X

메신저 피싱에 무방비로 노출된 네이트온 메신저 다중접속 기능

피싱에 무방비로 노출된 네이트온

지난 4월초에 글을 쓰다가 잠시 잊고 있던 부분으로 미쳐 완성을 시키지 못하고 발행을 못시킨 글에 이어서 써봅니다. 이해 할수 없는 네이트의 행태를 해결하는 방법으로 강제로 해당 페이지를 띄우지 못하도록 하는 프로그램도 있고 간단하게 네이트온 구버전을 설치 하는 방법도 있었습니다. 관련 글들이 많이 올라와서 글을 쓰다 말았았고 잊고 지냈는데 오늘 정말 황당한 일을 겪게되어 바로 이어서 글을 써 봅니다.

미쳐 완성을 시키지 못한 글 더보기

네이트온을 사용하는 사용자 입장이지만 가끔 메신저외에는 사용하는것이 없어 업데이트 버전이 나와도 업데이트를 하지 않고 있었는데
항간에 문제가 되고 있는 어처구니 없는 상황에 대해서 직접 경험을 해보고자 네이트온을 업데이트를 해봤습니다. 사실이였더군요. 네이트온을 실행시키고 로그인을 하면 네이트온 메인이 https://www.nate.com/ 페이지가 열리네요. 네이트온 메신저 한국 사용자만 약 3천만명이 넘는 것으로 알고 있으니 요 몇일 방문자수 UV , 페이지뷰 PV 좀 나왔겠습니다.

네이트온 실행시 강제적으로 네이트 창이 열려서 일시적으로 방문자수 UV , 페이지뷰 PV 올린후 조만간 사용자가 늘었다고 보도자료 내놓고 그래프 몇장 던져 주겠지요. 얼마전 선보인 개인 맞춤형 메인페이지 개편이 실효성이 있었다고 주장을 하겠지요. 네이트 커넥트와 사이월드 팬기능을 선보였으니

선택권이 없이 네이트 메인 페이지를 띄우는것은 불편 수준을 넘어서 네이트온 사용자들을 방문자수 UV , 페이지뷰 PV 올리는 바보로만 생각한 처사라고 봅니다. 3000천만명의 사용자가 있으니 네이트온 사용자들이 모두 최신 버전으로 업그레이드 하면 방문자수 UV , 페이지뷰 PV 폭발적으로 늘어나겠지만 이런 얄팍한 꽁수를 부리고 업데이트 할시간 있으면 다른 좋은 서비스들을 개발하는게
좋다고 봅니다.

네이트온 메신저 기능 제한으로 강제 업데이트

정보와 자료를 빠르게 교환하고 주고 받기 위해서 PC앞에 앉으면 항상 네이트온과 트위터에 접속을 하는 편인데 11일 아침 사무실에서 네이트온을 접속을 하니 이상한 문구의 팝업창이 하나 뜹니다. 무슨 광고가 떴는가 싶어 살펴 보지도 않고 그냥 닫아습니다.


네이트온 파일전송 제한

집에 돌와아 컴퓨터를 켜니 또 팝업 창이 뜹니다. 네이트온의 최신버전을 업데이를 하라 해서 최신 버전이 아니더라도 사용하는데 아무런 문제가 없는걸 알기에 그냥 두고 내일 발행 할 글들을 손 보기 시작했습니다.


네이트온 파일전송 제한

저녁 느즈막히 친구 녀석이 접속을 하여 자기 블로그 스킨을 바꾼다고 합니다. 어떻게 바꾸면 좋을지 의견을 나누다 쓸만한 워드프레스 테마를 발견하여 컨버팅을 하기로 하고 본문과 사이드바 등의 폭과 배치 등에 설명을 해주었는데요. 말로는 힘들어 바로 파이어버그로 수정을 해서 캡쳐를 찍어 보내주려고 했었는데 잘 되던 파일 전송이 안됩니다.

구버전의 네이트온과 부계정을 사용해서인지 원격제어를 사용할 때 저는 다른 유저의 컴퓨터를 원격제어를 할 수가 있지만, 상대방은 저를 원격제어 하지 못하는 일이 있긴 했는데요. 이런 저런 문서와 파일을 많이 주고 받기 때문에 빠르게 파일 전송을 할수있어 거의 매일 사용을 하는데 분명히 어제까지만 해도 파일 전송이 잘되던 네이트온이 갑자기 파일 전송이 안됩니다.

네이트온 메신저 대화창 옆을 보니 처음 보는 형태의 공지 창이 떠있었습니다. 상대방이 네이트온 최신버전을 사용중이라 일부 기능이 호환이 되지 않으니 네이트온 최신 버전으로 업그레이드를 하랍니다. 네이트온 메신저 사이트에 가서 공지를 찾아봤더니 5월 7일자로 공지가 올라온 상태였고 11일 부터 이런 제한이 생긴다는 것이였습니다.

네이트온 메신저 다중 접속 기능 업데이트


네이트온 다중 접속 기능 공지

다중 접속이 가능해진다는 내용의 공지이었는데, 자세히 보니 뭔가 아닌듯 한 느낌이 드는것이였습니다. 예전에는 다른 PC로 로그인을 할경우 기존에 로그인 되어 있던 네이트온은 자동으로 로그아웃이 되었지만 다중 접속 기능은 동시에 여러 대의 PC에 하나의 아이디로 네이트온에 로그인을 할 수가 있다는 기능입니다.

 4. 주요 알림 사항 네이트온 메인 및 대화창의 기능이 변경되어 구버전과 최신 버전간에 일부 기능이 제한되오니 네이트 온
최신버전으로 업그레이드 후 계속해서 서비스를 이용해주시기 바랍니다. (제한 기능 : 파일 전송, 사진함께보기, 화이트보드)

파일 전송이 안되는 이유 네이트 설명 :
안전한 파일전송 및 링크확인 등을 위해 강력한 보안시스템을 도입하여 안전성을 높였습니다.     
* 데이터 암호화     * 악성코드 체크 후 파일받기     * 악성링크 검사하기

4번 공지의 내용으로 몇 가지 기능 제한을 시켜 사용자들에게 억지로 네이트온 메신저 업데이트를 시키고 페이지뷰를 모으려 는 수작인가 하고 기분이 나빴던 것도 있었지만, 다중 접속이 가능해진다는 내용이 뭔가 상당히 위험한 발상 같아서 몇 가지 테스트를 해보았습니다.

저는 일단 다중 접속 기능 자체가 매우 위험 하다고 판단하고 있습니다. 빈번하게 일어나고 있는 메신저 피싱에 대해 자칫 잘못하면 무방비 상태로 노출이 되는 아주 심각한 기능이라고 판단이 됩니다.

피싱에 대책은 있는가?


네이트온 로그인 매니저

컴퓨터 2대에 모두 최신 버전의 네이트온을 설치하고 몇 가지 테스트를 해봤습니다. 우선 한쪽 컴퓨터에 로그인을 한 상태로 같은 아이디로 다른 컴퓨터에서 로그인을 해봤습니다. 이렇게 다중 접속을 했을 경우 이 로그인 매니저라는것이 양쪽 모두의 메신저에 나타나야 하는데 나중에 로그인한 네이트온 메신저에만 나오는 것을 확인했습니다. 만약 로그인 매니저 하단의 체크박스를 해제했을 경우 나중에 로그인한 메신저에서도 해당 로그인 매니저는 나타나질 않습니다.

만약 네이트온 메신저 계정 정보가 유실되어 피싱을 하는 범죄자들이 먼저 메신저에 접속을 한 상태라면 나중에 로그인한 실 계정 소유자가 다중 접속을 했다는 것을 인지하고 다른 컴퓨터에 로그인된 메신저 사용자를 로그아웃 시켜버릴 수 있지만 그 반대의 경우라면 전혀 반대의 상황에 놓이게 됩니다. 피싱을 하려는 범죄자들이 자신의 존재를 일부러 노출 시킬 이유는 없을터이니 실제 계정 소유자를 로그아웃 시키는 경우는 아마도 없겠지요.


네이트온 다중접속 알림

이미 먼저 로그인이 되어 있는 메신저에서는 우측 하단의 윈도우 트레이 위에 자그만한 다중접속 알림 창이 뜨긴 하는데, 약 5초정도 팝업 상태를 유지하다 바로 사라집니다. 만약 동일계정에서 실사용자보다 뒤늦게 다중 접속한 사람이 메신저 피싱을 위해 접속한 범죄자라면 이 다중접속 알림 창이 떠있는 5초 이내에 인지를 하지 못한다면 메신저 피싱 범죄에 무방비로 노출이 됩니다.

이 부분이 상당히 위험한 부분으로 반드시 수정이 되어야 할 것으로 판단 됩니다. 어느 누가 어디에서 다중 접속을 하는지 명확하게 인지 할 수 있도록 다중 접속 시 로그인 매니저 창을 모든 로그인 사용자에게 확실하게 인지 시킬 수 있는 방법으로 알림 창을 띄워 주어야 합니다.

실제 사례로 짚어본 네이트온 메신저의 위험성

트위터에서 얼마전에 제가 트윗을 한적이 있는데 친한 친구 녀석과 어느날 점심쯤 전화통화를 하고 불과 한두 시간 후에 이녀석이 메신저로 급전이 필요하게 되었다고 300만원만 입금해달라는 하는 일이 있었습니다. 통화한지 얼마 되지도 않았고 전화 통화 시 별다른 얘기도 없던 터이고 오래된 친구라 서로 너무나 잘 알기에 서로의 이름을 부르지 않는데, 메신저에서 이름을 부르며 친근하게 대하며 입금을 요구 하는것이였습다. 바로 눈치 채고 제가 알고 있는 욕이란 욕은 마구 퍼붙고 친구 한테 전화를 해서 메신저 털려서 피싱들어오니 계정 정보를 받아 제가 대신 메신저에 접속을 해서 비밀번호를 바꾼 일이 있었습니다.

이럴 경우 제가 로그인을 했기때문에 메신저 피싱을 하려던 범죄자는 바로 로그아웃 상태가 되고 그사이 비밀 번호를 바꾸면 범죄자는 해당 계정에 로그인을 못하게 되는데 현재 네이트온의 다중접속 기능은 이런 메신저 피싱 범죄자가 실 계정 소유자 보다 나중에 접속했을경우 다중 접속 알림 창이 떠있는 5초 이내에 인지 하지 못하면 쥐도 새도 모르게 피싱 범죄를 저지를 수도 있고 조용히 비밀번호를 바꾸고 메신저 재 접속을 한후 실 계정 소유자를 로그아웃 시켜버리면 실 계정 소유자가 로그인을 못하는 경우도 생겨 버리게 됩니다. 앞서 말했듯이 범죄자가 자신의 피싱 시도를 일부러 알릴 이유는 없을터이니 실제 계정 사용자를 로그아웃 시켜버리는 일은 아마도 없겠지요.

실사용자가 미리 네이트온 메신저에 접속이 되어 있는 상태로 다른 사람이 다른곳에서 같은 계정으로 로그인을 하게되면 로그인 매니저는 나중에 접속한 사람에게만 나타나는 문제는 빠른 시간안에 업데이트 되어야 할것이고 이를 악용한 메신저 피싱 범죄에 대한 보안을 완벽하게 해야 할듯 싶습니다. 이미 로그인해있는 사용자는 단 5초의 시간밖에는 없습니다.


네이트온 메신저 피싱 테스트

제가 사용중인 2개의 계정에 부계정을 등록하고 2대의 컴퓨터로 테스트를 해봤습니다. 동일한 계정(A-2)중 나중에 접속한 메신저로 다른 계정(B-1)에게 대화를 시도했는데 먼저 접속되어 있던 계정(A-1)에는 일반적은 대화창만 뜨고 나중에 접속한 계정(A-2)에는 대화창이 2개가 뜨는군요. 먼저 접속된 계정(A-1)에 대화 창이 두개가 떠서 대화 내용을 볼수 있으면 그나마 좀 방지가 될텐데 안되는군요.

보다 정확한 테스트를 위해서는 컴퓨터가 3대 계정이 3개 이상이 있어야 가능한데, 컴퓨터는 되는데 제가 계정이 2개뿐이 없고 늦은 시간이라 같이 테스트를 진행할 사람도 없어 해보지를 못했습니다. 시간이 되는대로 바로 테스트 하고 결과 첨부해 놓겠습니다.

— 추가 —
지인과 함께 테스트를 해보았는데 다중 접속한 사용자가 동시에 한명을 상대로 대화를 시도하지 않는한 대화창은 한개만 열리는 것으로 확인이 되었습니다.  실 계정 사용자가 네이트온에 접속한 상태에서 다른 사람이 해당 계정으로 로그인을 하고 친구등록이 된 사용자에게 대화를 걸어도 먼저 접속해 있는 실 계정 사용자는 이를 알수 있는 방법이 업습니다. 위에서 말씀 드렸던 다중접속 알림 팝업창이 전부 입니다. 무려 5초씩이나 알려주지요.

네이트온 메신저 소탐대실 하는가?


네이트온 네이트 메인


네이트온 최신 버전 정보


자 그러면 네이트의 진짜 의도는 무엇일까요? 4월초인가 새버전을 업그레이드를 하면서 말이 많았던 네이트 메인보기, 핫클립보기 여전히 새로운 버전에서도 사용자들에게는 선택권이 없습니다. 이쯤 되면 선택권을 줄 마음이 없다는 것이겠지요.

네이트온 메신저의 일부 기능제한은 안전한 파일전송을 위한 보안시스템을 도입해서 버전 충돌로 안된다는 설명이 있습니다. 일부러 막아 사용자들의 업데이트를 강제로 유도했는지 그 진실은 알수 없으나 충분히 심증은 가는 부분이고 여전히 물증은 없지만 트래픽 모으는 재미에 푹 빠져 눈앞에 이익을 쫒으려다 기업의 신뢰에 치명적인 오점을 남길수도 있는 매우 큰 실수를 하는게 아닌가 싶습니다.

멀티 접속은 분명히 좋은 장점들이 많은데 다중 접속은 대체 무엇을 위해 내놓은 기능인지 도저히 감을 못잡겠네요. 원격제어를 할수 있는것 같지도 않고 단지 얼마전에 선보인 애플 아이폰용 네이트온 어플 때문에 이런 기능을 추가한것이라면 너무 성급했다고 볼수 밖에는 없어 보입니다. 지속적으로 일어나고 있는 메신저 피싱에 대해서 충분히 테스트를 진행하고 살펴봤어야 할터인데 오히려 방조를 하는 모양새이니 큰 문제가 아닌가 싶습니다.  어찌되었던 당분간 네이트온 피싱 주의들 하시길 바랍니다.

Leave a Comment