ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • SK컴즈의 뻘짓. MAC 주소 수집을 이해못하는 것은 아니지만 신중했어야만 했다.
    IT topics 2010.07.28 12:34
    어제 싸이월드 미니홈피와 네이트온을 운영하는 SK컴즈에서 사용자의 맥 주소(MAC address)를 수집하겠다고 했다가 철회한 해프닝(?)이 있었다. 개인정보 수집 항목 중 사용자가 사용하고 있는 PC의 맥 주소를 가져가겠다는 것인데 인터넷에서 네티즌들이 그것에 대해서 난리를 치니 슬그머니 철회하는 해프닝을 벌인 것이다. 도대체 SK컴즈는 왜 이렇게 한 것일까?

    MAC 주소라는 것이 도대체 뭐길레 저 난리를 치는 것일까? 인터넷을 사용하다보면 많은 정보들이 사용된다. PC에서 저 멀리 인터넷 공간에 있는 인터넷 서버를 찾고 통신하기 위해서는 나름대로의 식별자들이 필요한데 잘 알려진 IP 주소가 그 대표적인 식별자다. xxx.xxx.xxx.xxx(IPv4 형식이고 IPv6는 xx:xx:xx:xx:xx:xx로 되어있다)의 형식으로 구성된 IP 주소는 인터넷을 사용하는데 있어서 데이터들을 주고 받는 상황에서 주소 역할을 한다. 그런데 네트워크를 공부하다보면 IP 주소만 쓰이는 것이 아님을 알 수 있다.

    요즘은 모바일 인터넷을 많이 사용하다보니 다양한 통신 프로토콜이 존재하지만 그래도 기반이 되는 통신 프로토콜은 TCP/IP다. TCP/IP도 TCP와 IP를 합친 것으로 별개로 분리되어있는 프로토콜이다. 일반적으로 통신을 할 때 데이터를 전송하는 단위를 패킷이라고 하는데(단위라고 해도 될련지는 모르겠다만 -.-) 웹브라우저를 통해서 인터넷을 즐길 때는 TCP 패킷을 이용한다. 그런 TCP 패킷을 운송해주는 패킷(일종의 포장지, 상자, 우편봉투와 같은 역할이라고 보면 된다)이 IP 패킷이다. 물론 TCP 패킷 안에는 웹브라우징에 필요한 다양한 정보가 담겨져 있다. 이렇게 포장지, 혹은 상자의 개념으로 본다면 TCP 패킷은 IP 패킷 안에 존재하게 된다. 이런 IP 패킷 역시 다른 패킷 안에 존재하는데 TCP/IP의 구조를 보면 네트워크 레이어에서 사용하는 패킷이다.  간단히 PC에서 네트워크를 사용하기 위해서는 LAN 카드라 불리는 하드웨어인 피지컬 레이어가 레이어 1이고 네트워크 레이어가 레이어 2가 된다. IP는 레이어 3이 되고 TCP는 레이어 4가 되는 것이다. MAC 주소는 레이어 2인 네트워크 레이어에서 사용되는 식별자다. 우리가 아는 IP 주소는 레이어 3인 IP 레이어에서 쓰는 식별자이고.

    그런데 MAC 주소는 IP 주소와 달리 변하지 않는다. 유니크한 고정값이다. MAC 주소는 LAN 카드 등 네트워크 디바이스에 탑재되어 나오는 주소인데 xx:xx:xx:xx:xx:xx의 형식인 6바이트로 구성되어 있으며 상위 3바이트는 네트워크 카드 제조사에 할당되는 주소고 하위 3바이트는 각 네트워크 카드에 할당되는 주소다. 상위 3바이트는 제조사에 할당되기 때문에 구별되며 독립적이다. 전세계적으로 네트워크 장비를 만드는 회사가 몇개나 되는지는 모르겠지만 아직까지는 만땅으로 다찼다는 얘기는 못들은 듯 싶다. 여하튼간에 상위 3바이트는 서로 유니크(겹치지 않는다)하다. 그리고 하위 3바이트는 그 제조사에서 만든 장비마다 다른 값을 갖는다. 그래서 상위 3바이트와 하위 3바이트를 합쳐서 MAC 주소를 구성하고 이 값은 전세계적으로 유니크한 값이 된다. IP 주소의 경우 IP 공유기나 여러가지 이유에 의해서 변할 수 있고 사용자에 의해 얼마든지 값을 바꿀 수 있지만 MAC 주소는 LAN 카드를 바꾸는 등 장비 자체를 교환하지 않는 이상 변하지 않는 불변의 값이 된다. 이만큼 확실한 식별자는 없다.

    보통 서비스 업체에서 사용자의 IP 주소는 많이 수집한다. IP 패킷에 달려서 오기 때문에 맘만 먹으면 손쉽게 수집이 가능하며 또 나중에 안좋은 일 등이 벌어졌을 때 추적하기 위해 수집하는 경우가 많다. 그런데 IP 주소는 상황에 따라 얼마든지 변할 수 있기 때문에 변하지 않는 값을 수집해서 추적 등에 더 손쉽게 적용하려는 경우가 있다. 바로 MAC 주소를 이용하는 것이다. 위에서 언급한 대로 PC에서는 LAN 카드를 바꾸지 않는 한 값을 바꾸기가 매우 어렵기 때문이다. 요즘은 PC의 메인보드 자체에 붙어서 나오기 때문에 이런 경우는 메인보드를 교체하지 않는 한 MAC 주소를 바꾸는 것은 어렵다. 물론 전문가들이라면 나름의 방법으로 바꿀 수 있지만 누구나 손쉽게 바꿀 수 있는 IP 주소에 비해 MAC 주소를 바꾸는 방법은 그리 쉽지가 않은게 사실이다.

    여기서 우리는 SK컴즈가 왜 MAC 주소를 수집하려고 하는지 그 이유를 조금은 알 수 있다. 싸이월드도 그렇고 네이트온도 그렇고 인터넷 피싱 등의 범죄가 벌어졌을 때 서비스 회사는 갖고 있는 자료를 바탕으로 원인을 찾아야 한다. 피싱 사이트가 어디에 있는지, 또 메신져를 이용한 사기라면 그 사용자가 누구인지를 알아내야 하는 의무가 있다. 예전에는 이런 경우에는 가져온 IP 주소를 이용해서 추적을 한다. 그리고 최근에는 추적의 기술이 상당히 발달되어 시간이 약간 걸리더라도 다 발각이 된다. 그런데 위에서 언급했듯 사용자가 임의로 IP 주소를 바꾼다던지 하는 장난을 치면 추적하는데 애로사항이 생기며 시간이 걸린다. 잘못하면 추적이 안되는 경우도 생긴다. 그래서 변하지 않는 인식자인 MAC 주소를 이용하려고 하지 않았나 하는 생각이 든다. 개인 PC에서 일어난 일이라면 바로 찾을 수 있고 피싱 사이트인 경우에도 사이트를 운영하는 서버를 찾아서 추적할 수 있을테니까 말이다. IP보다 훨씬 강력한 추적 수단이 되는 것이다.

    그렇다면 MAC 주소를 수집하는 것을 왜 문제삼는 것일까? 실질적으로 IP를 수집하는 것도 사용자의 개인정보이기 때문에 수집하기 위해서는 사용자의 동의를 얻어야 한다. 서비스를 가입할 때 이런 동의사항을 다 숙지하도록 하고 있다(뭐 대부분이 이런 공지사항을 그냥 넘어가고 승락을 눌러버리는 경우가 많아서 그렇지만 -.-). 우리나라 사람들은 개인정보를 기업이나 정부가 맘대로 다루는 것에 대해서 매우 민감하게 반응한다. 내 개인정보를 악용해서 나한테 불이익이 오지 않을까 하는 걱정 때문이다. 또 악용하는 사례들도 빈번하게 일어나고 말이다. 그리고 IP나 MAC 주소를 이용하면 내가 어떻게 인터넷을 하는지 다 감시할 수 있다. 위에서 언급했듯 인터넷을 하기 위해서는 통신을 해야 하는데 그 통신의 내용이 패킷을 통해서 전달되기 때문에 패킷의 내용을 알 수 있으면 다 감시당하는 셈이 된다.

    위에서 MAC 주소를 설명할 때 IP 패킷을 담는다고 했다. 그런데 PC에서 통신을 할 때에는 TCP/IP 만을 사용하지는 않는다. 더 많은 프로토콜이 존재한다. IP 말고도 ARP라는 놈도 있고 뭐 여러가지 통신을 위해 사용되는 프로토콜들이 존재한다. IP 주소를 알면 IP의 내용을 알 수 있다. 하지만 다른 프로토콜에 대한 내용은 모른다. 하지만 MAC 주소를 알면 그 패킷 안에 있는 내용을 다 알 수 있다. MAC 주소가 있는 레이어 2의 패킷에는 IP 뿐만 아니라 다른 프로토콜의 내용도 함께 들어있기 때문이다. 이런 이유 때문에 감시당한다는 생각이 드는 것이다.

    개인적으로 생각하면 이미 IP 주소를 수집당하고 있는 상황에서 MAC 주소까지 수집한다고 해서 달라질 것은 거의 없다. IP 주소를 수집당하는 것만으로도 대부분의 내가 하는 인터넷 행위를 알 수 있기 때문이다. 하지만 하나라도 내 정보가 어떤 기업의 이익(?)을 위해 이용되는 것을 좋아라 하는 사람은 없을 것이다. 이미 IP 주소가 수집되고 있는 것도 기분나쁜데 MAC 주소까지 수집된다면 정말로 기분이 더러울 것이다. 이미 감시당할대로 다 당하고 있는 상황에서 항목이 하나 더 추가되는 것 뿐인데도 말이다. 물론 문제가 생겼을 경우에만 MAC 주소를 이용해서 해당 원인을 찾는데 쓰겠다고는 하지만 내가 아닌 다른 그 무언가에 내 정보가 넘어갔는데 어떤식으로 쓸지 어떻게 아는가 말이다. 게다가 SK컴즈는 MAC 주소 수집 등의 변경된 약관을 제대로 공지도 안하고 슬그머니 수집하려고 했다는 의혹을 받고 있다. 기업의 운영 편의주의 때문이다. 또한 뭐 그깟 MAC 주소 하나 수집하는데 문제 있겠느냐라고 생각한 안이한 판단 때문이라는 생각도 든다(담당자는 그렇게 생각 안할지도 모르겠지만).

    결국 기술적인 이유가 아닌 사용자들의 감성적인 부분이 문제가 되어 인터넷에서 이 부분에 대한 이슈가 나오고 흥분을 한 것이라고 본다. 그리고 이런 것을 제대로 파악하지 못한 SK컴즈의 잘못이 크다. 결국에는 항의가 빗발치니까 슬그머니 철회한 것이 아니겠는가. 또 MAC 주소를 가져오기 위해서는 ActiveX나 다른 MAC 주소를 가져오기 위한 어플리케이션을 설치해야 한다. 서비스를 사용하는데 있어서 어떤 편의를 주는 기능추가적인 부분이라면 얼마든지 수용하겠지만 이런 내 정보를 가져오기 위한 설치는 당연히 반발을 불러일으킨다. 이걸 몰랐던 것일까?

    결국 사용자들은 또 다른 내 정보를 가져가서 뭔 짓을 하려고 하느냐라는 불안 때문에 SK컴즈에 분노를 쏟아낸 것이다. 그 이면에는 서비스 회사들의 사용자를 기만한 운영 편의주의도 한몫 했다는 것도 있고 말이다. 위에서 얘기했다시피 이미 IP 주소를 수집하기 때문에 MAC 주소를 수집한다고 해서 달라지는 것은 별로 없다. 내가 사용하는데 있어서 떳떳하다면 별 문제는 안되기 때문이다. 하지만 제 3자가 나를 감시한다는 느낌이 드는 것은 그렇게 기분좋은 일이 아니며 이 부분을 간과한 SK컴즈는 이래저래 지탄을 받게 되는게 아닐까 싶다.

    벌써부터 충격이 오고 있다. 싸이월드와 네이트온을 탈퇴하겠다고 나선 사용자들이 늘고 있다. 트위터에 보면 네이트를 탈퇴하겠다고 말하는 글들이 많이 올라오고 있다. SK컴즈는 신중하지 못한 정책변경으로 인해 오히려 손해만 본게 아닌가 하는 생각이 든다.

    댓글 19

    • 프로필사진

      공유기에서는 맥주소 위장이 가능합니다. 작정하고 범죄를 저지르는 사람들이라면 큰 의미 없는 대책이죠.

      2010.07.28 12:28
      • 프로필사진

        하기사 맘만 먹는다면야..
        하지만 적어도 IP주소 바꾸는 것보다는 어렵지요..

        2010.07.28 12:34
    • 프로필사진

      사용자의 감성적인 면에서 기업을 생각해 볼 때 사용자가 그 기업을 어떻게 생각하는지가 중요하다고 생각합니다.
      물론 구글은 쿠키를 통해 사용자 정보를 수집하지만 사용자 정보를 수집한다는 측면에서 사용자가 불쾌해 할 수 있지만, 구글이라는 기업은 사용자가 생각하기에 '착한 기업'으로 여겨지고 SK컴즈의 네이트, 싸이월드 뭐 이런 서비스들은 결코 착한기업이라고 생각되어지지 않는듯한 느낌?
      암튼 기업이 고객을 어떻게 대하느냐에 따라 고객이 그 기업을 어떻게 생각하는지가 달라지는것 같네요

      2010.07.28 13:28
      • 프로필사진

        국내 기업들 중에서 과연 착한 기업이라고 인식되는 기업이 있을련지요.
        SK컴즈가 아닌 다음이나 NHN이 해도 마찬가지였을 것입니다.
        뭐 그동안에 해오던 악행(?)의 결과라고 말할 수도 있겠지만 말이죠.

        2010.07.28 17:17
    • 프로필사진

      국내 은행 인터넷뱅킹 뿐 아니라, 엔씨소프트 같은 게임회사도 MAC Address를 수집하고 있는 마당인데, SK컴즈는 너무 이에 대해서 안일하게 생각하고 실행하려고 한 것이 화근이 된 것 같습니다. 결국 철회하고 기업이미지만 깎아 먹었네요.

      아무리 좋은 방안이라 하더라도 이용자들을 충분히 이해시킬 수 있는 시간과 노력이 필요하다는 걸 보여주는 좋은 사례가 아닐까 싶습니다. (물론 MAC주소 수집이 딱히 좋은 방안이라고 생각하지 않지만...)

      2010.07.28 13:44
      • 프로필사진

        저도 MAC 주소 수집이 딱히 좋은 방법이라고 생각들지는 않네요 -.-;

        2010.07.28 17:18
    • 프로필사진

      이미 국내포털을 비롯한 대한민국의 모든 사이트는
      회원의 개인정보, 즉 이름과 주소와 전화번호와 그리고 가장 중요한 주민번호를
      법원의 판사가 승인한 영장없이도 단지 공문 하나면 깨알같이 제공하고 있습니다

      이 모든게 실명제와 본인확인제도 덕분이죠
      그거 시행할때 악플잡는다고 여론몰이 했고 멍청한 대중은거기에 동조했습니다만
      결국 돌아온건 권력과 정부 비판댓글에 내 모든 개인정보가 싸그리 노출되는 것뿐이었고
      악플은 줄지도 않았습니다
      그런데 하다못해 네이트같은 끼워팔기를 서슴치않는 기업의 말을 믿겠습니까?

      2010.07.28 14:21
      • 프로필사진

        본인확인제도는 모르겠지만 실명제의 경우 악플에 맘고생을 해본 사람은 정말로 저렇게라도 악플러를 잡아낼 수 있다면 하는 생각이 들 것입니다. 안당해본 사람은 모릅니다. 자체적인 정화기능? 과연 현재의 인터넷에서 그런 정화기능을 바랄 수 있을지가 의문입니다.

        뭐 그렇다고 해서 저런 IP 주소 수집이나 MAC 주소 수집, 주민등록번호 수집 등이 결코 옳다고는 할 수 없겠지만 말이죠.

        2010.07.28 17:20
    • 프로필사진

      ip주소만큼이나 mac주소도 변경하기도 보기보다 쉽습니다 하지만 우리가 정말 걱정해야 하는 것은 본 글 내용에도 살짝 나오다 말던데....정부에 의한 감시체제...즉, 빅브라더를 걱정해야 됩니다
      일반인들에게 IP주소도 수집되고 있는데 맥주소 수집은 사실 별꺼는 아닙니다
      그것을 발판으로 정부가 통제하려 든다면 완전 환장하는거죠
      제가 맥주소의 추가 수집이 해킹당한다느니 하는 지나친 주장이 일길래 일반인에게는 실제로는 별꺼 아니라고 했더니 어떤 분은 맥주소만 있으면 WOL기술로 충분히 개인PC가 털린다며 개거품물고 난리치던데...해커가 개인PC를 털고자 맥주소 얻기위해 기업서버를 털고 다시 개인PC를 턴답니까? 그거야 말로 완전 개노동이죠 지금도 여러게시판에 널린 공개된 IP주소만으로도 얼마든지 해킹가능한데 뭐하러 그런 수고를 하겠냐고 했더니....프로그램이나 한번 만들어보고 그런 소리를 하냐고 그러더군요....
      프로그램 안 만들어본사람은 닥치고 짜져 있으라는 소린지 먼지....
      아무튼 핵심은 그 얘기가 아니고...정부에 의한 전국민 감시체제인 빅브라더를 우리는 우려하고 경계해야 하는 겁니다
      현재도 서울 일부 지역에서는 CCTV가 위험인물을 자동으로 지정하고 위험인물이 지정되면 움직이는 동선상에 있는 CCTV가 따라가면서 녹화하고 추척하는데...이거야 말로 영화 에너미오브스테이트의 한장면인 것입니다
      또한 웹서치봇의 무분별적인 웹페이지 서치기능도 빅브라더 출현시 하나의 자원이 될껍니다
      온라인화 되는 것은 우리에게 편리를 제공하지만 그만큼 정부에 의한 감시도 쉽게 될 수 있음을 의미하는 겁니다
      정말 직접적으로 통화상시감청이라고만 해야 빅브라더를 운운하고 그외에는 단순 해킹만 논하는 언론과 우리 네티즌들이 안타깝습니다

      2010.07.28 18:00
    • 프로필사진

      네이트의 맥주소 수집은 과잉된 측면이 있고 불법적인 사용이나 공식적인 수사가 아니라 뒷거래로 정부에 그 정보가 제공되는 것을 확실하게 막도록 노력하면 맥주소가 수집되더라도 일반인에게는 심하게 문제될 요소는 없는데....
      단순히 동의절차 없이 싫으면 탈퇴하라는 문구에 마음 상했다고 줄 탈퇴하고 개인PC가 털린다고 대대적으로 소문이 나돌고....그만큼은 아닌데....
      정작 걱정해야하는 것은 맥주소등의 정보가 정부에게 제공되어 사실상 빅브라더의 일부 출현인데.....그걸 잡아내는 사람은 트위터 상에서는 거의 없더라구요

      2010.07.28 18:03
      • 프로필사진

        SK컴즈가 정부에 해당 정보(MAC 주소까지 포함)를 건네준다면 확실한 빅브라더가 되겠죠. 하기사 그것이 아니라도 모든 정보를 갖고 있다면 문제가 될 듯 보이기는 합니다.

        하도 정부가 신뢰를 잃어서 뭘 하든지 다 안좋게 보이니.. 거참.. -.-;

        2010.07.28 18:06
    • 프로필사진

      음... 맥 주소 바꾸는게 어려운걸까요?
      윈도우에서는 http://bit.ly/c1V5AB 요런 툴도 있구요... http://bit.ly/ccZm6v 여기에 각 운영체제별로 바꾸는법이 나와있네요.
      전에 MAC 어드레스를 가지고 체크하는 프로그램에서 속여서 썼던 기억이 나네요.
      또 바꾸는것 만큼이나 맥 주소를 얻어내는것도 생각보다 쉽습니다. 윈도우의 경우에는 cmd에서 getmac>mac.txt 를 치는것만으로도 MAC 주소가 담긴 텍스트를 만들 수 있습니다. 이걸 가져가기만 하면 수집이 되는겁니다.
      아이피보다 바꾸기가 더 쉬운데,이걸 가져가서 어떻게 사용하려나... 하고 생각했었습니다.
      저는 오히려 이런 점에서 수집을 하면 안 된다고 생각합니다. 바꾸려면 바꿀 수도 있는 정보를, 아이피보다 나을것도 없는 정보니까 말이죠.

      2010.07.28 18:32
      • 프로필사진

        음.. 그런식으로 가상으로 바꾸는 방법이 존재할지는 모르겠습니다만 실질적으로 전송될 때 MAC 주소가 바뀌는지는 저도 잘 모르겠군요. MAC 주소는 랜 카드 등 네트워크 장비에 고정적으로 박혀있는 값이기 때문에 그 값을 쓰는게 정상입니다만 만약 디바이스 드라이버 등을 해킹해서 MAC 주소 가져오는 부분을 바꿀 수 있다면야 가능할지는 모르겠습니다.

        2010.07.29 09:04
    • 프로필사진

      음. IP주소를 수집하는 경우와 MAC 주소를 수집하는 것이 큰 차이가 없다 라고 말씀을 하셨지만 그 부분에 대해서는 동의할 수 없습니다. 실제로 MAC 주소는 말씀처럼 unique 값입니다. 이 값만 가지고 있다면 어떤 사용자가 어떤 일을 어떻게 햇는지 다 알 수 있습니다. 또한 해킹에 대한 부분도 고민을 해봐야 합니다. IP 주소야 변경될 수 있으므로 그래도 좀 덜하지만 MAC 주소 자체가 해킹에 의해 노출이 되었다고 했을 때 MAC 주소를 이용한 다양한 공격이 가능해지지 않을까요? 그리고 그 MAC 주소를 이용해서 좀 더 신속하게 한 개인의 인터넷 사용 패턴 등을 추척할 수 있고 말이죠. 그런 부분들이 너무 간과된 것이 아닐까 생각해 봅니다.

      2010.07.28 21:50
      • 프로필사진

        MAC 어드레스 별로 유니크하지 않습니다.
        일단 쉽게 바꿀 수 있구요. MAC 어드레스는 하드웨어끼리 통신할때 서로 구분하는 수단이기 때문에 같은 네트워크가 아니라면 얼마든지 중복이 되어도 상관 없습니다.
        제가 나쁜짓을 한다면 저 공지가 뜬 이후로는 MAC 어드레스부터 바꿨을겁니다. (지금은 철회되기는 했지만..)

        2010.07.29 01:54
      • 프로필사진

        유우령// MAC 주소는 유니크 한 값이 맞습니다. 구조 상 그렇게 갈 수밖에 없습니다.

        돌이아빠// IP 주소 수집이나 MAC 주소 수집이나 비슷하다고 생각한 이유는 국내 사용자들이 대부분 인터넷을 사용하고 웹브라우징을 많이 쓰기 때문입니다. 인터넷을 쓸 때는 대부분이 IP를 쓰니까요. 물론 MAC 패킷이 더 포괄적이기 때문에 인터넷 뿐만 아니라 다른 사용행태를 볼 수 있다는 문제점이 있습니다만 말이죠.

        2010.07.29 09:07
      • 프로필사진

        MAC주소를 안다고 해킹을 한다. 라는건 좀 아닌것 같습니다. ip주소나 안다고 해킹을 하는건 아니듯이 말입니다.

        2010.07.30 17:49
    • 프로필사진

      대부분 국내 사용자들이 ISP업체에서 유동ip를 이용하고 있기 떄문에, 보다 정확한 정보 수집을 위한 작업이 아니었을까 합니다. 지금도 ISP업체와 협력한다면 MAC주소도 원하기만 한다면, 알 수 있죠. 개인정보법 문제로 수집을 안하는것 뿐이죠.

      2010.07.30 17:46
      • 프로필사진

        저도 그렇게 생각하기는 합니다. 그런데 역시나 문제는 개인정보법이죠 -.-;

        2010.07.30 18:42
Designed by Tistory.