아래 내용은 SK가 개인정보취급방침 개정 안내 페이지에서 정확한 정보를 제공하지 않았기에 저의 주관적인 내용이 매우 많이 들어 있음을 밝힙니다.
| 발단 |
MAC 주소와 컴퓨터 이름을 수집하는 것이 잘못인지 아닌지는 판단하기 힘듭니다. 하지만 충분이 의문은 품을 수 있습니다. (적어도 네트웤이나 보안 전공자라면 말이죠)
저는 개인정보취급방침 변경에 대한 공지를 보지도 못했을 뿐더러, 안내 메일조차 빠른 시간에 받지 못했습니다. (26일 업무시간 까지만해도 안내메일 안왔었습니다)
- 개정 안내 페이지는 7월 21일에 올라왔네요. (아래 링크)
- 안내메일은 7월 26일에 왔습니다. 그것도 거의 밤 10시네요...
보낸 시간이 거의 밤 10시 입니다.
제 생각에는 사건이 점점 커지니까 안내메일을 보낸것으로 보입니다. (물론 지극히 개인적 생각입니다.)
- 개정 시행일은 7월 28일 입니다. 무슨 국회에서 콩구워 먹듯이 법안 통과시키는 것도 아니고....
시간으로 따지면, 1일 2시간 후에 저런 개인정보취급방침이 적용된다는 것이네요.
상식적으로 개인정보취급방침 변경시에는 고객에게 충분한 기간의 시간동안 변경 내용에 대해서 알리고, 의사 결정 할 시간을 줘야 한다고 생각합니다.
개인정보에 대해 중요하게 생각하는 요즘 같으면 분명히 이와 관련된 법도 있을듯합니다.
도대체 "불량회원의 부정 이용 방지와 비인가 사용 방지"라는 개정 목적과 MAC 주소 및 컴퓨터 이름 수집에는 어떤 관계가 있는건지 모르겠네요.
이미 IP 등 수집하고 있는 정보를 통해서도 충분히 목적을 달성할 수 있다고 생각합니다.
| 공식적인 해킹 가능성? |
혹시 해킹 기법 중에 Man in the middle attack 이라는 것을 들어 보셨나요?
어려운 내용은 아닙니다.
문장 그대로, 중간에서 망 제공업자가 사용자의 정보나 사용자가 어떤 정보를 가져가는지 모니터링하거나 이를 가로챌 수 있는 것을 말합니다.
SK는 그룹으로 따지면, 망 제공업체이기도 합니다.
MAC(Media Access Control) 주소를 모니터링 하게 되면, 실질 적으로 SK 망을 타는 사용자의 경우, 정확한 위치까지도 찾아낼 수 있게 됩니다.
결국 공식적으로 니네 어디 있는지 다 알어, 머하는지 다알어 라고 이야기 할수 있게 해주는 것이죠.
충분히 악용(?)될 수 있는 부분이죠.
| MAC (Media Access Control) 주소 |
다음(Daum)에서 찾아본 바로는 다음과 같습니다.
"이더넷의 물리적인 주소. 이더넷 카드의 읽기용 기억 장치(ROM)에 기록된 것으로서 주소 크기는 48비트인데, 미국전기전자학회(IEEE)가 전반부 24비트를 벤더에 할당하면, 벤더 측은 후반부 24비트에 대해 세부 할당을 한다. 통신망 운용 상태를 감시하기 위한 모니터 초기 화면에는 각 기계의 이름이 미리 망 관리 인터페이스 카드(NIC:network interface card)에 할당되어 MAC 주소(MACA)로 표시되어 있다. 이것만으로는 기계명을 분간하기 어려우므로 메뉴의 ‘캡처’로 ‘모든 이름의 검색’을 선택, MACA를 기계명으로 변환해 둔다. 일반적으로 48비트 길이이며, 통상 개인용 컴퓨터(PC)나 구내 정보 통신망(LAN) 기기의 LAN 접속구상의 ROM에 기입해 두고, MAC층 데이터 프레임의 앞쪽(머리부)에는 송신처와 주소를 지정해서 사용한다."
쉽게 설명하면, MAC 주소는 각 NIC(랜카드)에 인식되어 있는 고유한 번호입니다.
이론적으로는 동일한 MAC를 가지는 NIC(랜카드)이 세상에 존재하지 않아야 하죠. (물론 요즘은 MAC을 바꿀수도 있습니다)
이러한 MAC 주소와 IP 주소가 있어야 인터넷이라는 것이 가능하게 되는것입니다.
IP 주소는 유동적이며, 사설IP를 포함하기에 누군가를 식별할 만한 정보는 아닐 수 있습니다.
하지만, MAC 주소는 조금 다를 수 있다는게 제 생각입니다.
물론 윈도우 OS의 네트워크 설정 등에서 MAC 주소를 임의로 지정 해 줄 수 있기도 합니다.
하지만, 얼마나 많은 사람이 이 방법을 사용하고 있으며, 또한 쉽게 사용 할 수 있을까 하는 것이죠.
귀찮으니 그냥 써야지 하는 분들도 있을 것입니다. (대부분이 아닐까 생각합니다)
어쩌면 SK Communications는 고객들의 이런 성향을 노린 것인지도 모른다는 생각이 듭니다.
| 생각을 정리하며... |
SK Communications의 이번 개인정보취급방침 변경은 참 석연찮은 부분이 많습니다.
이러한 중요한 개인정보와 관련된 내용 변경에 있어서, 고객(사용자)에게 정확하고 충분한 정보를 전달하지 못했습니다.
그리고, 그 정보전달의 시점도 너무 늦었다는 것입니다.
어떤 의도가 없었기를 바라는 마음입니다.
제가 바라본 그 개정 안내 페이지는 "나 이렇게 할거니깐 싫으면 나가" 라는 느낌이었네요.
이제 곧 Facebook이 들어옵니다.
저는 물론 이미 Cyworld보다 Facebook을 훨씬 많이 사용 중에 있습니다. (Facebook만 사용하죠)
Nateon보다 Google Talk을 훨씬 많이 사용합니다.
어찌보면 잘 되었다는 생각이 들기도 하네요.
SK Communications는 이번 기회에 이런 저런 생각을 좀 많이 해 보길 바라는 마음입니다.
PS : 쓰고 보니 너무 글이 두서가 없네요.
