악플러, 조사하면 다 나와! - 1

악성댓글이 인한 여러 가지 사건으로 인해 사회적, 정치적 이슈로 대두되었다. 특히, 익명성 보장과 자기가 쓴 글에 대한 책임감 사이에서 갑론을박 논란거리가 되고 있다. 익명성을 존중하자니 너무나 무책임한 글들이 마구잡이로 올라와 눈살을 찌푸리게 하고 실명인증이나 사이버모욕죄를 적용하자니 자유로운 의사 표현을 저해하는 요인으로 작용하게 될 우려가 있는 것이다. 사실, 성숙한 인터넷 문화를 만들기 위해서는 개개인의 자정 능력이 가장 필요하지만 그 전까지는 자기가 올린 글에 대한 책임감의 표현으로 개인 정보를 일정 부분 남기는 것이 건전한 인터넷 문화를 만들어주는 울타리가 아닌가 한다.

여러 사이트들에 글을 남길 때 자신의 IP가 남겨지는 것에 대하여 걱정하는 분들이 많이 있다. 댓글에 남겨진 접속자의 최소정보를 통하여 글쓴이를 어느 정도까지 확인 가능한 것인가? 이번 글에서는 실질적인 예를 통하여 어떤 방식으로 정보를 확인할 수 있는지 살펴본다. 이로써, 작성자 정보 확인 방법에 대한 인터넷상의 잘못된 정보들로 인하여 발생하는 오해와 이로 인해 발생하는 협박 등이 과장된 것임을 확인하고자 한다. 또한 이를 통해 건전한 댓글을 위축시키는 일을 줄여보고자 한다.

아울러 논란이 많은 IP의 실사용자 정보의 확인은 사법기관을 통한 협조에 의해서만 가능하며 개인 및 특정업체를 통한 유출은 불법이며 처벌을 받게 됨을 먼저 밝혀둔다. (KR/CERT와 같은 수사기관만 요청 및 열람 가능)

* 본 글에서는 여러 가지 IP정보 우회 방법(proxy, 침해된 장비를 경유하는 방법 등)을 통한 조작케이스는 제외한다.

먼저, 악성댓글 이슈가 종종 발생하는 게시판에 남겨지는 작성자 정보의 특성을 예로 들어 확인해 보도록 하자. 일반적으로 게시판이나 사용자의 참여가 가능한 인터넷상의 공간에서는 다음과 같은 최소한의 작성자 확인을 위한 힌트를 남겨준다.

1. 로그인한 사용자의 경우 닉네임을 남겨준다.
-닉네임 = 해당 서비스사에 대한 협조요청 또는 카페관리자를 통하여 타당한 경우 가입 당시의 등록정보를 요청 해볼 수 있다.
단, 관리자는 개인정보 제공에 대한 책임을 져야 할 수 있으며 개인정보보호 의무를 지켜야 한다.

-닉네임과 IP (전체 또는 일부)와 시간 = 침해사고, 특정인에 대한 명예훼손 사고 발생시 중요한 컴퓨터 포렌식 자료로 사용이 가능하다. IP와 시간은 해당 사용자의 접속경로/방식을 확인할 수 있는 정보를 제공한다. 또한 최근에는 whois검색결과를 DB화 하여 회사/기관명을 입력하면 사용IP대역을 검색할 수 있는 서비스도 나타나 IP를 모르더라도 원하는 곳의 공인IP 대역을 알아 낼 수도 있게 되었다.

2. 로그인하지 않은 사용자의 경우 전체 또는 제한적인 IP 정보 및 시간을 남겨준다.
또한 로그인하지 않은 상태에서 남겨지는 닉네임의 경우 임의로 작성이 가능하므로 실제사용자의 이름과 일치하지 않을 경우가 많다.
예) IP: 121.130.9.102 또는 121.130.*.102와 같이 전체 또는 부분적 정보표기
    DATE: 글을 남긴 서비스서버의 시간으로 표기

위에서 확인한 바와 같이 로그인을 했을 경우에는 필요 시 관리자에 적법한 절차를 거쳐 개인정보를 요구할 수 있다.

로그인하지 않은 사용자의 경우 사용자의 확인은 어떻게 할 수 있을까? 로그인 하지 않은 사용자의 경우 확인은 매우 어려운 것이 사실이다. 하지만 주어진 최소한의 정보를 두 가지 케이스로 분류하여 알아보도록 하자.

CASE 1:  유동IP 전체와 글을 남긴 시간이 존재하는 경우
CASE 2:  고정IP 전체와 글을 남긴 시간이 존재하는 경우



CASE 1:  유동IP 전체와 글을 남긴 시간을 통해 접속자를 확인하는 예

예를 들어, IP 121.130.X.102 사용자가 2009년 1월 28일 22시 27분에 로그인하지 않고 글을 남겼다고 가정해 보자. 만약 해당 글을 발견한 시점과 얼마 차이가 나지 않는다면 아직 해당PC가 켜져 있을 가능성이 높다.
다음의 명령을 통하여 정보를 확인해 보도록 하자.
 

[그림1. Ping 명령을 통하여 해당 PC가 확인 가능한지 확인]

Ping 명령으로 해당 사용자의 PC가 켜져 있음을 확인 하였다.
(켜져 있고 ping이 차단되어 있지 않은 경우 위와 같은 화면이 나타난다. Ping이 차단되거나 꺼져있는 경우 ‘Request timed out.’이 표기된다.)
 

[그림2. Tracert 명령을 통하여 해당 PC의 네트워크상의 접속 경로를 확인]

Trace 명령을 통하여 해당 사용자 PC의 다음과 같은 정보를 얻었다.
  -댓글을 남긴 PC이름은 SHEAD-AIR다. (단 Netbios Name이 지정된 경우만 나옴)
  -댓글을 남긴 PC는 본인의 PC와 Trace의 순서의 역순으로 연결될 수 있다.
  -댓글을 남긴 PC의 접속경로 및 흔적은 위 리스트의 장비들을 통해 추가 확인할 수 있다.

Trace 명령에서 나온 IP들의 정보를 whois를 통해 정리해 보면 경로는 다음과 같이 정리된다.
 

[표1. 해당 IP에 대한 trace 결과와 소유자]

Whois의 검색결과 11번 220.117.X.226은 KORNET에서 소유하며 12번 121.130.X.102는 121.130.X.0-121.130.X.255까지 서울특별시 광진구 화양동에 위치한 KT 강북본부에서 소유 및 유동IP를 통한 접속자임을 확인 할 수 있다. 하지만, 여기까지가 사용자 확인의 한계가 된다. 일반인들은 KT 강북본부에 2009년 1월 28일 22시 27분에 121.130.X.102 IP를 사용한 고객의 정보를 요청할 수 없기 때문이다. 단, 심각한 피해를 끼친 경우로 법적인 절차를 거쳐야 할 사건인 경우 여기서부터 사법기관의 협조가 필요하며 협조를 득한 경우 해당 ISP업체의 회선장비에 존재하는 MAC address table과 사용자의 MAC address과 일치하는지 확인하여 동일 사용자임을 확인하게 된다.

출처 : 안철수연구소 [2009/02/09]