1. 곰플레이어 개인정보 유출?
나름대로 한국에서 가장 널리 쓰이는 동영상 플레이어인 그레텍의 곰플레이어가 사실은 개인정보를 수집해서, 사람들이 언제 불법 동영상, 야동 보는지 다 알고 그 데이터로 장사까지 해먹는다는 엄청난 뉴스가 최근 화제다.
2. 간단한 줄거리 요약.
1) 발단은 리서치 회사 메트릭스가 사전 섭외한 12000여명 가량의 패널을 대상으로 조사해서 배포한 자료
==> 어떤 동영상 플레이어를 많이 쓰고 그걸 어떻게 사용하는가?
2) 그 보도자료를 받은 언론들은 기사화.
기사 내용은 '곰플레이어 사용자들의 70%는 야동을 본다.'라는 내용. 꽤 화제가 되었다.
문제는 대부분의 언론들이 '사전 섭외한 패널들은 대상으로 한 조사' 라는 것을 기사 내용에서 빠져 버림.
3) 네티즌 경악.
==> '곰플레이어가 개인의 정보를 무단으로 가져가 DB화 시켜 팔아먹는다' 라는 오해가 일어남
(내가 야동이나 불법 동영상을 보는 것으로 협박을 한다던지 등등)
4) 그레텍 (곰플레이어 제작사) 해명
메트릭스의 자체 조사이고 그레텍은 관여한 적 없다. 우리도 피해자다.
==> 메트릭스와 언론의 부주의로 일어난 해프닝으로 끝나는 듯 싶었다.
3. 그러나.. 이제 진짜 이야기의 시작?
1) 의문 - 메트릭스는 어떻게 12000여명의 사용자 정보를 긁어모았는가?
==> 메트릭스는 파일 이름을 가지고 유추했다고 함.
즉, 백도어 프로그램으로 재생 중인 동영상의 파일 이름을 정보로 보내줬다는 말.
-> 그레텍의 주장을 받아들이면 메트릭스는 자체적인 방법으로 수집했다는 말
2) 그런데.. 또 의문 - 어째서 '곰플레이어의 재생 정보'만 있는 것인가?
==> 유추하자면 메트릭스가 쓴 백도어 프로그램은 모든 플레이어의 정보를 보내주는 백도어가 아니라 곰플레이어 전용의 백도어라는 소리
3) 결론
- 처음부터 곰플레이어엔 구조적으로 쉽게 억세스 할 수 있는 백도어가 있다!
<== 그 전부터 2005년부터 아이팝 런처(백도어)에 대한 불만 제기됐었다.
4. 도대체 어디로 그 정보가 새가는 것인가?
1) 사용 약관
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
개별 플레이어 사용의 정보 송수신에 대해서는 현재 2.1버전 설치 약관에 보면 이 정도만 명시되어 있다. 참고로 이것은 공식홈피에 있는 ‘곰TV 서비스 이용약관’과는 전혀 다른(!), 곰플레이어 설치/사용 약관이다.
3. 자동 통신 기능 / 본 소프트웨어는 서비스를 위한 정상적 작동의 일부로서 인터넷을 통해 통신을 실행하는 소프트웨어로 구성되어 있습니다. 통신 기능은 인터넷에서 소프트웨어 업데이트 서버와 자동으로 통신함으로써 버그 해결, 프로그램 패치 등을 위한 새로운 버전 존재 여부를 확인합니다. (…하략)
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
==> 약관에 따르면 사용자가 동의하는 자동 통신은 바로 곰플레이어 버전 정보 뿐이다.
-> 나머지 개인정보를 통신하면 (최소한) 약정위반.
2) 실험 - 정보는 어떻게 새가는 것인가?
한번 곰플레이어를 켜봤다. 물론 패킷 추적을 켜놓고. 버전 업데이트 확인까지 다 눌러준 후, 완전히 패킷 송신 정지 상태. 데이터 업/다운로드 없는 상태. 그 상태에서 이제 동영상 열어준다.
업로드 방향으로 5패킷 올라갔다.
(패킷 추적으로 자신의 정보를 그레텍으로 업로드하는 것을 잡아내었다.)
3) 구멍은 바로 이것! 자막 검색!
구석에 창 하나 뜬다.
“이 동영상의 자막이 있습니다. 다운받으시겠습니까?”.
그럼. 어떤 동영상인지 서버로 정보를 보내고, 서버에서 검색까지 해서 자막유무 확인하고 알려주기까지 한다.
완벽한 개인정보 침해.
(자막 검색에 대한 스샷, 이외에도 파일에 저장된 코덱 정보를 통해 현재 컴퓨터에서 지원하지 못하는 코덱을 자동으로 찾아준다. 분명 편리한 기능이지만, 독이 될 수도 있는 기능이다.)
4) 반전?! 파일 이름이 아니다. 빼가는 건 동영상의 메타 정보
- 여기서 또 엄청난(…) 사실 하나 추가
위의 메트릭스의 주장 - 조사한 자료는 파일 이름을 유추하여 조사했다.
- 하지만 검색결과는, 파일이름이 완전히 달라도 같은 동영상에 대한 자막이라고 마법같이 판단해줘서 목록을 뽑아준다.
==> 결론은 간단하다. 단순히 파일 이름이 아니라 동영상의 메타정보를 통째로 그레텍 서버로 송신한다는 것.
아무리 일본 불법 포르노를 보면서 파일 이름만 뽀뽀뽀 700회 특집.avi 로 바꿔봤자 다 들킨다는 거다. 자기네들 DB에 등록되어 있기만 하다면 그레텍은 알아요. 지금 몰라도 나중에라도 알 수 있어요.
문제는, 약관의 내용없이 정보를 무단으로 수집한다는 것이다.
(파일 이름은 Nodame 10(~).avi. 하지만 자막 검색에는 노다메 칸타빌레 제 10화라고 나온다.)
5. 그들은 변명거리로 옵션 설정?
자막 검색 옵션은 있다. 그 옵션을 통해 검색 기능을 온/오프 시킬 수 있다.
그러나 디폴트로 켜져 있는 상태. 옵션을 통해 개인정보의 동의 변경 가능을 변명거리로 삼으려 하겠지만 MS의 반독점법 소송 당시를 생각하면 가치가 없다.
게다가 써져있기로는, 곰TV에 가입/인증하지 않으면 제대로 안되는 기능이라고 써져있다. 근데 나는 인증 안했는데도 잘만 내 동영상 정보 긁어가고,
불행중 다행으로, 이 옵션을 끄면 그나마 업로드 패킷이 증가하지 않더라. 뭐 또 어떤 뭐가 숨겨져있을지 이제는 도저히 신뢰가 안가지만, 우선은 보이는 수치를 믿자.
– Copyleft 2007 by capcold. 이동/수정/영리 자유 —
출처 : capcold.net
-----------------------
Ps.
꽤 양이 많은 글이었지만, 수정을 통해 그 양을 조금 줄였다.
동영상 메타 정보를 빼간다거나, 그것을 DB화 시키는 것은 공식적으로 확인이 되지 않은 의견이지만,
확실한 문제는 사용자의 약관 동의 없이 무단으로 정보를 사용한다는 것에 있다.
