싸이 방문자 추적기 개발자 구속?

ddoman의 이미지

싸이를 아예 안하는 사람이라 모르고 있다가
오늘 우연히 어느 한 싸이 유저로 부터

싸이 방문자 추적기를 개발한 사람이 예전에 구속된 적이 있다는 얘기를 들었습니다.

개인적으로 예상했기로는 직접 제작한 flash을 올려서( 싸이가 flash 업로드를 지원하는지도 모르지만 )
flash를 브라우져에서 자동으로 실행하면서 정보를 보내게끔 하거나

메일업체들에서 이미지 링크를 통해서 수신확인 기능을 제공하듯이( 이것도 싸이 홈피에 외부의 이미지 링크 HTML을 지원하는지도 모르지만;; )
이미지 읽는 사람들의 IP를 수집하는등의 트릭을 이용할 거라 생각했는데

어느경우가 되었든 구속의 사유는 전혀 되지 않을것이라 생각했거든요.
저작권을 침해한것도 아니고..

암튼 검색을 해보니 정말로 구속을 했다는 소식을 퍼온 지식인 답글이나 블로그 글들만 보이고,
뉴스 기사는 못 찾았네요. 그런걸 거짓말 할리는 없겠죠?

혹시 구속 원인을 아시는 분이나 설명이 있는 페이지를 아시는 분 링크 부탁드립니다.

미니홈피 서버를 해킹해서 정보를 빼 돌리거나, 취약점을 이용한 트릭 같은걸로 구현이 되었다면
고소 당할 수도 있었겠지만

고작 client-side에서 IP주소나 쿠키에 있는값을 보내게끔( flash를 통해서 ) 하는데 제가 처음 말한 방법정도로
했었으면 충분했을텐데,
그리고 만약 그런식으로 구현했다면 구속시킬 사유가 전혀 없는데

왜 구속 했는지 아시는 분이나 아이디어 있으면 의견 부탁드려요.

송효진의 이미지

XSS공격은 범죄 맞습니다.

정보로서의 가치가 있기 위해서는
1. 현재 로딩된 url
2. 쿠키
3. ip
정도의 정보가 필요하고,
그런 정보를 보냈다고 여겨집니다.

1 은 사생활 침해이고,
2 는 해킹시도로 볼 수도 있습니다.

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

김정균의 이미지

이걸 XSS 라고 하면.. 웹메일의 메일 읽음 확인 기능도 XSS 라고 해야 할 겁니다.

제 생각에는 이건 XSS가 아니라 Cyworld 에서 자신들이 얻을 수 있는 수익을 다른 사람들이 얻고 있는 것에 대하여 노한 것이 아닌가 싶군요. 즉, 약관을 이용하여 형사적으로 몰아간 것이라 보입니다. 물론.. 잡혀간 사람들도 도를 지나친 것이 문제일테고요.

단, 해당 스크립트가 어떤 정보까지를 건드렸느냐에 따라 좀 달라지기는 할 것 같습니다. 요즘 flash 같은 놈들이 워낙 할 수 있는 일들이 많아져서.. active x 나 보안적으로는 비슷한 등급이 된 것이 아닌가 싶을때도 있군요.

송효진의 이미지

img 태그로 알 수 있는건 referer 와 ip 입니다.
웹메일에서 referer url 은 일반적으로 접근 할 수 없기때문에 문제되지 않습니다.

제 의견은 충분히 밝힌듯 하고,
다시한번 읽어보시면 결국 같은 의견임을 아실 수 있습니다.

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

wish의 이미지

내가 메일함을 확인한 시간이나 여부, 장소 등은 개인 정보가 아닌걸까요?
결국 이미지를 가져갔는지 여부를 통해서 확인하는 거고 어떻게 보면 웹로그를 가공해서 사용하는 것과 다를 바 없는데,
웹로그 같은 기록들은 개인 정보로 인정되지 않는 걸까요?

결국 방병록 추적기도 누가 언제 특정 사이트를 접속했었다는 걸 기록했던거고,
웹메일 이미지 심기도 특정 유저가 언제 메일함을 확인했었다는 걸 기록한건데,
근본적으로 다른걸까요?

또한 어떤 유저가 어떤 시점에 어느 회사의 메일함을 확인했다는 사실만으로 현재 로딩된 URL은 쉽게 유추 되지 않나요?

김정균님꼐서 제시하신 것이 효지님께서 말씀하신 것만으로 그렇게 쉽게 넘어갈 수 있는 문제인지 의문이 듭니다.

송효진의 이미지

타인의 행동을 무단으로 파악했다는 점에서
img 태그 메일확인여부 검사도 충분히 '사생활침해'라는 것을 인정합니다.

싸이월드 사건은 '+ 개인정보침해' 이고,
충분히 해킹에 활용될 만한 정보를 다뤘기에 '+ 해킹미수' 입니다.

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

김정균의 이미지

XSS 라고 단정하신 것을 저는 이해할 수 없다는 것입니다. 저는 해당 기사만으로는 XSS 라고 단정을 할 수가 없을 것 같습니다만..

정확하게 어떤 정보가 어떻게 유출이 되었는지를 아시는 것인가요?

송효진의 이미지

플래시를 사용한 이유가 '쿠키'를 가져가기 위함이기 때문입니다.
그 쿠키에는 아이디인지 이메일인지 그 사람을 특정할 수 있는 정보가 들어있기에,
누가 방문했는지 알아내는게 가능한거죠.

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

sandy의 이미지

암호화되지 않았다면 공개된거나 마찬가지인
웹에서 오가는 정보(쿠키를 포함해서)들을 "얻는" 행위 자체가
불법인가요?

쿠키 속에도 여러 정보가 있을수 있는데
referer url은 얻어도 괜찮고 그 외 나머지 쿠키는
얻으면 불법인가요?

그런 구별은 누가 하는건가요?
경찰이 불법인 쿠키와 아닌 쿠키를 판정해주나요?

xss로 얻은 정보의 내용에 따라 불법인가 아닌가를 따져야지
xss 자체가 불법이다라고 못박는것은
개발자 입장에서 황당한 이야기로 보입니다

패킷 스니퍼들, 불여우 쿠키관련 확장 도구도
모두 악성 프로그램이 돼버리나요?..

..

송효진의 이미지

내 컴퓨터가 아닌 남의 컴퓨터에서 동작하여 가져오는것이기 때문에
문제가 되는것이 맞다고 봅니다.
쿠키의 내용에 아무것도 없이 세션키 하나만 달랑 있어도,
ip 빼앗고 user_agent 흉내내 주면 로그인된 세션을 얻을 수 있지 않나요?
요즘은 ip 빼앗는것은 힘들기 때문에 실현가능성은 거의 없다 하더라도,
'남의 컴퓨터에서 직접 구동하지 않는 이상 알아올 방법이 없는 남의 쿠키'를 가져온거니까요.
불법인 쿠키와 아닌 쿠키를 구분할 필요는 없는거죠.

패킷 스니퍼, 불여우 확장 모두 '자신의 컴퓨터'에서 실행됩니다.
비교 대상이 잘못되었어요.

정보의 내용에 따라 판단한다는것이 더 위험한 발상이라고 생각됩니다.
남의 사물함 따서 열어보고 금괴가 있으면 불법이고, 다 먹은 과자봉지만 있으면 불법이 아닌것은 아니죠.

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

sandy의 이미지

특정 웹페이지를 방문하면
"당신의 ip는 111.222.333.444이군요"
라는 팝업이 뜨는 경우를 생각해보죠.
팝업아니라도 이런 정보를 표시하는 사이트를
많이 볼수 있습니다.
이 경우 방문자 의 동의도 없이
클릭하자마자 그 방문자의 정보를 훔치는데
우리는 왜 이런 xss 행위는 절도로
"보편적으로" 생각 안하는 걸까요?

님의 "남의 사물함 따서 열어보고 금괴가 있으면 불법이고, 다 먹은 과자봉지만 있으면 불법이 아닌것은 아니죠"
논리에 따르면 엄연한 절도 행위인데 말이죠.

법의 적용이 내용(ip 주소나 리퍼러 정보)에 따른 구별을 하지 않는다면
위와같은 ip표시는 절도로 처벌할수밖에 없는겁니다.

일반 형법상의 절도 행위를 인터넷에 그대로 적용하기는 무리가 있습니다.
비교 대상이 잘못된건 님의 비유인 건 분명하죠.

리퍼러 정보를 이용해서 사용자 동의 없이
홈피 방문자가 프록시를 쓰고 있는지 아닌지 체크하는
보안을 하는 개인 서버의 경우 역시 님의 논리에 따르면
절도행위죠

..

송효진의 이미지

자꾸 주제가 빗나가는군요.
제가 주장하는것은 그 사람이 일반적으로 할 수 없는것 알아낼 수 없는것을 했다는 것입니다.
sandy 님의 말씀은 '자신의 서버', '자신의 컴퓨터' 에서 하는것입니다.
아래의 댓글에도 이미 적었지만, 자신의 서버에서 구운 쿠키는 굳이 플래시를 통해서 알아볼 필요가 없습니다.
싸이월드의 미니홈은 자신의 홈페이지는 맞지만,
쿠키제어권까지 갖고, 싸이월드 DB 를 맘대로 조회할 수 있는 권한이 있는것이 아닙니다.

아파트에 집 하나 전세로 들어와 놓고 옆집을 마음대로 드나드는것은 안된다는 것입니다.

예를 들겠습니다.
제 홈페이지 xenosi.de 에서 회원가입을 받아
회원의 이메일 주소를 쿠키에 구웠다고 합시다.
(저는 절대 그럴 일 없겠지만
모 홈페이지는 지적해줘도 수정하지 않을 정도이고,
보안 불감증이 심한 홈페이지들이 많고,
싸이월드도 그중 하나 입니다.)

sandy 님이 회원가입을 하고 로그인을 한 후
심심해서 쿠키를 보니 자신의 이메일주소가 떠억 하니 나왔습니다.

아니 뭐 이런 경우가 있느냐고 제게 따지는것이 올바른것입니다.
조금 더 바란다면 좋은 말로 설득해 주는 것이고,
귀찮으면 제 홈페이지를 이용 안해버리면 되는 것입니다.

그런데 그것을 악용해 보겠다고 게시판 같은곳에 쿠키를 긁어가는 플래시를 넣어버리면,
그건 범죄라는 것입니다.
(sandy 님께서는 절대 그런 시도를 안하시겠지요.)
이메일 수집기로 이미 노출되어 있는 게시판에 적힌 메일을 긁어가는것과는 차원이 다릅니다.

그 범인을 용서하고 말고는 차후 일이고,
범죄가 아닌것은 아니라는거죠.

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

sandy의 이미지

xss란 말의 정의에 대해 님과 저사이에
차이가 있는듯 보입니다.
저는 평범한 "일반적으로" it 쪽에서 불법으로
보지 않는 xss 까지 다 포함해서 이야기하고 있는데 반해서
효진님은 xss = 악의적 xss 로 등치시켜 놓은건 아닙니까?

법원이나 경찰이 자신들이 생소한 인터넷 범죄에 대해
it전문가들에게 자문을 구해올때
xss는 모두 나쁜것, 이래 버리면
좀 곤란한거 아닐까요?

악의적xss는 당연히 범죄이고 처벌되어야죠.
그러나 법은 명확한 규정을 갖고 있어야 한다고 보구요
어떤 xss 행위를 처벌할때 ,분명한 기준없이
지금처럼 경찰,검찰의 재량에 맡겨둬서는 곤란합니다.
xss로 얻은 내용이 처벌의 준거가 되어야 한다는
제 말이 악의적xss도 용서하자는 말로 들리셨다면
곤란하군요

..

송효진의 이미지

XSS 자체는 기술을 표현한것이 맞고,
제가 얘기하는것은 악의적인 사용에 관한 것이 맞습니다.
그 중에서도 '쿠키'를 가져가는것을 사용처에 관계없이
'범죄다'라고 주장하고 있습니다.

쿠키를 안가져가는 (다루지도 않는) XSS 에 대해서는 어느정도 관대한 입장이고,

허가받은 XSS 는 적극 환영합니다. (예: google analytics)

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

keedi의 이미지

말이 거창해서 그렇지 좀 단순화 시키면 이런것 아닌가요?

1. 내 홈페이지에 플래시를 대문에 올렸다.
2. 내 싸이월드 미니홈피에 플래시를 대문에 올렸다.
3. 내 싸이월드 미니홈피에 방문자의 쿠키를 비롯한 정보를 얻을 수 있는 플래시를 대문에 올렸다.
4. 다른사람에게 부탁해 내 싸이월드 미니 홈피에 방문자의 쿠키를 비롯한 정보를 얻을 수 있는 플래시를 대문에 올렸다.
5. 돈을주고 다른사람에게 부탁해 내 싸이월드 미니 홈피에 방문자의 쿠키를 비롯한 정보를 얻을 수 있는 플래시를 대문에 올렸다.

궁금한 것이... 이게 개인정보 침해이면,
자신의 홈페이지에 쿠키를 비롯한 정보를 얻을 수 있는 플래시를
올린 사람들도 다 개인정보 침해로 수사받아야 하는 것인가요?

싸이월드가 약관침해 등의 이유로 수사를 요청한 것은 밥그릇싸움일테니 그럴려니 해도,
개인정보 침해라고 수사하는 것은 좀 이해하기 어렵습니다.

개인정보 침해는 맞을지도 모르지만 이것이 범죄(압수수색을 받을 정도의 범죄)인지는...
정말 글쎄요란 생각이 드네요... 쩝...

---------------------------
Smashing Watermelons~!!
Whatever Nevermind~!!

Keedi Kim

----
use perl;

Keedi Kim

송효진의 이미지

'독립적인' 자신의 홈페이지에서 얻을 수 있는 정보는
자신의 홈페이지에서 구워진 쿠키나 외부링크 타고 온 리퍼러 정도가 있습니다.
게다가 그런 경우는 굳이 플래시로 얻어갈 필요도 없습니다.

이건 '싸이월드 미니홈' 이고,
독립적이지 못하기 때문에 (+ 쿠키에 주요정보를 넣는 싸이월드도 문제지만)
'남의 신상정보' 를 가져갈 수 있으니 예로 드신것과는 차이가 있습니다.

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

UnShit의 이미지

제가 알기로는 방문자 추적이 XSS 를 이용한 방법인 걸로 알고 있습니다.

원리는 flash 스크립로 특정 페이지를 로딩시킵니다. 이 페이지는 방문자 컴퓨터에 팝업창으로 나타나지 않고 내부적으로 로딩이 됩니다.

사이월드에 접속한 다음 특정 페이지로 이동이 되는 것이므로, 사이월드 접속정보가 같이 넘어가게 됩니다.

접속된 페이지가 그것을 분석해서 방문자 정보를 얻어오는 것으로 알고 있습니다.

이 방법은 '쿠키'를 조작하는 것이 아니라, 로그인 상태에서 내부적으로 다른 페이지를 읽어오면(예를 들어 '내 정보확인' 페이지 같은) 여기서 이름을
알아낼수 있습니다.

이것이 가능한 이유는 사이월드 자체내에서 그렇게 할수 있도록 자바스크립트 소스가 짜져 있기 때문입니다.

그리고 사이월드 쿠키에는 사용자 정보가 평문으로 저장되어 있지 않습니다. 올해 초에 수정된것으로 알고 있습니다.

제가 판단할때 XSS 가 맞는것 같습니다만,...

하지만 보통 이런식으로 하면 쿠키정보도 전송이 되고 여기에 비밀번호가 같이 저장되어 있는 경우 비밀번호도 같이 빠져나가버리니
해킹(?)으로 봐야 하지 않을까 싶습니다. 다른 의견 있으신가요?

김정균의 이미지

Quote:

하지만 보통 이런식으로 하면 쿠키정보도 전송이 되고 여기에 비밀번호가 같이 저장되어 있는 경우 비밀번호도 같이 빠져나가버리니 해킹(?)으로 봐야 하지 않을까 싶습니다. 다른 의견 있으신가요?

흠.. 일단 제가 궁금한 것은 정말 암호화 되어 있는 정보를 가져가서 디코딩을 했느냐라는 것이 확증이냐라는 것입니다. 본래 기사라는 것이 알게 모르게 왜곡되는 경우를 하도 많이 본지라 말이죠.

그리고 두번째로, XSS 문제라기 보다는 기사를 잘 읽어보니 문제가 되는 부분은 획득한 정보를 Cyworld가 아닌 다른 곳 (설치한 사람의 서버)에 저장하고 가공하여 판매를 하였다는 점이 문제가 된 것 같군요. 이 부분에 대해서는 동의하지 않은 개인 정보를 가져간 것이 맞기 때문에 XSS로 볼 수 있을 것 같습니다. 만약 이 정보들이 Cyworld 가 수집한 것이 아니더라도 Cyworld 안에 남는 기록이라면 XSS가 성립될 것 같지는 않군요. (물론 효진님이나 UnShit님의 의견처럼 정보를 가지고 갔다면 XSS 공격이라고 보겠지만 가져간 정보를 정확하게 알지를 못하는 상황에서 단정(?)을 짓는 것을 피하고 싶은 것입니다.)

UnShit의 이미지

Quote:
일단 제가 궁금한 것은 정말 암호화 되어 있는 정보를 가져가서 디코딩을 했느냐라는 것이 확증이냐라는 것입니다

암호화된 정보를 디코딩할 필요는 없습니다.
사이월드내에 있는 스크립트 파일을 헤더에 넣고 해당 함수만 호출하면 정보가 나오도록 되어 있습니다.
마치 네이버 OpenAPI 나 GoogleAPI 처럼...
그 정보가 html 로 되어있으니 사용자 이름과 tid 를 알려면 약간의 parsing 이 필요로 하지만 말입니다.

기사에는 정확히 안나와있습니다만, 이미 이런 스크립트들이 인터넷상에 많이 공개가 되어있습니다.

Quote:

만약 이 정보들이 Cyworld 가 수집한 것이 아니더라도 Cyworld 안에 남는 기록이라면 XSS가 성립될 것 같지는 않군요.

제가 앞서 말한 방식이라면, 사이월드 안에 남는 기록을 가져간 꼴이 되는데, XSS 가 아닌게 맞나요?

예전에 학교내에서 이 주제로 세미나를 했었는데 제가 XSS 를 소개하면서 방문자 추적도 XSS 라고 발표를 했으니,
이 부분에 대해서 확실히 토론을 하고 싶네요.

기사를 보니 어느 분이 얘기하신것처럼 방문자 추적기 개발자가 구속된 이유는 XSS 나 개인정보 유출이 아닌, 부당이득을 취하는 행태가 맘에 안들어서
구속시킨것 같은 느낌이 드네요. 단지 그것을 개인정보 유출등으로 포장한 듯한...