2009.02.16
악성댓글이 인한 여러 가지 사건으로 인해 사회적, 정치적 이슈로 대두되었다. 특히, 익명성 보장과 자기가 쓴 글에 대한 책임감 사이에서 갑론을박 논란거리가 되고 있다. 익명성을 존중하자니 너무나 무책임한 글들이 마구잡이로 올라와 눈살을 찌푸리게 하고 실명인증이나 사이버모욕죄를 적용하자니 자유로운 의사 표현을 저해하는 요인으로 작용하게 될 우려가 있는 것이다. 사실, 성숙한 인터넷 문화를 만들기 위해서는 개개인의 자정 능력이 가장 필요하지만 그 전까지는 자기가 올린 글에 대한 책임감의 표현으로 개인 정보를 일정 부분 남기는 것이 건전한 인터넷 문화를 만들어주는 울타리가 아닌가 한다.
여러 사이트들에 글을 남길 때 자신의 IP가 남겨지는 것에 대하여 걱정하는 분들이 많이 있다. 댓글에 남겨진 접속자의 최소정보를 통하여 글쓴이를 어느 정도까지 확인 가능한 것인가? 이번 글에서는 실질적인 예를 통하여 어떤 방식으로 정보를 확인할 수 있는지 살펴본다. 이로써, 작성자 정보 확인 방법에 대한 인터넷상의 잘못된 정보들로 인하여 발생하는 오해와 이로 인해 발생하는 협박 등이 과장된 것임을 확인하고자 한다. 또한 이를 통해 건전한 댓글을 위축시키는 일을 줄여보고자 한다.
아울러 논란이 많은 IP의 실사용자 정보의 확인은 사법기관을 통한 협조에 의해서만 가능하며 개인 및 특정업체를 통한 유출은 불법이며 처벌을 받게 됨을 먼저 밝혀둔다. (KR/CERT와 같은 수사기관만 요청 및 열람 가능)
* 본 글에서는 여러 가지 IP정보 우회 방법(proxy, 침해된 장비를 경유하는 방법 등)을 통한 조작케이스는 제외한다.
먼저, 악성댓글 이슈가 종종 발생하는 게시판에 남겨지는 작성자 정보의 특성을 예로 들어 확인해 보도록 하자. 일반적으로 게시판이나 사용자의 참여가 가능한 인터넷상의 공간에서는 다음과 같은 최소한의 작성자 확인을 위한 힌트를 남겨준다.
1. 로그인한 사용자의 경우 닉네임을 남겨준다.
-닉네임 = 해당 서비스사에 대한 협조요청 또는 카페관리자를 통하여 타당한 경우 가입 당시의 등록정보를 요청 해볼 수 있다.
단, 관리자는 개인정보 제공에 대한 책임을 져야 할 수 있으며 개인정보보호 의무를 지켜야 한다.
-닉네임과 IP (전체 또는 일부)와 시간 = 침해사고, 특정인에 대한 명예훼손 사고 발생시 중요한 컴퓨터 포렌식 자료로 사용이 가능하다. IP와 시간은 해당 사용자의 접속경로/방식을 확인할 수 있는 정보를 제공한다. 또한 최근에는 whois검색결과를 DB화 하여 회사/기관명을 입력하면 사용IP대역을 검색할 수 있는 서비스도 나타나 IP를 모르더라도 원하는 곳의 공인IP 대역을 알아 낼 수도 있게 되었다.
2. 로그인하지 않은 사용자의 경우 전체 또는 제한적인 IP 정보 및 시간을 남겨준다.
또한 로그인하지 않은 상태에서 남겨지는 닉네임의 경우 임의로 작성이 가능하므로 실제사용자의 이름과 일치하지 않을 경우가 많다.
예) IP: 121.130.9.102 또는 121.130.*.102와 같이 전체 또는 부분적 정보표기
DATE: 글을 남긴 서비스서버의 시간으로 표기
위에서 확인한 바와 같이 로그인을 했을 경우에는 필요 시 관리자에 적법한 절차를 거쳐 개인정보를 요구할 수 있다.
로그인하지 않은 사용자의 경우 사용자의 확인은 어떻게 할 수 있을까? 로그인 하지 않은 사용자의 경우 확인은 매우 어려운 것이 사실이다. 하지만 주어진 최소한의 정보를 두 가지 케이스로 분류하여 알아보도록 하자.
CASE 1: 유동IP 전체와 글을 남긴 시간이 존재하는 경우
CASE 2: 고정IP 전체와 글을 남긴 시간이 존재하는 경우
CASE 1: 유동IP 전체와 글을 남긴 시간을 통해 접속자를 확인하는 예
예를 들어, IP 121.130.X.102 사용자가 2009년 1월 28일 22시 27분에 로그인하지 않고 글을 남겼다고 가정해 보자. 만약 해당 글을 발견한 시점과 얼마 차이가 나지 않는다면 아직 해당PC가 켜져 있을 가능성이 높다.
다음의 명령을 통하여 정보를 확인해 보도록 하자.
[그림1. Ping 명령을 통하여 해당 PC가 확인 가능한지 확인]
Ping 명령으로 해당 사용자의 PC가 켜져 있음을 확인 하였다.
(켜져 있고 ping이 차단되어 있지 않은 경우 위와 같은 화면이 나타난다. Ping이 차단되거나 꺼져있는 경우 ‘Request timed out.’이 표기된다.)
[그림2. Tracert 명령을 통하여 해당 PC의 네트워크상의 접속 경로를 확인]
Trace 명령을 통하여 해당 사용자 PC의 다음과 같은 정보를 얻었다.
-댓글을 남긴 PC이름은 SHEAD-AIR다. (단 Netbios Name이 지정된 경우만 나옴)
-댓글을 남긴 PC는 본인의 PC와 Trace의 순서의 역순으로 연결될 수 있다.
-댓글을 남긴 PC의 접속경로 및 흔적은 위 리스트의 장비들을 통해 추가 확인할 수 있다.
Trace 명령에서 나온 IP들의 정보를 whois를 통해 정리해 보면 경로는 다음과 같이 정리된다.
[표1. 해당 IP에 대한 trace 결과와 소유자]
Whois의 검색결과 11번 220.117.X.226은 KORNET에서 소유하며 12번 121.130.X.102는 121.130.X.0-121.130.X.255까지 서울특별시 광진구 화양동에 위치한 KT 강북본부에서 소유 및 유동IP를 통한 접속자임을 확인 할 수 있다. 하지만, 여기까지가 사용자 확인의 한계가 된다. 일반인들은 KT 강북본부에 2009년 1월 28일 22시 27분에 121.130.X.102 IP를 사용한 고객의 정보를 요청할 수 없기 때문이다. 단, 심각한 피해를 끼친 경우로 법적인 절차를 거쳐야 할 사건인 경우 여기서부터 사법기관의 협조가 필요하며 협조를 득한 경우 해당 ISP업체의 회선장비에 존재하는 MAC address table과 사용자의 MAC address과 일치하는지 확인하여 동일 사용자임을 확인하게 된다.
CASE 2: 고정IP 전체와 글을 남긴 시간을 통해 접속자를 확인하는 예
인터넷상의 투표나 댓글의 신빙성이 떨어지고 있다. 속칭 ‘알바’ 동원으로 인한 결과의 조작이나 경쟁사에 대한 비방글을 올리다 IP확인으로 망신을 당하는 경우가 심심찮게 일어나고 있다. 같은 IP라는 번호체계를 사용하는데 확인 과정을 통하여 어떤 차이점이 있는지 살펴보도록 하자.
때로는 유동IP보다 고정IP 사용자의 확인이 더 어려운 경우가 많다. 이는 한정된 공인IP개수를 활용하기 위하여 NAT (사설망, 일반가정의 인터넷공유기와 유사)환경을 사용하는 경우가 많으며 이 경우 한 개의 고정IP는 적게는 수대에서 많게는 수백, 수천 대가 될 수 있기 때문이다. 121.130.X.102가 고정IP이고 특정 회사에 소속 되어있다고 가정하고 찾아보도록 하자.
Whois 검색결과 121.130.X.102는 서울특별시 영등포구 여의도동에 위치한 회사로 나타났다. 할당된 IP 대역은 121.130.X.99~121.139.X.200까지로 나타났다.
[그림3. 해당 IP 소유사의 위치 정보(위 사진은 이해를 돕기 위해 가정한 것으로 실제 안철수연구소의 IP가 아닙니다 ^^;;)]
일 반적인 회사의 경우 여러 개의 공인/고정IP를 사용하며 용도에 따른 망 분리가 되어 있다. 우선 우리는 이 대역 중 121.130.X.102와 사용시간이라는 정보를 가지고 접근하도록 하자. 하지만 이 케이스도 혼자의 힘으로는 더 나아갈 수 없게 된다. 왜냐하면 해당사에서는 IP의 사용자 정보를 제공할 의무가 없으며 회사 기밀과도 밀접한 관계가 있기 때문에 whois에 나타난 주소 관리자에게 연락해도 제공 받을 수 없다.
해당사의 관리자를 통하여 121.130.X.102를 대표 고정IP로 사용하는 장비를 확인하게 되었다.
[그림4. 방화벽 및 DHCP서버와 라우터]
121.130.X.102 장비는 DHCP 서비스를 운영하며 DHCP 관리 콘솔을 통하여 해당 시간대 IP를 부여 받은 PC들의 리스트 및 MAC 주소를 얻을 수 있었다. 또한 방화벽로그에서 해당 시간대 해당 게시판에 접근한 IP는 안 모씨가 사용하는 내부 IP 172.16.103.56, MAC 주소는 00-80-88-03-D2-6E임을 확인 하였다.
[그림5. 관리자를 통해 제공받은 내부IP 사용자 정보]
내부 IP 172.16.103.55 사용자 정보를 확인 하였다. 또한 해당 IP는 1-264번 단자에 연결되어 있는 자리임을 알아내었다.
[그림6. IP 172.16.103.55 PC 및 단자번호]
위 정보들을 토대로 악플을 남긴 것으로 추정되는 안 모씨의 PC를 찾을 수 있었다. 단, 해당 사용자의 PC가 침해되었을 가능성도 있으므로 IP/MAC/단자번호/사용시간이 일치 하여도 동일인물임을 단정해서는 안 된다. 해당 PC를 통한 정확한 접속로그 등의 포렌식 증거에 의하여 동일사용자임을 밝혀야 하는 작업이 추가적으로 남아 있지만 이로서 42억 개를 넘는 IP 속에서 1개의 IP의 실사용 PC를 확인하게 되었다.
게임방과 같은 환경의 경우 다음과 같은 특성이 존재한다.
- 각 PC는 whois검색 결과 범위 내에서 IP를 할당 받으므로 사법기관의 요청을 통해 게임방의 주인을 통하여 사용자 정보를 확인 할 수 있다.
- 각 PC의 사용자는 게임방 자체의 ID표를 갖고 관리프로그램을 통해 기록이 남으므로 확인이 용이하다.
- Client-Server 방식의 게임의 경우 IP는 중앙서버에만 기록되나 개인이 방장을 할 수 있는 게임의 경우 방장은 접속자들의 IP를 볼 수 있는 문제점이 있다
- Client-Server방식의 게임이 많으며 사고 발생시에는 사법기관을 통해 해당게임업체에 필요한 정보를 요청할 수 있다. 특정게임사의 직원 사칭, 인맥을 통한 IP 및 정보 확인이 가능한 것처럼 협박하는 일이 종종 발생하나 이러한 경우 피해자는 해당 게임사에 손해배상을 청구할 수 있으며 해당직원은 사법적 처벌을 받게 된다.
- 게임방의 특성상 IP 및 위치정보가 직접적으로 드러나며 이에 따른 위치 확인 및 직접 찾아갈 수 있는 취약점으로 범죄에 악용되는 경우가 자주 발생한다.
최소한의 접속정보를 남기는 것은 독이 될 수도 있고 약이 될 수도 있다. 하지만 자신이 당당하면 IP와 ID가 댓글에 표기되는 것을 두려워할 필요는 없지 않을까. 익명성이란 가면 뒤에서 타인에게 피해를 입히는 행태가 늘어난다면 역으로 자신의 의견을 올바르게 피력할 수 있는 기회를 위협하게 된다는 것을 알아야 한다. IP추적과 같은 극단적인 방법이 필요 없도록 본인 스스로가 자기가 쓴 글에 책임을 지는 문화가 조성되기를 바란다.
다음 번 글에서는 스팸메일의 기나긴 여정을 확인해 보도록 하겠다.@
글 : 안철수연구소 안형봉 주임연구원
'AhnLab 보안in' 카테고리의 다른 글
컴퓨터 바이러스의 진화, 변종 바이러스 (0) | 2020.04.07 |
---|---|
누구나 쉽게 따라하는 PC보안 (1) 업데이트 통한 보안 패치 (0) | 2020.04.07 |
발렌타인데이 달콤한 메일로 악성코드 유포 주의 (0) | 2020.04.07 |
인터넷 전화의 무선공유기 안전하게 사용하기 (0) | 2020.04.07 |
"최대 절전 모드" 기능을 활용한 컴퓨터의 빠른 부팅 (0) | 2020.04.06 |