SK컴즈의 뻘짓. MAC 주소 수집을 이해못하는 것은 아니지만 신중했어야만 했다.

어제 싸이월드 미니홈피와 네이트온을 운영하는 SK컴즈에서 사용자의 맥 주소(MAC address)를 수집하겠다고 했다가 철회한 해프닝(?)이 있었다. 개인정보 수집 항목 중 사용자가 사용하고 있는 PC의 맥 주소를 가져가겠다는 것인데 인터넷에서 네티즌들이 그것에 대해서 난리를 치니 슬그머니 철회하는 해프닝을 벌인 것이다. 도대체 SK컴즈는 왜 이렇게 한 것일까?

MAC 주소라는 것이 도대체 뭐길레 저 난리를 치는 것일까? 인터넷을 사용하다보면 많은 정보들이 사용된다. PC에서 저 멀리 인터넷 공간에 있는 인터넷 서버를 찾고 통신하기 위해서는 나름대로의 식별자들이 필요한데 잘 알려진 IP 주소가 그 대표적인 식별자다. xxx.xxx.xxx.xxx(IPv4 형식이고 IPv6는 xx:xx:xx:xx:xx:xx로 되어있다)의 형식으로 구성된 IP 주소는 인터넷을 사용하는데 있어서 데이터들을 주고 받는 상황에서 주소 역할을 한다. 그런데 네트워크를 공부하다보면 IP 주소만 쓰이는 것이 아님을 알 수 있다.

요즘은 모바일 인터넷을 많이 사용하다보니 다양한 통신 프로토콜이 존재하지만 그래도 기반이 되는 통신 프로토콜은 TCP/IP다. TCP/IP도 TCP와 IP를 합친 것으로 별개로 분리되어있는 프로토콜이다. 일반적으로 통신을 할 때 데이터를 전송하는 단위를 패킷이라고 하는데(단위라고 해도 될련지는 모르겠다만 -.-) 웹브라우저를 통해서 인터넷을 즐길 때는 TCP 패킷을 이용한다. 그런 TCP 패킷을 운송해주는 패킷(일종의 포장지, 상자, 우편봉투와 같은 역할이라고 보면 된다)이 IP 패킷이다. 물론 TCP 패킷 안에는 웹브라우징에 필요한 다양한 정보가 담겨져 있다. 이렇게 포장지, 혹은 상자의 개념으로 본다면 TCP 패킷은 IP 패킷 안에 존재하게 된다. 이런 IP 패킷 역시 다른 패킷 안에 존재하는데 TCP/IP의 구조를 보면 네트워크 레이어에서 사용하는 패킷이다.  간단히 PC에서 네트워크를 사용하기 위해서는 LAN 카드라 불리는 하드웨어인 피지컬 레이어가 레이어 1이고 네트워크 레이어가 레이어 2가 된다. IP는 레이어 3이 되고 TCP는 레이어 4가 되는 것이다. MAC 주소는 레이어 2인 네트워크 레이어에서 사용되는 식별자다. 우리가 아는 IP 주소는 레이어 3인 IP 레이어에서 쓰는 식별자이고.

그런데 MAC 주소는 IP 주소와 달리 변하지 않는다. 유니크한 고정값이다. MAC 주소는 LAN 카드 등 네트워크 디바이스에 탑재되어 나오는 주소인데 xx:xx:xx:xx:xx:xx의 형식인 6바이트로 구성되어 있으며 상위 3바이트는 네트워크 카드 제조사에 할당되는 주소고 하위 3바이트는 각 네트워크 카드에 할당되는 주소다. 상위 3바이트는 제조사에 할당되기 때문에 구별되며 독립적이다. 전세계적으로 네트워크 장비를 만드는 회사가 몇개나 되는지는 모르겠지만 아직까지는 만땅으로 다찼다는 얘기는 못들은 듯 싶다. 여하튼간에 상위 3바이트는 서로 유니크(겹치지 않는다)하다. 그리고 하위 3바이트는 그 제조사에서 만든 장비마다 다른 값을 갖는다. 그래서 상위 3바이트와 하위 3바이트를 합쳐서 MAC 주소를 구성하고 이 값은 전세계적으로 유니크한 값이 된다. IP 주소의 경우 IP 공유기나 여러가지 이유에 의해서 변할 수 있고 사용자에 의해 얼마든지 값을 바꿀 수 있지만 MAC 주소는 LAN 카드를 바꾸는 등 장비 자체를 교환하지 않는 이상 변하지 않는 불변의 값이 된다. 이만큼 확실한 식별자는 없다.

보통 서비스 업체에서 사용자의 IP 주소는 많이 수집한다. IP 패킷에 달려서 오기 때문에 맘만 먹으면 손쉽게 수집이 가능하며 또 나중에 안좋은 일 등이 벌어졌을 때 추적하기 위해 수집하는 경우가 많다. 그런데 IP 주소는 상황에 따라 얼마든지 변할 수 있기 때문에 변하지 않는 값을 수집해서 추적 등에 더 손쉽게 적용하려는 경우가 있다. 바로 MAC 주소를 이용하는 것이다. 위에서 언급한 대로 PC에서는 LAN 카드를 바꾸지 않는 한 값을 바꾸기가 매우 어렵기 때문이다. 요즘은 PC의 메인보드 자체에 붙어서 나오기 때문에 이런 경우는 메인보드를 교체하지 않는 한 MAC 주소를 바꾸는 것은 어렵다. 물론 전문가들이라면 나름의 방법으로 바꿀 수 있지만 누구나 손쉽게 바꿀 수 있는 IP 주소에 비해 MAC 주소를 바꾸는 방법은 그리 쉽지가 않은게 사실이다.

여기서 우리는 SK컴즈가 왜 MAC 주소를 수집하려고 하는지 그 이유를 조금은 알 수 있다. 싸이월드도 그렇고 네이트온도 그렇고 인터넷 피싱 등의 범죄가 벌어졌을 때 서비스 회사는 갖고 있는 자료를 바탕으로 원인을 찾아야 한다. 피싱 사이트가 어디에 있는지, 또 메신져를 이용한 사기라면 그 사용자가 누구인지를 알아내야 하는 의무가 있다. 예전에는 이런 경우에는 가져온 IP 주소를 이용해서 추적을 한다. 그리고 최근에는 추적의 기술이 상당히 발달되어 시간이 약간 걸리더라도 다 발각이 된다. 그런데 위에서 언급했듯 사용자가 임의로 IP 주소를 바꾼다던지 하는 장난을 치면 추적하는데 애로사항이 생기며 시간이 걸린다. 잘못하면 추적이 안되는 경우도 생긴다. 그래서 변하지 않는 인식자인 MAC 주소를 이용하려고 하지 않았나 하는 생각이 든다. 개인 PC에서 일어난 일이라면 바로 찾을 수 있고 피싱 사이트인 경우에도 사이트를 운영하는 서버를 찾아서 추적할 수 있을테니까 말이다. IP보다 훨씬 강력한 추적 수단이 되는 것이다.

그렇다면 MAC 주소를 수집하는 것을 왜 문제삼는 것일까? 실질적으로 IP를 수집하는 것도 사용자의 개인정보이기 때문에 수집하기 위해서는 사용자의 동의를 얻어야 한다. 서비스를 가입할 때 이런 동의사항을 다 숙지하도록 하고 있다(뭐 대부분이 이런 공지사항을 그냥 넘어가고 승락을 눌러버리는 경우가 많아서 그렇지만 -.-). 우리나라 사람들은 개인정보를 기업이나 정부가 맘대로 다루는 것에 대해서 매우 민감하게 반응한다. 내 개인정보를 악용해서 나한테 불이익이 오지 않을까 하는 걱정 때문이다. 또 악용하는 사례들도 빈번하게 일어나고 말이다. 그리고 IP나 MAC 주소를 이용하면 내가 어떻게 인터넷을 하는지 다 감시할 수 있다. 위에서 언급했듯 인터넷을 하기 위해서는 통신을 해야 하는데 그 통신의 내용이 패킷을 통해서 전달되기 때문에 패킷의 내용을 알 수 있으면 다 감시당하는 셈이 된다.

위에서 MAC 주소를 설명할 때 IP 패킷을 담는다고 했다. 그런데 PC에서 통신을 할 때에는 TCP/IP 만을 사용하지는 않는다. 더 많은 프로토콜이 존재한다. IP 말고도 ARP라는 놈도 있고 뭐 여러가지 통신을 위해 사용되는 프로토콜들이 존재한다. IP 주소를 알면 IP의 내용을 알 수 있다. 하지만 다른 프로토콜에 대한 내용은 모른다. 하지만 MAC 주소를 알면 그 패킷 안에 있는 내용을 다 알 수 있다. MAC 주소가 있는 레이어 2의 패킷에는 IP 뿐만 아니라 다른 프로토콜의 내용도 함께 들어있기 때문이다. 이런 이유 때문에 감시당한다는 생각이 드는 것이다.

개인적으로 생각하면 이미 IP 주소를 수집당하고 있는 상황에서 MAC 주소까지 수집한다고 해서 달라질 것은 거의 없다. IP 주소를 수집당하는 것만으로도 대부분의 내가 하는 인터넷 행위를 알 수 있기 때문이다. 하지만 하나라도 내 정보가 어떤 기업의 이익(?)을 위해 이용되는 것을 좋아라 하는 사람은 없을 것이다. 이미 IP 주소가 수집되고 있는 것도 기분나쁜데 MAC 주소까지 수집된다면 정말로 기분이 더러울 것이다. 이미 감시당할대로 다 당하고 있는 상황에서 항목이 하나 더 추가되는 것 뿐인데도 말이다. 물론 문제가 생겼을 경우에만 MAC 주소를 이용해서 해당 원인을 찾는데 쓰겠다고는 하지만 내가 아닌 다른 그 무언가에 내 정보가 넘어갔는데 어떤식으로 쓸지 어떻게 아는가 말이다. 게다가 SK컴즈는 MAC 주소 수집 등의 변경된 약관을 제대로 공지도 안하고 슬그머니 수집하려고 했다는 의혹을 받고 있다. 기업의 운영 편의주의 때문이다. 또한 뭐 그깟 MAC 주소 하나 수집하는데 문제 있겠느냐라고 생각한 안이한 판단 때문이라는 생각도 든다(담당자는 그렇게 생각 안할지도 모르겠지만).

결국 기술적인 이유가 아닌 사용자들의 감성적인 부분이 문제가 되어 인터넷에서 이 부분에 대한 이슈가 나오고 흥분을 한 것이라고 본다. 그리고 이런 것을 제대로 파악하지 못한 SK컴즈의 잘못이 크다. 결국에는 항의가 빗발치니까 슬그머니 철회한 것이 아니겠는가. 또 MAC 주소를 가져오기 위해서는 ActiveX나 다른 MAC 주소를 가져오기 위한 어플리케이션을 설치해야 한다. 서비스를 사용하는데 있어서 어떤 편의를 주는 기능추가적인 부분이라면 얼마든지 수용하겠지만 이런 내 정보를 가져오기 위한 설치는 당연히 반발을 불러일으킨다. 이걸 몰랐던 것일까?

결국 사용자들은 또 다른 내 정보를 가져가서 뭔 짓을 하려고 하느냐라는 불안 때문에 SK컴즈에 분노를 쏟아낸 것이다. 그 이면에는 서비스 회사들의 사용자를 기만한 운영 편의주의도 한몫 했다는 것도 있고 말이다. 위에서 얘기했다시피 이미 IP 주소를 수집하기 때문에 MAC 주소를 수집한다고 해서 달라지는 것은 별로 없다. 내가 사용하는데 있어서 떳떳하다면 별 문제는 안되기 때문이다. 하지만 제 3자가 나를 감시한다는 느낌이 드는 것은 그렇게 기분좋은 일이 아니며 이 부분을 간과한 SK컴즈는 이래저래 지탄을 받게 되는게 아닐까 싶다.

벌써부터 충격이 오고 있다. 싸이월드와 네이트온을 탈퇴하겠다고 나선 사용자들이 늘고 있다. 트위터에 보면 네이트를 탈퇴하겠다고 말하는 글들이 많이 올라오고 있다. SK컴즈는 신중하지 못한 정책변경으로 인해 오히려 손해만 본게 아닌가 하는 생각이 든다.