악플러, 조사하면 다 나와! - 2

CASE 2: 고정IP 전체와 글을 남긴 시간을 통해 접속자를 확인하는 예

인터넷상의 투표나 댓글의 신빙성이 떨어지고 있다. 속칭 ‘알바’ 동원으로 인한 결과의 조작이나 경쟁사에 대한 비방글을 올리다 IP확인으로 망신을 당하는 경우가 심심찮게 일어나고 있다. 같은 IP라는 번호체계를 사용하는데 확인 과정을 통하여 어떤 차이점이 있는지 살펴보도록 하자.

때로는 유동IP보다 고정IP 사용자의 확인이 더 어려운 경우가 많다. 이는 한정된 공인IP개수를 활용하기 위하여 NAT (사설망, 일반가정의 인터넷공유기와 유사)환경을 사용하는 경우가 많으며 이 경우 한 개의 고정IP는 적게는 수대에서 많게는 수백, 수천 대가 될 수 있기 때문이다. 121.130.X.102가 고정IP이고 특정 회사에 소속 되어있다고 가정하고 찾아보도록 하자.

Whois 검색결과 121.130.X.102는 서울특별시 영등포구 여의도동에 위치한 회사로 나타났다. 할당된 IP 대역은 121.130.X.99~121.139.X.200까지로 나타났다.
 

[그림3. 해당 IP 소유사의 위치 정보]

일반적인 회사의 경우 여러 개의 공인/고정IP를 사용하며 용도에 따른 망 분리가 되어 있다. 우선 우리는 이 대역 중 121.130.X.102와 사용시간이라는 정보를 가지고 접근하도록 하자. 하지만 이 케이스도 혼자의 힘으로는 더 나아갈 수 없게 된다. 왜냐하면 해당사에서는 IP의 사용자 정보를 제공할 의무가 없으며 회사 기밀과도 밀접한 관계가 있기 때문에 whois에 나타난 주소 관리자에게 연락해도 제공 받을 수 없다.

해당사의 관리자를 통하여 121.130.X.102를 대표 고정IP로 사용하는 장비를 확인하게 되었다.

[그림4. 방화벽 및 DHCP서버와 라우터]

121.130.X.102 장비는 DHCP 서비스를 운영하며 DHCP 관리 콘솔을 통하여 해당 시간대 IP를 부여 받은 PC들의 리스트 및 MAC 주소를 얻을 수 있었다. 또한 방화벽로그에서 해당 시간대 해당 게시판에 접근한 IP는 안 모씨가 사용하는 내부 IP 172.16.103.56, MAC 주소는 00-80-88-03-D2-6E임을 확인 하였다.

[그림5. 관리자를 통해 제공받은 내부IP 사용자 정보]
내부 IP 172.16.103.55 사용자 정보를 확인 하였다. 또한 해당 IP는 1-264번 단자에 연결되어 있는 자리임을 알아내었다.
 

[그림6. IP 172.16.103.55 PC 및 단자번호]

위 정보들을 토대로 악플을 남긴 것으로 추정되는 안 모씨의 PC를 찾을 수 있었다. 단, 해당 사용자의 PC가 침해되었을 가능성도 있으므로 IP/MAC/단자번호/사용시간이 일치 하여도 동일인물임을 단정해서는 안 된다. 해당 PC를 통한 정확한 접속로그 등의 포렌식 증거에 의하여 동일사용자임을 밝혀야 하는 작업이 추가적으로 남아 있지만 이로서 42억 개를 넘는 IP 속에서 1개의 IP의 실사용 PC를 확인하게 되었다.

게임방과 같은 환경의 경우 다음과 같은 특성이 존재한다.

- 각 PC는 whois검색 결과 범위 내에서 IP를 할당 받으므로 사법기관의 요청을 통해 게임방의 주인을 통하여 사용자 정보를 확인 할 수 있다.
- 각 PC의 사용자는 게임방 자체의 ID표를 갖고 관리프로그램을 통해 기록이 남으므로 확인이 용이하다.
- Client-Server 방식의 게임의 경우 IP는 중앙서버에만 기록되나 개인이 방장을 할 수 있는 게임의 경우 방장은 접속자들의 IP를 볼 수 있는 문제점이 있다
- Client-Server방식의 게임이 많으며 사고 발생시에는 사법기관을 통해 해당게임업체에 필요한 정보를 요청할 수 있다. 특정게임사의 직원 사칭, 인맥을 통한 IP 및 정보 확인이 가능한 것처럼 협박하는 일이 종종 발생하나 이러한 경우 피해자는 해당 게임사에 손해배상을 청구할 수 있으며 해당직원은 사법적 처벌을 받게 된다.
- 게임방의 특성상 IP 및 위치정보가 직접적으로 드러나며 이에 따른 위치 확인 및 직접 찾아갈 수 있는 취약점으로 범죄에 악용되는 경우가 자주 발생한다.

최소한의 접속정보를 남기는 것은 독이 될 수도 있고 약이 될 수도 있다. 하지만 자신이 당당하면 IP와 ID가 댓글에 표기되는 것을 두려워할 필요는 없지 않을까. 익명성이란 가면 뒤에서 타인에게 피해를 입히는 행태가 늘어난다면 역으로 자신의 의견을 올바르게 피력할 수 있는 기회를 위협하게 된다는 것을 알아야 한다. IP추적과 같은 극단적인 방법이 필요 없도록 본인 스스로가 자기가 쓴 글에 책임을 지는 문화가 조성되기를 바란다.

출처 : 안철수연구소 [2009/02/09]