인터넷 서핑을 하던 어느날,

뜬금없이 추가단말 서비스 가입을 유도하는

경고메시지가 송출된 경험이 있으십니까?

[바로 이 경고메시지입니다, 해맑은 청년의 미소가 얄미워 보일 지경이네요]

위 이미지는 KT를 예시로 했지만 -용어만 다를뿐- 모든 인터넷 통신사가 동일한 개념의 경고메시지를 송출하고 있습니다.

(과거에는 인증수 제한이라 불리웠고, SK는 IP공유서비스라는 이름을 사용합니다)

한마디로 "컴퓨터 여러 대로 인터넷 사용하려면 돈내고 쓰라"는 개념이죠.^^;;

실제로 국내 모든 유선통신 이용약관에는 "가정용 인터넷은 가입 회선당 1~2대 단말기만 연결 가능하다"는 조항이 존재합니다.

만약 경고메시지 목격 후에도 -> 비용 지불 없이 여러 대 컴퓨터를 계속 이용하면 -> 약정 대수를 초과한 컴퓨터들의 인터넷 연결이 아예 두절됩니다.

1. 독소조항 아닌가?

추가단말 서비스는 오랜 세월동안 소비자들의 비난 대상이었고 언론에도 수차례 보도되었습니다.

한가정내 다양한 인터넷 접속 단말기(컴퓨터, 노트북, 태블릿, 스마트폰 등)가 즐비하는 오늘날 실정과는 괴리가 큰 정책으로 해석될 수 있을 뿐더러,

설령 여러 대 컴퓨터가 인터넷을 쓴다 해서 약정된 통신 대역폭을 침해하는 건 아니거든요?

쉽게 말해 짜장면 1그릇 시켰는데,

여러 명이 나눠먹으면 할증요금 받겠다는 셈이니.. 원성 살 만도 합니다.^^

[1인 가정이 증가하는 오늘날이지만, 여전히 댁내 컴퓨터/노트북을 여러 대 보유한 경우가 많습니다]

하지만 법리적으로는 통신사에게 시정을 요구하기 어렵습니다.

애초 계약 당시의 약관에 해당 조항이 명시되어 있으며, 상담원(영업 담당자)에 의해 사전고지 되는 것이 일반적이기 때문입니다.

2. 단말기의 기준이 무엇인가?

다행히 모든 인터넷 접속 단말기를 견제하는 건 아닙니다.

통신사마다 미묘한 차이가 있습니다만, 공통적으로 스마트폰과 태블릿은 열외 대상이라 판단하셔도 무방합니다.

일각에서는 무선(와이파이)를 통한 접속은 모두 열외대상으로 해석하지만 이는 사실과 다릅니다.

무선 접속이라 해도 윈도우 운영체제 기반의 노트북과 태블릿은 추가단말에 해당하거든요 ㅠ

즉, 통신사들이 생각하는 요금각출(?) 대상은 "업무/생산성 용도의 퍼스널 컴퓨터"로 한정되어 있습니다.

[통신사들은 생산성 도구로 해석되는 단말기에만 관심 가집니다]

3. 내 단말기를 어떤 방식으로 추적하는가?

통신사가 사용자 단말기 접속을 제한하기 위해서는? 

3가지 행위가 반드시 필요합니다.

- 통신사의 개입 (감청)

- 각각의 단말기에 대한 고유 식별자 확보 (UID 추출)

- UID별 접속 이력을 특정 서버에 저장 (로그 생성)

가) 통신사 개입 : 감청

내가 인터넷에 접속하는 각각의 단말기를 추적하기 위해서는, 반드시 내 통신(클라이언트 ↔ 서버) 과정에 제 3자인 통신사가 개입해야 합니다.

[나와 상대의 통신을 제 3자가 엿듣는(?) 감청행위가 수반되어야, 추가단말 서비스 매커니즘이 가능합니다]

이런 연유로 통신사들의 감청 행위는 프라이버시 침해 등의 오용/악용 가능성 논란이 있어왔죠.

물론 통신사가 내 통신내역을 모두 감청하는 건 현실적으로 불가능합니다.

통신 패킷의 전수조사는 터무니 없는 자원이 소요되기에 경제성이 떨어지거든요?

빈대 잡으려다 초가삼간 다 태우는 격이지요^^;

하여 오늘날의 감청은 표본조사 방식으로 이뤄집니다.

[정확히는 HTTP통신(웹브라우저에서 사용하는 통신 규약)만,

그 중에서도 80, 8080등의 웹 서버 기본 포트의 일부 패킷만 조사합니다]

나) 단말기 고유식별자 확보 : UID 추출

UID 추출 방법은 통신사마다 차이가 있으며, 날이 갈수록 진화하는 추세입니다.

다행히 HTTP통신에 담긴 패킷 정보만으로 개별 단말기를 식별하는 건 무리입니다^^;

패킷에 담긴 유저 에이전트(UA)는 누구나(?) 쉽게 변조 가능할 뿐더러 운영체제나 브라우저 등 추상적인 정보만 노출되거든요?

그래서 통신사들은 HTTP 패킷을 감청하는 것에 그치지 않고 디바이스 핑거프린팅 기법을 활용합니다.

[핑거프린팅 : 말 그대로 단말기의 지문채취(?)를 하기 위한 수법입니다]

핑거프린팅은 WebRTC의 NAT트래버셜을 응용하여 내 사설아이피를 파악할 수 있고,

브라우저 레벨의 각종정보(윈도우 크기, 폰트, 플러그인, 언어, 시간대 등)는 물론이거니와

HTML5 캔버스와 WebGL 랜더링을 구동해 그래픽 카드 등의 정보까지 추출할 수 있습니다.

게다가 핑거프린팅 기법은 반드시 자바스크립트 언어 구동이 필요하므로, 통신사가 사용자에게 임의의 중간자 공격을 취하기까지 합니다^^;;

[위 그림처럼 통신사가 임의로 통신을 가로채어(MITM) 핑거프린딩용 소스코드를 가동시킨 후,

사용자 목적지(서버)로 리디렉션 처리합니다. 아니.. 이건... 피싱사이트가 쓰는 호스트 변조 수법인데...?]

요약하자면 : 통신사들이 내 단말기를 식별해내기 위해, 성가시고 언짢은 (심지어 불안한) 통신 개입행위를 하고 있는 것이지요.

다) 로그생성 및 차단

핑거프린팅으로 식별된 UID,

그리고 UID별 접속 이력은 통신사 서버에 저장됩니다.

그리고 해당 이력을 바탕으로 사용자의 규정 준수(?) 여부가 상시 감독되고, 기준을 위반한 단말기에게는 경고 메시지 창을 송출하지요.

이게 바로 추가단말 서비스 구조입니다.

[이 번거로운 경고메시지를 띄우는 데 들어가는 노력이 만만치 않다 이겁니다]

4. 경고메시지를 조우하면, 어떻게 해야 하는가?

추가단말 서비스는 규정 외 단말기 연결 1대당 5,500원의 월 요금을 지불해야 하며, 메이저 통신사 모두 동일합니다.

물론 약관대로 이용료를 지불하는 게 원칙상으로는 맞겠지만, 정서적으로 와닿긴 어렵습니다.

"수도꼭지가 많으면, 수도요금을 더 내라"는 것과 다를 바 없거든요?

빠른 시일 내에 방통위, 과기부 등의 관련기관이 개입하여 현실성 있는 약관 개정을 도모했으면 좋겠습니다.

일단 그 전까지는 아래 4가지 방법 중 하나를 택 1하셔야 합니다.

가. 항의한다

추가단말 서비스 경고 메시지에 표기된 전용 고객센터에 전화하시어

"정책은 알겠으나, 나는 내게 주어진 트래픽을 나눠쓰고 있을 뿐이니 풀어달라" 라고 정중히 요청하시는 겁니다.

물론 통신사 입장에서는 수익누수를 막기 위해 요청을 들어주지 않을 수도 있지만, 통화를 하고 있는 상담사도 결국 나와 같은 사람입니다. 이 딱하고 애틋한(?) 상황을 공감해 줄 분도 계실 겁니다.

나. 경고메세지를 무시하고 계속 이용한다

다소 불편한 방법이긴 합니다.

게다가 경고메시지는 말 그대로 "경고"만 하다 어느날 돌변하여 실제로 인터넷 차단을 수행하게 됩니다.

결국 규정대수를 초과한 단말기들의 인터넷 접속이 아예 불가능해질 거예요;;

다. 이용료를 지불한다

속편하면서 한편으로 속쓰린 방법입니다.

추가 단말기 1대당 월 5,500원으로 책정되었으나, 1대분(5,500원) 요금만 지불하면 그 이상의 단말기는 도의상(?) 사용하게 해주는 게 일반적입니다.

라. 우회한다

통신사의 감청을 우회하여, 문제의 싹을 제거하는 방법도 있습니다.

다만 통신사들의 UID 추출 방법이 다양하기에, 오늘의 우회방법이 미래에도 유효할 지는 보증할 수 없습니다.

또한 통신사가 UID 추출을 위해 여러가지 단서를 복합적으로 수집(핑거프린팅)하고 조합하기에

우회방법도 고도화할 필요가 있습니다.

가장 확실한 방법은 DNS/DPI 레벨을 우회하는 프로그램을 구동하는 것인데 GoodbyeDPI라는 프로그램이 가장 보편적으로 활용됩니다.

이는 러시아의 개발자가 만들고 Github를 통해 공유되고 있지요.

[GoodbyeDPI는 마더 러시아의 위용입니다]

유독 러시아가 검열/감청이 일상다반사(?)인 국가다 보니, 이 같은 솔루션이 발달했습니다.

여담이지만 텔레그램 개발자도 러시아 출신이죠^^;;

GoodbyeDPI는 소스코드가 100% 공개되어 있는 프로그램이기에 위험성은 전무하다 보셔도 됩니다.

설치법도 어렵지 않습니다.

1) Github의 다운로드 페이지에 접속하시고

가장 최신버전을 클릭하여 다운로드 해주세요.

goodbyedpi-(버전명).zip 압축파일을 클릭하시면 됩니다. 

2) 압축을 해제하시면 여러개의 파일과 폴더들이 노출되는데, 그 중 service_install_russia_blacklist.cmd 라는 커맨드 스크립트 파일 1개만 실행하시면 됩니다. 다른 파일은 건들지 말아주세요. 

3) 다만, 실행하실 때에는 관리자 권한으로 실행해주셔야 합니다.

service_install_russia_blacklist.cmd 파일을 마우스 우클릭 하시면 관리자 권한 선택메뉴가 노출됩니다.

아래 이미지를 참고해주시겠습니까?

4) 실행하시면 윈도우 콘솔 화면이 노출되는데

하라는 대로 아무키나 누르시면 됩니다. 멋지게 Enter키를 눌러주세요.

5) 실행이 완료되면, 콘솔 화면은 자동으로 닫힙니다.

그리고 이제 당신의 컴퓨터는 영구적으로 우회권한을 획득하게 됩니다.

추후 GoodbyeDPI를 비활성화 하시고자 한다면 service_remove.cmd 파일을 "관리자 권한"으로 실행해주시면 말끔하게 지워집니다.

---

여기까지 읽어주셔서 감사합니다.

추가단말 서비스가 과거의 추억(?)이 되길 기원하면서 글을 마칩니다.^^