새로 테스트 한 내용이 올라왔습니다.

위 링크 참조해주세요.


=================================================


SK컴즈에서 공지가 올라왔네요.

http://www.cyworld.com/nateonblog/3595920



비밀번호 암호화를 위해서만 사용하고 실재 수집은 안한다고 합니다.

MAC 주소 수집 철회 방침과 API 변경이 겹친 결과라고...

늦게 소식 듣고 오신 분들은 위 네이트온 공식블로그를 확인해주세요. 


==================================================================


7월 21일 네이트/싸이월드에서 피싱 최소화를 위한다며 사용자 MAC Address를 수집한다고 발표했다가
네티즌의 거센 항의 때문에 7월 27일에 이를 철회한 바가 있습니다.



네티즌은 당연한 조치라며 환호 했지만 실상은 달랐습니다.

파코즈 김종환 님의 글입니다.


http://www.parkoz.com/zboard/view.php?id=express_freeboard&no=490842


네이트온 최신버전(4.0.12.3)이 올라왔길래 혹시하고 다운로드 받았습니다.
그래서 디스어셈블러로 살펴 봤습니다.

아니나 다를까, MAC Address 추출기능을 가진 함수가 새로 사용되고 있습니다.




제가 이전버전(4.0.11.8)의 NateOn 실행파일을 아직 가지고 있는데, 이전버전에는 저 함수가 사용되지 않았습니다.

이 함수가 MAC 주소 정보만을 주는 기능을 가진건 아니지만, 이전버전에선
사용될 필요가 없었는데, 갑자기 사용되었다는건
역시 MAC주소 추출을 위한 기능이라고밖에 생각할 수가 없네요.

MAC가 실제로 추출되어서 네이트 측으로 넘어가는지는 확인하지 못했습니다.
새 기능이 들어있다는 사실만 확인하고 바로 글 쓰는거라.....
(좀더 분석과 실험을 해 보면 정확히 알 수 있겠지만, 그럴 필요까진.....)


어쩌면 지금은 개발팀에서 당초 계획대로 NateOn을 개발했을 뿐이고,
실제로는 MAC 주소를 수집하는 기능이 동작하지 않고있을 뿐인지도 모릅니다.
만일을 대비한 기능이라고 생각할 수 있겠죠.

오해를 하실까봐 말씀드리자면, MAC주소란건 유출된다 하더라도, 큰 영향을 미치지는 못하는 정보입니다.
공유기를 사용하는 환경만 되어도, PC의 MAC주소는 ISP에서도 알 수 없습니다.
그러면 심지어 경찰 공권력을 동원한다고 해도 압수수색을 하지 않는이상은 접속정보를 대조 할 수가 없지요.

게다가, 소프트웨어로 랜카드의 MAC 주소를 바꿀수도 있으니,
컴으로 나쁜짓을 할 사람들도 전혀 걱정할 꺼리가 못된다고 할 수 있습니다.


바꿔말하면 MAC주소로 해킹을 방지한다던가 하는 얘기도 별 실효성이 없다는거죠.
지금처럼 많은 얘기들이 퍼져나간 판국에는 더더욱 별 쓸모가 없다고 할 수 있습니다.


대신, 네이트측에선 IP 만으로 통계를 내는것 보다 훨신 정확한 이용자 통계를 낼 수 있습니다.
마케팅 전략을 세우는 데이터로 쓸수는 있겠지요.


어쨌거나, MAC의 중요성이나 실효성을 떠나서, 이용자들이 싫어서 하지말라고 했고
네이트도 그러겠다고 했는데, 언제라도 마음먹으면 MAC를 가져갈 수 있는 시스템을
구축해 놓고있다는건 역시 기분이 나쁘네요.

네이트온 업데이트 내역을 봐도 그다지 중요한게 없던데,
굳이 이 기능을 넣은채로 새 버전을 배포해야 했는지......

신고
      연예, 가십, 이슈  |  2010.07.29 17:18
orfeo
2010.07.29 19:01 신고 댓글에 댓글수정/삭제
arp로 공유기의 MAC도 긁어갈 수 있겠죠. 혹시 그런 것도 디스어셈블러로 확인할 수 있을까요?
2010.07.29 19:24 신고 수정/삭제
거기까지는 저도 잘 모르겠네요..
.
2010.07.29 19:23 댓글에 댓글수정/삭제
비밀댓글입니다
.
hyades
2010.07.29 19:33 신고 댓글에 댓글수정/삭제
디어셈블을 하셨으면 어느정도 프로그래밍 하시겠네요.

저도 약간 해봤지만 저렇게 준비를 하고 있다가 갑자기 철회하여 새로 프로그램을 배포하는 경우, 잘 쓰는 방법이 함수를 호출한 다음에 실행 부분을 모두 주석으로 막고 아무것도 리턴하지 않게 하는거죠. 저 부분 삭제로 인해 다른 부분도 모두 손보는 것보다 훨씬 간단한 방법입니다.

맥 어드레스를 보내는 패킷 캡춰가 없다면 MAC을 보낸다고 결정은 약간 섣불러 보입니다.
2010.07.29 19:46 신고 수정/삭제
실재 MAC 주소를 보내거나 하지는 않지만
오해의 소지가 없도록 아예 제외 했으면 더 좋았겠지요.
.
2010.07.29 19:42 댓글에 댓글수정/삭제
비밀댓글입니다
.
2010.07.29 20:01 신고 댓글에 댓글수정/삭제
근데.... MAC주소가 어떻게 마케팅 자료로 쓰일수 있을까요..?;;
리머대
2010.07.29 20:21 신고 수정/삭제
악용될 소지가 너무 많습니다.
리머대회신
2010.07.29 23:18 신고 수정/삭제
악용 어디요?? 상세하게 알 려주세요. 제발 그렇게 얼 버무리지말구요 ㅠㅠㅅㅂ
리머대회신님은...
2010.07.30 08:00 신고 수정/삭제
네이트 직원인가?
.
2010.07.29 20:25 신고 댓글에 댓글수정/삭제
이미 pidgin 쓰고 있어서..

SK 답네요 ㅡㅡ;;
.
2010.07.29 21:00 댓글에 댓글수정/삭제
비밀댓글입니다
.
2010.07.29 22:06 신고 댓글에 댓글수정/삭제
그러니 우리 모두 Pidgin을 쓰죠
.
ㅇㅇ
2010.07.29 22:11 신고 댓글에 댓글수정/삭제
도대체.. 뭐하는짓이지? 대놓고 사기를쳐?
.
ㅋㅋ
2010.07.29 22:29 신고 댓글에 댓글수정/삭제
파코즌님 하이염
.
맥어드레스
2010.07.29 23:14 신고 댓글에 댓글수정/삭제
네이트는. 참 억울하다 정부에서 피싱 막으라고하지 사람들은 페이스북이나 트윗처럼 외국사이트. 가입하면서 '실명확인','본인확인'안하고가입해도 별이야기 안하고 ㅅ연애인으로사칭해서쓰 는 트윗보구는 아무말 안하는. 그대는 2중적이다. 난 네이트를 좋아하지도 않지만 맥주소를 알면 모든게 다까발려진다고 생각하는 사람드리있어 글올려용. ㅠㅠ
.
2010.07.29 23:15 신고 댓글에 댓글수정/삭제
얼마전에 갤S땜시 삼승안티가 된데 이어 이제 SK안티가 됐네요..

좋겠어요..SK..
두고보겠어요..
ㅡㅡ+
SK사랑
2010.07.29 23:20 신고 수정/삭제
왜. 안티?? 이유나 알아야. 저도. 안티하죵 ㅠㅠ
???
2010.07.29 23:32 신고 수정/삭제
다른사람이 안티하는 이유를 알아야 안티를 하려고 하시는군요
Anonymous
2010.07.30 00:15 신고 수정/삭제
다른 사람이 왜 안티행위를 하는지 알아야 나도 안티되는 거 아니에요? 이건 무슨..
.
ABC
2010.07.29 23:23 신고 댓글에 댓글수정/삭제
어떤분은 MAC 어드레스는 원격제어로 사용될 수도 있는 심각한 개인정보라고 이상한 말씀을 하시는 분도 트위터에 계셨었습니다.
(제가 그럼 제 MAC 어드레스 알려드릴테니 제 컴퓨터 원격 제어하실 수 있냐고 물어보니 대답은 없으시구요...)

제발 좀 정확한 정보를 가지고 비난했으면 좋겠습니다.

실제 MAC 어드레스를 전송할 수도 있고 아닐 수도 있습니다. 그런데 이 글은 거의 MAC 어드레스를 전송한다는 확신을 주고 계시고, 트위터에는 이미 제목만 뽑아서 돌아다닙니다. (제목만 보면 MAC 어드레스를 가져간다고 확실한 것처럼 보이죠. - 찌라시성 제목입니다.)

일반 사람들은 기자들을 엄청 욕합니다. 알아보지도 않고 글을 쓴다구요. 그런데 그건 일반인들도 마찬가지입니다. 마찬가지로 심하죠. (물론 돈을 받고 일하는 기자와는 다르지만요.)

현재는 당연히 네이트온측이 더 잘못하고 있는 것이겠지만, 철회하고나서 그냥 말그대로 다른 정보 때문에 저 함수를 호출하고 쓰는 것일수도 있습니다. 그런데 무조건 MAC 어드레스를 전송하는 것처럼 비난하는것은 네이트온측을 욕할꺼 못됩니다. 똑같은 사람이 되는거죠.

위에 적었듯, 저게 진짜 MAC 어드레스를 전송할 수도 있습니다. 그렇다면 좀 더 알아보시고 글을 쓰시는 것도 하나의 방법이고, 아니면 보는 사람들이 오해하지 않도록 주의를 주는 쪽에서 그치는게 어떨까 합니다.
ㅋㅋ
2010.07.29 22:36 신고 수정/삭제
이 글은 전송한다고 비난하는게아니라 맥어드레스 호출함수가 패치되기 이전버전에는 없는데 이번에 생겼다는, 그냥 주의성 글같은데요.. 그리고 블로그는 개인의 생각을 올리는 곳아닌가요??
ABC
2010.07.30 08:47 신고 수정/삭제
리플들 보시죠.
이글을 본 후 사람들이
'아, 혹시 모르니 주의해야겠군.' 생각합니까..?
'사기 치는군...' 이라고 생각합니까??

이런글은 이미 '알고보니 네이트온이 패치후 MAC 어드레스를 추축하더라' 라는 의미로 퍼졌습니다.

그렇게 해석하는 사람들이 전부다 바보겠습니까? 아니면 (특히 제목) 글을 오해하도록 써서겠습니까?

결국은 MAC 어드레스는 전송하지 않는걸로 알려졌고, 이 글을 뻘짓이 된거죠. 괜히 사람들한테 불필요한 경각심만 불러 일으키고 '아님 말고'가 되는거죠.
.
duvet
2010.07.29 23:43 신고 댓글에 댓글수정/삭제
메신저 피싱을 시도한 기록이 있는 hostname/Mac Address 에서 네이트온에 접속하는 경우를 직접적으로 막을 수도 있을겁니다. IP는 매번 달라지는 정보지만 MAC 정보는 그렇지 않으니까요. 물론 MAC 정보는 속일 수 있는 정보입니다. 드라이버에서 이 값을 바꿀 수 있도록 override기능을 제공하는 경우도 있고 정보를 얻는 API를 후킹해서 속이는 소프트웨어를 작성 할 수도 있습니다. 때문에 이런 접근 방법이 곧 무력화 될 가능성이 있겠지요. 하지만 MAC Address를 이용해서 메신저 피싱을 기계적으로 막는 방법은 여러가지 응용이 가능합니다. 예를 들어 항상 특정 Host Name/Mac Address로 접속하던 고객이 다른 Host Name/Mac Address로 접근해서 온라인인 모든 친구에게 메시지를 보낸다면 메신저 피싱일 가능성이 높겠죠. 이러한 비정상적인 패턴을 보이는 경우에 본인인증을 하지 않으면 추가적으로 메시지를 보내지 못하도록 기계적으로 막을 수도 있습니다. 말씀하신것처럼 단지 MAC Address 만으로는 악용될 여지가 별로 없구요. MAC Address로 어떤 개인을 특정지을 수 있는 정보가 아니므로 엄밀한 의미에서 개인정보도 아닙니다. 그런 의미에서 SK가 이를 수집하겠다고 사용자에게 알린 것은 상당히 나이스한거죠. SK에게 본인 실명과 주민번호 그리고 주소까지 이미 다 맡기셨으면서 MAC Address 수집하는것은 왜 그렇게 펄쩍 뛰시는지 저는 잘 이해가 되지 않습니다. 그리고 해당 함수가 MAC Address 정보를 얻기 위한 것이 아니고 범용인데다가 실제로 해당 함수콜을 하는지 여부조차 알수 없는 상황에서 함수콜이 남아있다는 이유만으로 기능이 살아있다는 표현을 하면 '도대체.. 뭐하는 짓이지? 대놓고 사기를 쳐?" 이런 리플이 달리게 되는겁니다. 포스팅 하신분도 SK가 사용자를 대놓고 기만하고 있다고 보시는 건가요?
보글
2010.07.30 00:32 신고 수정/삭제
mac 어드레스에 관여된 함수를 추가해 놓은건 사실이지 않나요? 그리고 개인정보 일부 주었다고 나머지도 다주어야하나요. 생각하는게 이상하시네요.
...
2010.07.30 10:52 신고 수정/삭제
@보글 말씀하신 내용은 오해라고 네이트온 개발팀장께서 글을 올리셧는데, 아직 못보셨나 보네요. 네이트온 자동 로그인 기능을 위해 필요했었다고 합니다.

아래 댓글에 개발팀장의 설명 글 link되어 있습니다.
.
2010.07.30 00:28 신고 댓글에 댓글수정/삭제
네이트온 개발 팀장께서 오해라고 설명하는 글을 올리셨답니다.
http://www.cyworld.com/nateonblog/3595920
2010.07.30 00:56 신고 수정/삭제
글 내용 추가 하였습니다.
.
2010.07.30 00:44 신고 댓글에 댓글수정/삭제
무료문자 100건으로 사람 모으고, 모이니 SKT에만 100건으로 바뀌고.. 광고는 점점 늘어가며... 건드리는 것도 점점 많아지는 네이트온.
.
재구
2010.07.30 10:40 신고 댓글에 댓글수정/삭제
아니 그렇다면 암호화키를 수집하려고 했었다는 이야기가 되는 것 아닙니까?
.
몬돌
2010.07.30 15:01 신고 댓글에 댓글수정/삭제
비밀번호 암호화 하는데 쓴다면 비밀번호와 MAC을 인코딩(암호화)해서 서버로 전송하는 것이고 비밀번호를 알면 MAC도 디코딩(추출)할 수 있는 가능성이 있습니다. 만약 이렇다면 MAc을 전송하는 거나 다름 없지요.
.
2010.07.30 23:40 댓글에 댓글수정/삭제
비밀댓글입니다
.
2010.08.04 14:03 신고 댓글에 댓글수정/삭제
잘 읽고 많은 도움이 되었습니다.
감사합니다. 트랙백도 걸었습니다.
.
name ::   password :: blog :: secret
등록



티스토리 툴바