/SK브로드밴드의공유기사용검사

처음에는 클리앙이 해킹당한 줄 알았습니다. 집에서 클리앙에 접속하는데, 익스플로러에서는 링크를 클릭하거나 해서 새로운 웹페이지를 들어갈 때 "틱"하는 효과음이 나잖아요? 그 효과음이 갑자기 연속으로 틱틱틱틱틱.. 이렇게 들리는 겁니다.

그러면서 웹마 작업표시줄에 클리앙이 아닌, 기다란 주소가 순간 떴다가 사라지더군요.

그래서 다시 클리앙 접속을 시도하면서 틱틱 거리는 와중에 ESC를 눌러서 중단시킨후 그 시점에서 "소스 보기"를 해 봤습니다.

다음과 같이 뜨더군요. (여기 옮기느라고 html태그의 부등호 일부는 제가 뺐습니다)

<html>
<frameset rows='0,*' border='0'>
<frame src='about:blank' name='dolla' >
<frame src='http://210.117.121.242:8080/xs_btn/shvn.asp?n=0&u=501301900242&i=0&y=0&m=0&k=0&t=Y&b=1303&x=clien.career.co.kr&s=3600' >
</frameset>
</html>

위 소스를 보면, 브라우저 화면을 두 프레임으로 나눈 후에 하나는 빈 페이지를 보이고 다른 한 프레임에서 이상한 주소로 들어가는데요, 여기 언급된

http://210.117.121.242:8080/xs_btn/shvn.asp?n=0&u=501301900242&i=0&y=0&m=0&k=0&t=Y&b=1303&x=clien.career.co.kr&s=3600

위 주소를 클릭하면 다시 아래와 같은 응답이 나옵니다. (역시 부등호는 대괄호로 바꿨습니다)

<script>top.location.href='http://clien.career.co.kr';</script>

이게 나옵니다. 이건 다시 브라우저의 화면을 클리앙으로 돌려놓는 거죠. 즉 서버 쪽에서 뭔가를 한 후 제 브라우저에는 애초에 가려고 했던 클리앙으로 보내는 거죠.

잠깐 검색해보니 딱히 저게 악성코드나 바이러스의 결과인 것 같지는 않고.. 이런 글들이 있더군요.

• [KT 드디어 움직이는구나?]
• [KT… 무슨 짓을 하고 있는거지?]
• [사악한 KT는 어떻게 공유기를 검출하는가]

요컨데, 공유기를 쓰는지 탐지하기 위해서 웹브라우저로 웹사이트를 들어갈때 특정한 곳을 경유해서 가도록 하고 있다는게죠.

저 블로그 글들은 KT의 경우인데, 저는 SK브로드밴드 사용중입니다. 그리고 210.117.121.242 이 주소를 whois 검색하면 SK브로드밴드 소유로 나오는군요. (웃긴건 shvn.asp 등의 파일명조차 동일하다는... SK에서 KT에 가서 배워왔나;;; 아니면 어떤 하청업체가 두 곳에 다 납품을 했다는 얘기겠군요)

요약하면,

사용자의 공유기 사용여부를 알기 위해서, 웹서핑시 사용자가 입력한 주소로 바로 접속이 되지 않고 ISP 업체의 서버를 경유하면서, 그 와중에 뭔가 이쪽의 정보를 수집하고 있다는 건데 (아마 브라우저마다 고유의 값을 쿠키로 할당한 후에 그 값을 수집하든가, 내부IP주소를 수집하던가 등등이겠죠? 그래서 자기네 망에 물려있는 하나의 IP에서 다수의 값이 수집되면 공유기를 사용하고 있다는 식으로)

실제로 공유기 사용을 제한하는 게 옳으냐 아니냐는 해묵은 논란은 일단 젖혀 두고, 사용자의 패킷을 이런 식으로 자기네 맘대로 다른 곳으로 경유시키고 변조하는 게 옳은 건가요? 찾아본 글들에서는 불법이 아니냐고 적었는데 저는 잘 모르겠군요.

저는 처음에 악성코드 탐지된 줄 알고 알약으로 시스템 스캔하고 그래도 잡히는 게 없자 알약 끄고 다른 프로그램 설치해서 다시 업데이트하고 스캔하고.. 이렇게 소모된 시간도 보상받고 싶을 지경이군요.

아뭏든 기분이 상당히 안 좋은데, 106에 전화를 했으나 상담원은 내가 무슨 말을 하는지 알아듣지를 못하는 것 같고, "공유기 검사를 담당하는 부서가 있을테니 그 사람들보고 내게 전화를 하게 해라"라고 하고 끊었는데 과연 전화가 올런지도 의문입니다.

추가로,

• 좀 더 글들 읽어보니 익스플로러를 쓸 때만인가 봅니다. firefox등을 쓸 때는 괜찮은가보네요. 그러면 이미 내 컴퓨터에 ActiveX가 깔려서 그런 짓을 하고 있는지도 모르겠는데, 무슨 재주로 그놈을 찾나...
• URL의 하위주소 ( /zboard/view... 등 )까지 입력한 상태에서는 동작안하나봅니다.
• 랜덤하게 특정 IP 대역만 조사하는 중이라면 다른 분들은 괜찮을지도 모르겠군요

상담원 통화 이후 기술팀장님이라는 분이 전화를 주셔서 얘기를 좀 하고, 알아보고 전화주신다 하여 기다려다가 다시 두번째 통화를 했습니다. 결론적으로 (이탤릭체는 기술팀장님 말씀이고 그 아래 적은 건 제 감상)

• 자기네가 공유기 현황 파악을 위해서 시행하는게 맞다
  • 이 걸 처음부터 사용자들에게 공지를 하거나 하면 좋을텐데, 저는 제 컴퓨터에 제대로 바이러스나 스파이웨어가 깔린 줄 알고 백신 프로그램을 바꿔가면서 검사하느라 삽질했네요. 기술팀장님도 첫 통화에서는 금시초문이라고 하신 걸로 봐서 저걸 수행하는 곳과 다른 부서 사이에 의사소통이 잘 안 이뤄지는 듯
• 사용자의 다른 정보를 수집하거나 하는 것은 결코 아니다
  • 뭐 그렇게 말씀하시는 게 당연하겠습니다만... 그리고 실제로도 그럴 거라 믿긴 합니다만...
• 가정에서 한두대의 PC를 쓰는 것을 제제할 의사는 없다, 다만 사무실 등에서 십수대씩 PC를 공유기를 사용해 쓰는 고객들 때문에 다른 고객들이 피해를 보고 있다는 걸 이해해 달라
  • 이 얘기가 몇 번 계속 둘이서 반복되었는데 말이죠... 저는 공유기를 제한하든 말든 그건 나중 문제라는 거고, 애초에 HTTP 프로토콜에 의해 오가는 데이타 패킷이 이런식으로 경로가 바뀌어 다른 곳을 거쳐가게 하는 것이 옳으냐 아니냐가 관심삽니다. 저는 공유기 쓰려면 돈 더 내라는 것보다 오히려 이게 훨씬 더 불쾌해야 맞지 않나 싶거든요. (너무 예민한건가...) 뭐 암튼 더이상 챗바퀴 돌아도 의미가 없다 싶고, 기술팀장님이 뭔 잘못이냐 싶어서 통화를 더 하지는 않고 끊었습니다.

Comments & Trackbacks

얼씨구, 전화 및 홈페이지를 통한 항의를 12:30~12:50 사이에 했고, 지금 갑자기 그 증상이 사라졌다. 과연 항의한 덕일까 아니면 특정 시간대에만 그러고 있었던 걸까. 그러고보니 어제도 오전에는 그러다가 저녁에는 괜찮아 졌던 것 같기도 하고... 내일 오전에 또 살펴봐야겠음.

어라, 지금 보니까 증상이 사라진 게 아니라... 클리앙과 네이버는 괜찮고 KPUG과 다음 접속할 때는 여전히 나타나고...

안녕하세요~ 유입경로 보고 왔습니다
음.. 제가 겪은 것으로는, MAC 어드레스 기반으로 잡아낸다고 안내원이 이야기 했기 때문에
가상PC뿐만 아니라 최악의 경우에는 Linux에서 NIC을 여러개로 가상으로 나누어 쓰는것 조차도 별개의 MAC으로 잡혀서 돈을 물게될 가능성도 있다고 생각이 됩니다.

안녕하세요 구차니님 :-)

저는 일단 공유기 허용 여부는 둘째치고, 이렇게 뜬금없이 남의 브라우저의 요청 패킷을 이런 식으로 다루어도 되는지 매우 의아한데... 현재 SK 기술팀장이라는 분과 통화를 했는데 이 증상 자체를 인지하지 못했고 처음 듣는다고 하시는군요. 차후 진행내용도 계속 글 남기겠습니다. KT는 설마 현재까지도 저렇게 패킷을 리다이렉션하고 있는가요?

-- Raymundo 2009-7-1 2:04 pm

밤에 집에 가보면 안 그러다가 어느 순간 보면 또 이러고 있는데... 보아하니 아침 9시부터 이 증상이 나타나는 걸로 봐서 업무 시간에만 수집하는 듯.

이름:  

Homepage:

내용:
 

---

주인장분류