 차이를 넣습니다.
“약 120억 원”
“대략 121억 원”
“120억 원 규모”
“약 119억 원 수준”
나중에 외부에 같은 표현이 나오면 유출 경로를 추적할 수 있습니다.
2. 이메일 유출 확인: 각 수신자에게 이메일 문구를 조금씩 다르게 보냅니다.
A에게는 “금요일 오전까지 회신”
B에게는 “금요일 점심 전까지 회신”
C에게는 “금요일 오후 전까지 회신”
유출된 후 문구를 보고 어느 버전인지 확인할 수 있습니다.
3. 지도 제작사의 가짜 지명: 지도 회사가 경쟁사가 자기 지도를 베꼈는지 확인하기 위해 실제로는 존재하지 않는 작은 도로, 마을명, 지형 정보를 넣는 경우가 있습니다. 이런 가짜 정보를 trap street, 즉 “함정 도로”라고도 합니다. 카나리아 트랩과 비슷한 원리입니다.
4. 데이터베이스나 고객 명단 보호: 고객 명단이나 이메일 리스트에 일부러 가짜 주소나 추적용 계정을 넣습니다.
나중에 추적용 계정으로 광고성 메일이나 피싱 메일이 오면, 해당 명단이 어디선가 유출되었음을 알 수 있습니다.
이런 방식은 특히 메일링 리스트 유출 감지에 자주 쓰입니다.
카나리아 트랩의 현실 예시
- 대중 문화에서: 소설가 톰 클랜시가 1987년 발표한 소설 패트리어트 게임에서 주인공 잭 라이언이 이 기법을 설명하며 처음 명명되었습니다. 드라마 왕좌의 게임에서 티리온 라니스터가 자문회 위원 중 첩자를 찾기 위해 각자에게 다른 혼담 계획을 흘리는 장면에서 쓰였습니다. 미드 멘탈리스트에서 용의자들에게 서로 다른 호텔 방 번호를 알려주는 장면 등이 대표적입니다. 한국 영화의 경우 밀정에서 밀정이 누구인가를 찾아내기 위한 기법으로 쓰였습니다.
- 일론 머스크의 일화: 테슬라의 내부 정보 유출자를 잡기 위해 메일마다 문장을 미세하게 다르게 작성해 보냈으나, 계획을 몰랐던 한 임원이 메일을 사내 전체에 참조 공유하는 바람에 직원들이 개인화 메일임을 눈치채며 해프닝으로 끝난 적이 있습니다.
- 기업 및 국가의 활용: 애플(Apple)은 릴리스 날짜를 직원마다 다르게 적은 이메일을 보내 유출자를 해고한 바 있습니다.
- 영국 정보기관 MI6 등에서도 보안 검증을 위해 활용하고 있습니다.
- 첩보계에서는 바륨 조영 검사(Barium meal test)라는 은어로 불렸습니다.
카나리아 트랩의 한계
1; 유출자가 이 기법을 알고 있다면 우회할 수 있습니다.
예를 들어 문서를 그대로 유출하지 않고, 핵심 내용만 본인의 언어로 완전히 새로 요약해서 구두로 전달하거나 타이핑하면 트랩에 걸리지 않습니다.
2. 완벽한 증거는 아닙니다.
예를 들어 B 버전의 정보가 외부에 나왔다고 해서 반드시 B가 직접 유출했다고 단정할 수는 없습니다. B의 계정이 해킹되었거나, B가 받은 문서를 다른 사람이 볼 수 있었거나, 여러 버전의 정보가 섞였을 수도 있습니다.
3. 너무 눈에 띄는 차이를 넣으면 받는 사람이 알아차릴 수 있고, 너무 중요한 정보를 다르게 넣으면 업무 혼선이 생길 수 있습니다.

