본문 바로가기

벌새::Analysis

이글루스(egloos) 계정을 이용한 네이버 덧글 광고 의심

최근 네이버(Naver) 카페를 중심으로 한 파일 공유 사이트 회원 가입을 유도하는 덧글 광고가 기승을 부리고 있습니다.

[파일공유 추천제, 음란물 그리고 홍보 방식] 게시글에서 밝힌 것과 같이 네이버 카페 카테고리별 유명 카페를 중심으로 특정 게시물에 달린 첫 번째 덧글의 답변 덧글 방식으로 특정 링크를 걸어서 해당 링크를 클릭할 경우 최종적으로 국내 파일 공유 사이트 회원 가입 페이지로 유도를 하는 방식을 취하고 있습니다.

해당 광고에 사용되는 아이디를 분석하기 위해 네이버 카페 중 보안 카페로 유명한 [바이러스 제로 시즌 2]에 게시된 광고 작성 초기 시점인 4월 초부터 현재 시점까지 사용된 아이디를 분석해 보았습니다.

총 41개의 다양한 형태의 아이디는 (주)SK 커뮤니케이션즈에서 제공하는 블로그 서비스 이글루스(egloos)의 도메인과 상당한 공통점을 가지고 있는 것을 확인할 수 있었습니다.

※ 하단은 광고에 이용된 네이버 아이디와 일치하는 이글루스 블로그 주소를 정리한 내용입니다.


총 41개의 아이디 중에서 실제 이글루스 블로그가 존재하지 않는 경우는 단 2개 밖에 없었습니다.

먼저 이글루스의 도메인 형태를 살펴보도록 하겠습니다.


일반적으로 이글루스에 회원가입을 하면서 이글루를 생성시 해당 서비스 아이디 부분과 이글루 주소의 앞부분 도메인은 일치하지 않아도 되는 것으로 보입니다.

하지만, 일반적으로 해당 주소를 생성하는 경우 습관적으로 자신이 선호하는 아이디와 동일하게 만드는 분들이 다수 존재하리라 추정됩니다.

그러므로 이글루스 블로그 주소의 맨 앞부분은 결국 해당 서비스의 아이디와 일치할 수 있으며, 비밀번호만 획득을 하면 계정 자체가 완성됩니다.

그런데, 네이버 카페에서 이용되는 위의 네이버 계정 아이디가 어떻게 95% 이상 이글루스 아이디와 동일성을 가질 수 있을까요? 실제 이글루스 사용자가 국내 블로그의 최상위층에 위치한다고 볼 수 없다면 의심할 부분이라고 보여집니다.

이번에는 광고에 사용된 네이버 계정의 네이버 블로그의 공통점을 알아보도록 하겠습니다.


이들 악용된 아이디들은 광고를 위해 생성된 계정이 아닌 위와 같이 이전부터 존재하였던 네이버 계정을 이용하고 있다는 점입니다. 이는 외부에서 네이버 계정 정보를 수집하여 이번 광고에 사용되고 있다는 것을 의미합니다.

먼저, 모든 아이디는 영문 아이디만 표기를 하고 있으며, 한글 방식의 닉네임 표기를 사용하는 네이버 계정은 존재하지 않고 있습니다. 또한 광고 아이디는 모두 네이버 블로그가 비활성화 되어서 사용자가 이용하지 않고 있다는 특징을 가지고 있습니다.

최근 [<보안뉴스> 230만명 개인정보 해킹, 도박광고에 활용...일당 구속] 기사에서와 같이 네이버 지식인을 이용하여 주기적으로 도박 광고를 하다가 적발된 사례가 있습니다. 이들 역시 외부에서 계정 정보를 수집하여 네이버 계정과 비교하여 수만개의 네이버 계정을 이용할 수 있었다고 밝히고 있는데, 최근의 네이버 카페를 중심으로 한 파일 공유 사이트 홍보에 유사한 방식을 이용하고 있다고 개인적으로 판단이 됩니다.


특히 특정 카페에 광고 목적으로 가입을 하고 바로 덧글을 작성하는 행동에서 특이한 점을 발견할 수 있었습니다.

정상 아이디의 경우 카페 가입을 하고, 해당 카페에서 글을 작성하지 않더라도 일정 시간 카페를 살펴보면서 네이버에서 제공하는 로그에 [출석] 항목에 체크가 되는 것을 확인할 수 있습니다. 하지만, 광고 목적으로 가입된 아이디의 경우에는 가입과 동시에 덧글만을 작성하면서도 출석 항목에 체크가 이루어지지 않으며, 해당 아이디가 카페 스탭의 강퇴 처리가 없는 상황이라면 많게는 수십개의 덧글을 작성하면서도 출석에는 전혀 체크가 이루어지지 않는 점을 확인할 수 있었습니다.

이런 부분은 실제 특정인이 해당 카페에 방문을 하여 덧글 광고를 올리기 보다는 특정 프로그램을 이용하여 가입 및 덧글 작성을 하는 것이 아닌가 추정됩니다. 특히 반복적으로 아이디는 교체되면서 광고 덧글이 작성되는 게시물은 정해진 게시물에만 반복적으로 올리는 행동에서 이전 도박 광고와 같이 프로그램을 사용한 조직적인 홍보가 이루어지고 있다고 볼 수 있습니다.

해당 광고 행위는 점심 시간, 저녁 시간, 야간(자정 ~ 새벽 4시경)까지 다양한 시간대에 관리가 되는 카페의 경우에도 광고 아이디가 강퇴 처리가 되면 바로 다른 아이디로 가입을 하여 반복적인 행위를 하며, 새벽 시간대에도 아이디 교체(한 카페당 4~5회)를 꾸준하게 하면서 광고를 올리는 행위를 지속하고 있습니다.

특히 이미 1개월 이상 이런 행위가 발생하고 있으며, 다수의 아이디가 이용되는 것으로 보아 이번 역시 상당수의 새로운 네이버 계정이 노출되어 있으리라 추정됩니다.

이전 도박 광고에서는 해당 노출 아이디의 특징이 [네이버 지식인 도박 광고 - 건강, 학습, 여성 생리대, 통신과의 관계] 게시물과 같이 손쉽게 구별할 수 있었는데, 이번의 경우에는 한 번 이용한 아이디를 활용하거나 하는 행동을 이루어지지 않는 것으로 보아, 즉 악용되는 블로그간 방문 행위가 없는 것으로 보아 다수를 보유하고 있다고 볼 수 있습니다.
 
자신이 이글루스 블로그 서비스를 이용하면서 네이버 계정과 동일한 아이디와 비밀번호를 유지하고 있다면 반드시 네이버에서 자신이 가입하지 않은 카페가 있는지 확인을 하시기 바라며, 이글루스를 이용한다면 더욱 안전을 위해 네이버 비밀번호를 즉시 교체를 하시기를 바랍니다.

과거 지식인의 경우에는 지식인 서비스 차단을 통해 악용된 부분을 인지할 수 있었지만, 이번의 경우에는 덧글을 이용한 방법이라 이전보다는 인지할 수 없는 경우가 존재할 수 있다고 봅니다.

특히 네이버 아이디의 공통점이 닉네임을 사용하지 않는 것으로 보아, 상당기간 네이버 아이디를 이용하여 카페나 블로그 활동을 하지 않는 점을 이용하여 더욱 눈치채지 못하게 할 수도 있으리라 보여집니다.

전체적인 내용은 개인적인 추정으로 작성한 내용이므로 확인되지 않은 내용이지만, 최근의 네이버 계정 악용 사례와 같이 외부에서 얻은 정보로 네이버 계정을 뚫는 행위가 빈번할 수 있으므로 대형 포털 사이트의 비밀번호는 주기적으로 교체를 하시고, 되도록이면 가입된 사이트 계정은 서로 연관성을 가지지 않도록 하는 것이 효과적이 개인정보 보호의 방법이라고 생각합니다.
  • 이글루스 계정도 상당수 지금까지 사용하고 있는 계정이네요. 해당 블로그들이 별 문제없이 운영되는 것을 보면 단순히 ID만 취합하여 사용한는 것 같지만, 이글루스 ID를 따로 모아서 네이버에 일일이 이를 대입하고 패스워드까지 찾아내는 건 거의 불가능한 일이라 생각됩니다. 혹 정상적으루 운영되는 블로그들이 대부분인지라 가능성은 없지만 이글루스의 ID와 패스워드가 일부 노출된 것은 아닌가 합니다.

    다수의 덧글을 작성하거나 다수의 ID로 한 두개의 덧글을 작성하면서 광고를 하고 있는 실정인데 보아하니 ID 보유량이 엄청날 것 같다는 생각이 듭니다. 네이버의 대응은 기대도 하지 않고 있고 참다보면 알아서 끝나겠지 하고 단순히 생각하고 있었는데 쉽지 않겠군요.

    이미 많이 노출되거나 도용된 개인 정보를 이용해서 네이버 계정을 생성한 것으로 생각했는데 더욱 일이 커지는 것 같군요.

    • 무언가 공통점이 있는 것을 보니 어떤 경로로 인해 단체로 빠져 나간 것도 같습니다.

      특히 20~30대 여성 계정이라는 이야기가 있더군요.

  • 아직 직접보진 못했지만,
    주의해야하겠네요~
    정보 감사합니다~

  • 요즘 덧글 광고 아이디의 정보를 보면 모두 여성으로 나오고 있습니다. 거의 다 현재 포스팅이 올라오는 블로그들인데 방명록에 관련 글을 올려볼까 생각 중입니다. 참 지속적으로 덧글이 달리고 있는데 이글루스 분들이 제발 네이버 ID 확인 및 패스워드 변경을 좀 해주었으면 하는 소망이 있습니다.

    나름 심각한 사안을 카페와 블로그에서 공개하였지만 별 반응이 없는 걸 보면 새삼 보안 관련 카페와 블로그는 여성분들에게 인기가 없다는 걸 인식하게 됩니다.

    • 해당 아이디의 네이버 블로그를 보면 공통적으로 이용을 아예 안하는 분들이 대부분인데 이번에 새로 생성한 아이디도 아닌 것으로 봐서는 외부쪽에서 무슨 여성 상대 이벤트를 했다가 노출되지 않았나도 생각됩니다.

      근데 이글루스쪽과 네이버쪽과 너무 비번이 동일한 것이 아닌가도 생각됩니다.

      의심을 하면 한도 끝도 없어 보이네요.

  • 다른 스탭분들과 이야기를 좀 더 나누어봐야 하겠습니다만 시간이 나면 지금까지의 아이디와 가지고 동일한 이름을 사용하는 블로거 분들에게 알려봐야 겠습니다.

    오늘 자동 덧글 작성 신고에 대한 네이버의 자동 답변을 보니 너무 한심스러워서 가만 있을 수가 없네요...

    • 계속 지켜보니 점심, 저녁, 새벽시간을 이용해서 줄기차게 올리고, 아이디를 아낌없이 사용하며 강퇴 후 바로바로 들어오는 걸 보면 카페 관리가 힘드시면 당분간 피를 피하는 방식으로 운영규칙을 변경하는 것도 좋을 것 같습니다.

      광고 방식이 효율성보다는 양으로 승부하는게 광고이다보니 악의적으로 덤비는 것 같더군요.

      그리고 광고하는 카페도 보니 회원수가 백여명인 카페에도 올리는 것을 봐서는 막가파 같아요.

  • 세레모니 기능도 형편없고 관리 기능 자체가 허술하니 가입 제한 말고는 방법이 없더군요. 그렇지만 가입 제한은 카페 취지와 어울리지 않는 다는 점 때문에 기각된 상태입니다. ㅠ-ㅠ

    • 아니면 최소한 스탭 허락 하에 가입 허용을 하는 방향으로 가는 것은 어떤지요? 임시라도..

      오늘도 보니 한 카페에서 광고 아이디가 강퇴 되기 전에는 절대 다른 아이디로 가입하는 일이 없는 것으로 보아 특정인이 상당히 치밀하게 하는 것으로 보입니다.

      아마 이대로라면 최소한 몇 달은 더 이러지 않을까요?

  • 그것도 좋은 방법이긴 합니다만 요즘 멤버 스텝 이상되는 분들이 바쁜 것도 있고 일반 id와 초기에 구분하는 것이 어려워서 다소 적용하기 어려울 듯 합니다. 네이버가 처리하기 전에는 답이 없는 것 같아요;;

    • 에고, 제가 또 스팸필터 때문에 고생을 시킨 것 같네요.ㅠ.ㅠ

      다시 수정을 하였습니다.

      이 문제는 조만간 어쩌면 기사화될지도 모르겠습니다.

      최근에 보니 보물박스 사장이 구속이 되었든데, 저런 공유사이트가 너무 돈벌이에 혈안이 되어서 참 이런 일도 생기는 것 같습니다.