RSS 전체공개, 예고된 악용 1. IDG

얼마 전까지 [RSS를 부분 공개]해 왔다[1]. 부분 공개한 이유는 여러 가지가 있지만 한 이유는 'RSS를 불펌으로 악용할 가능성'이 많기 때문이다. 설사 블로그나 홈페이지에서 불펌을 금지하고 불펌을 금지하는 여러 가지 장치를 한다고 해도 RSS 전체 공개를 통해 이러한 노력이 한순간에 사라질 수 있다. 또 개인적으로는 전체 공개 보다는 부분 공개를 좋아한다는 점, 설치형 블로그라 전송량 압박[2]이 심하다는 점도 한 이유였다. 그리고 예상대로 전체 공개에 대한 후유증이 여기 저기 보인다.

IDG

IDG는 나름대로 상당히 양질의 IT 관련 기사를 올리는 사이트이다. idg.com의 번역 기사와 국내 IT 관련 뉴스가 올라온다. 또 얼마 전 부터 오픈리뷰라는 서비스를 시작하며 노트북을 걸고 블로거를 모았다. 나 역시 올블로그 이벤트를 보고 이때 가입했고 상당히 많은 블로거가 이 이벤트를 통해 IDG에 가입했다.

IDG오픈리뷰는 어찌보면 오픈블로그와 성격적으로 비슷하다. '오픈블로그'는 블로그 메타 사이트로 글을 모으고 미디어몹은 이렇게 수집된 글을 이용해서 일종의 블로그 미디어를 구축하고 있기 때문이다. 그러나 '오픈리뷰'는 국내 다른 블로그 서비스와 차이점이 있다. 국내 블로그 관련 사이트는 RSS를 통해 블로거의 글을 수집해도 RSS 전체 공개, 부분 공개 여부와 무관하게 '글 전체를 자사의 DB에 저장하지는 않는다'. 그러나 IDG는 전체 공개를 한 경우 글 전체를 자사의 DB에 저장한다. 따라서 전체 공개한 블로그는 사본이 IDG에 만들어 진다.


완전히 깨진 화면 배치

급조한 듯 사이트 곳곳에 문제가 발견된다. 특히 RSS의 스크립트를 전혀 처리하지 않아 광고까지 나타난다. 그런데 막상 중요한 태그는 무시하기 때문에 한마디로 눈뜨고는 볼 수 없는 상태가 된다.

그러나 더 큰 문제는 '외부 블로거 등록에 아무런 제한 사항이 없다'는 점이다. 유일한 제한이 "블로그는 자신의 블로그만 가져와야 하며, 가져온 블로그 항목은 편집할 수 없습니다."라는 문구 뿐이다. 또 "가져온 블로그 항목은 편집할 수 없다"고 되어 있지만 얼마든지 편집 가능하다.


외부 블로그 가져오기

외부 블로그를 등록할 때 아무런 제한 사항이 없다. 인증도 없고 블로그 소유주도 확인[3]하지 않는다. 하나의 블로그만 등록할 수 있는 것도 아니고 원하면 원하는 대로 등록[4]할 수도 있다.


등록된 외부 블로그

인증 절차가 없기 때문에 mepay님이 블로그에 올린 글까지 내가 올린 글처럼 보인다. 원 블로그의 이름이나 별명이 나오면 좋을 텐데 외부 블로그 등록자의 이름이 표시되기 때문에 다른 곳에서 가져온 글인지 알 수 있는 방법이 없다.


편집할 수 있는 외부 글

프로파일이나 블로그를 클릭하면 '수정' '삭제' 링크가 표시된다. 여기서 수정 단추를 누르면 본문 및 제목을 수정할 수 있다. 즉, RSS로 몰래 퍼온 글을 자신의 글처럼 수정하는 것이 얼마든지 가능하다는 점이다.


글 수정 창

'수정'을 클릭하면 'Namo Interactive'의 'ActiveSquare 6'이 설치된다. ActiveX가 설치된다는 것도 문제지만 이 ActiveX의 덩치가 상당히 크다.

IDG의 '외부 블로그 가져오기'는 악용의 소지가 아주 많다. 특히 전체 공개된 블로그를 여러 개 등록하고 수정 기능을 통해 적당히 수성한 뒤 삭제를 통해 글을 골라내면 아주 쉽게 양질의 블로그를 만들 수 있다. 또 수정하지 않고 글만 추려도 괜찮다. 특히 공개된 RSS를 통해 가져왔기 때문에 저작권의 문제도 어느 정도 피할 수 있다.

물론 'IDG'의 오픈리뷰는 이런 악용을 목적으로 만든 것은 아니다. 그 동안 사용해 본 결과 '사이트를 급조한 것'으로 보인다. RSS에서 글을 읽어 오며 아무런 처리를 하지 않아 배치가 어긋난다. 프로파일에는 글 목록이 표시되며 블로그에는 글 내용이 표시된다. 그러나 프로파일에서 글을 삭제해도 블로그의 글은 삭제되지 않는다. 블로그에서 글을 삭제해도 마찬가지다.

여기에 글을 선택해서 삭제할 수 있는 기능도 없다. 개발자에게는 미안한 이야기지만 정말 "발로 만든 것이 아닌가 "하는 생각이 들정도이다. RSS를 읽어오며 보안에 전혀 신경을 쓰지 않았다. 따라서 본문에 스크립트가 포함되면 목록의 수정, 삭제 단추가 보이지 않았다[5]. 그래서 결국 웹 페이지를 로컬로 저장, 웹페이지를 바꿔 글 삭제를 시도했다. 어이 없지만 이런 방법으로 글을 삭제할 수 있다. 즉, 참조 URL을 검사하지않는다. 이 부분은 보안상 심각한 위험이 될 수 있다[6].

현재 'IDG'에 등록된 글은 모두 삭제했다. 블로그의 300개 가까운 글을 일일이 하나씩 삭제했다. 여기에 프로파일에서도 똑 같은 작업을 했다. 그런데 이 삭제 인터페이스도 너무 복잡하다. '삭제'를 클릭하면 '삭제하겠느냐'는 확인 창이 나타나며 여기서 '확인' 단추를 클릭하면 '삭제 되었다'는 확인창이 또 나타난다. 여기서 확인을 클릭해야 글이 삭제된다. 즉, 글 하나를 삭제하기 위해 총 세번을 클릭해야 하기 때문에 600개의 글을 삭제하기 위해서는 1800을 클릭해야 한다.


너무 복잡한 삭제

삭제 링크를 클릭하는 것과 삭제 확인창은 어쩔 수 없다고 해도 마지막 "삭제됐습니다"라는 메시지창은 띄울 필요가 없는 부분이다. 눈으로 삭제된 것을 확인할 수 있기 때문이다.

앞에서 이야기 했듯이 'IDG'는 IT에 관련된 상당히 양질의 기사가 올라온다. 서비스를 확대 개편하면서 '오픈리뷰'라는 서비스를 시작했다. 그러나 서비스를 시작하면 너무 안이하게 시작한 것이 아닌가 하는 생각이 든다. '서비스에 대해 고민한 흔적이 없다'. 오로지 노트북 한대로 사용자를 끌어 모으고 이렇게 끌어 모은 글로 서비스를 시작하는 것만 염두에 둔 것이 아닌가 하는 생각이 든다.

RSS를 전체 공개한 블로그의 경우 'IDG 서비스를 이용해서 RSS를 악용할 가능성'은 아주 많다. 따라서 설치형 블로그라면 반드시 '.htaccess'에 다음 코드를 삽입해서 IDG에서 글을 읽어가는 것을 막는 것이 좋다. IP 주소는 idg.co.kr의 IP 주소이다.

Deny from 222.239.74.141    #idg.co.kr

관련 글타래


  1. 그러나 작년 10부터 부분 공개에서 다시 전체 공개로 바꿨다. 자세한 이유는 RSS 피드를 부분 공개에서 전체 공개로 바꿉니다를 읽어 보기 바란다. 
  2. 부분 공개에서 전체 공개로 바꾼 뒤 RSS 전송량이 20배 증가했다. 물론 이 부분은 압축 플러그인을 이용해서 5배 수준으로 줄였다. 
  3. 한RSS에서는 디렉토리를 등록할 때도 블로그 소유주를 확인한다. 블로그 소유주가 아닌 사람이 디렉토리를 바꿀 수 없도록 하기 위해서이다. 
  4. 물론 경고 문구에는 "너무 많으면 계정이 취소될 수 있다"고 하지만 실제 취소되는지는 미지수이다. 
  5. 한RSS에 디렉토리를 등록하며 디렉토리 등록글을 다른 글로 전환해 두었다. 이때 사용한 자바스크립트를 처리하지 못해 발생한 문제였다. 
  6. 자바스크립트 부분은 개발자가 모든 상황을 다 고려할 수 없기 때문에 얼마든지 발생할 수 있는 일이다. 그러나 참조 URL 부분은 너무 안이했다. 
2009/05/06 07:47 2009/05/06 07:47
글쓴이
author image
운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.
오늘의 글
인기있는 글
조회수 많은 글 | 베오베
댓글 많은 글 | 베오베

Trackback

Trackback Address :: http://offree.net/trackback/2501

  1. Subject : RSS를 무단도용해도 괜찮다구요?

    Tracked from LovedWeb 2009/05/06 10:33 del.

    요즘 자꾸 요상스러운 일이 주변에서 자꾸 발생을 하고있네요. 전생에 지은죄가 많아서 그런건지 예전에 지은죄가 많아서 그런건지 ... 예전부터 비슷한 글들이 있었지만 그저 남일이려니 하고

  2. Subject : 수많은 RSS구독 신청버튼 한번에 블로그에 달기 - 피드버너(Feedburner)

    Tracked from 구글여행 지지트래블 세상이야기! 2009/05/30 11:20 del.

    수많은 RSS구독 신청버튼 한번에 블로그에 달기 - 피드버너(Feedburner) 정말 간단한 블로그글 배급 RSS는 블로그를 하시는 분들이라면 너무도 많이 알려진 단어입니다. 그래도 잘 모르시는 분들을 ?

Facebook

Comments

  1. 흰소를 타고 2009/05/06 08:40

    처음 RSS에 대해 하나도 몰랐을때 전체공개로 되어 있어서 바꾸지 못하고 있습니다 ^^
    몇분 안되기는 하지만 그동안 구독하시게 된 분들이 있는것 같아서...

    perm. |  mod/del. reply.
    • 도아 2009/05/06 12:08

      저는 전체, 부분, 전체로 바꿨습니다. 전송량 압박 때문에 바꿨다가 불편해하는 분때에 다시 전체로 바꿨습니다.

  2. 구차니 2009/05/06 09:37

    중국에 가족 여행 다녀온동안 글이 너무 많이 올라와서 헉헉대면서 읽고 있습니다 ^^;
    음.. 역시 설치형 블로그의 최대의 적은 트래픽이군요..

    perm. |  mod/del. reply.
    • 도아 2009/05/06 12:09

      블로그에서 봤습니다. 잘 다녀오셨나요? 아무튼 가족과 외국 여행이라니 조금 부럽습니다.

  3. 아카사 2009/05/06 09:48

    제가 직접 써보지 않아서 뭐라 이야기하는건 좀 부적절할것 같습니다만, 도아님의 리뷰를 읽어보니 고민없는 제품의 전형적인 모습이라는 느낌이네요. RSS를 이용해 효과적인 펌질을 할 수도 있겠다는 생각은 한적이 있습니다만, 상업적으로 이어질수도 있는 것이였군요(...... )

    perm. |  mod/del. reply.
    • 도아 2009/05/06 12:09

      예. 고민을 너무 안하고 만든 서비스더군요. 다만 RSS는 전체 공개하면서 저런 위험성을 생각했습니다. IDG에서 제대로 걸린 셈이죠.

  4. Zasfe 2009/05/06 09:52

    또다른 펌질의 생산이네요.
    의도하지는 않았겠죠..? 그렇겠죠?

    perm. |  mod/del. reply.
    • 도아 2009/05/06 12:10

      서비스를 보면 의도한 것으로 보이지는 않더군요. 그런데 너무 고민없이 서비스를 만들었더군요.

  5. 데굴대굴 2009/05/06 10:53

    외국에도 몇몇 이런 유사한 서비스가 있었습니다. 죄다 망했죠. 이유는 이걸 발견한
    사용자들이 자신의 글을 다~ 지워달라는 요청이 많았기 때문입니다. 결국 그 서비스는
    사용자들이 글을 지우기 위해 방문했을 뿐, 지금은 흔적조차 없습니다.

    자신의 글이 자신의 글처럼 보이지 않는다거나,
    허가받지 않은 곳에 올려져 있다면,
    이건 저작권 위반으로 생각해야 하는게 아닐까요?

    perm. |  mod/del. reply.
    • 도아 2009/05/06 12:10

      제 경우에는 제가 가입한 것이라 문제는 없는데 이미 다른 사람의 블로그를 저런 식으로 퍼갔더군요.

  6. koc2000/SALM 2009/05/06 11:25

    이런 경우는 저작권 가운데 배포권 위반이라고 생각합니다. 예컨대, 내가 책을 발간했는데, 그 책의 표지를 없애고 글쓴이를 바꿔서 출간하는 경우와 똑같다고 생각합니다. ㅡㅡ;

    perm. |  mod/del. reply.
    • 도아 2009/05/06 12:11

      예. 그렇기는 하는데 입장이 조금 애매해지더군요. 다음에 소개하는 서비스를 보면 아마 저랑 비슷하게 생각하지 않을까 하는 생각이 듭니다.

  7. whale 2009/05/06 15:31

    전 rss 구독을 하지만,
    도아님의 관심있는 글은 블로그에 직접 와서 읽습니다.
    편집이 잘 되어 있어서요~ ^^

    perm. |  mod/del. reply.
    • 도아 2009/05/06 17:37

      제가 퍼가는 것을 싫어하는 이유 중 하나는 글을 올릴 때 배치도 상당히 신경을 쓰기 때문입니다.

  8. 윤초딩 2009/05/06 23:36

    도아님 글은 볼때마다 느끼는건데요.
    상당히 깔끔하고 정리가 잘되어있네요.
    글쓰실대 시간이 상당히 오래걸리겠어요..

    트랙백은 아까걸어놓고 댓글을 안남겼었나보네요..
    남겼는줄 알았는데 죄송합니다.^^

    perm. |  mod/del. reply.
    • 도아 2009/05/07 08:17

      트랙백을 보내고 댓글은 남기지 않으셔도 됩니다. 트랙백 자체가 일종의 댓글이니까요. 그리고 보신 것처럼 배치도 상당히 신경을 씁니다. 퍼가는 것을 싫어하는 이유 중 하나는 이런 배치가 어긋나기 때문이기도 하고요.

      글은 잘 봤습니다. 저는 서명덕 기자님이 올렸다는 글이 더 어이가 없더군요. RSS 발행을 저작권 포기로 본 것이 아니가 하는 생각이 들더군요.

  9. 최면 2009/05/07 16:37

    저도 어젠가 drchoi님 글을 보고 이 사태를 알았는데.. 이것 참.. 웃긴 일이네요..
    사실 저는 idg를 이번에 처음 들어가봤는데.. --;;

    perm. |  mod/del. reply.
    • 도아 2009/05/07 16:53

      저는 예전에 이벤트할 때 등록했었는데 최근에 다시 가보니 정말 아니다 싶더군요.

  10. 공상플러스 2009/05/08 22:23

    하긴 그 악용 사례는 많이 들어봤습니다.

    perm. |  mod/del. reply.
    • 도아 2009/05/09 06:44

      이외에도 아예 펌질 도구로 활용하는 예도 많더군요.

  11. 沢渡 サユリ 2009/05/09 13:23

    전 부분 공개 원칙을 유지하고 있습니다.
    자세한 정보를 알고 싶으면 직접 들어와서 봐라는 주의죠.

    더 심하게 하려면 "제목만 공개"를 하고 싶은데 말이죠...
    역시 티스토리로 이전해서 그런지 무리인가 봅니다 ^^

    perm. |  mod/del. reply.
    • 도아 2009/05/10 09:48

      똑같지는 않지만 저도 부분공개가 원칙이었습니다. 그런데 불편해 하는 분이 있어서 전체로 바꾼 것인데 오용이 심각하더군요.

  12. radiostar11 2009/05/12 02:33

    RSS에 대한 문제 때문에 몇 일 전에 서명덕 기자가 글 쓴 것을 봤었는데...
    IDG가 아무튼 이번에 좀 제대로 실수를 한 것 같습니다.

    다행이도 제 블로그는 아직 그리 유명하지 않은지 도용피해가 없긴 했습니다만,
    이미 피해를 보신 분들도 있다고 하더군요.

    무엇보다 긁어온 글을 다시 편집할 수 있다는 것에 경악했습니다.

    perm. |  mod/del. reply.
    • 도아 2009/05/12 07:37

      저는 서기자 블로그는 차단되어 있어서 접속을 못합니다. 다만 다른분이 잡은 화면을 보니 조금 어이가 없더군요. 글 10개를 읽기 모드로만 제공하는 한RSS와 모든 글을 편집 모드로 제공하는 IDG를 비교한다는 발상 자체가 잘못된 것이죠.

  13. 구글여행 2009/05/30 07:58

    글 잘 보고갑니다. 행복한 주말 보내세요~ ^^

    perm. |  mod/del. reply.

댓글로 기쁨을 나눠요!

(옵션: 없으면 생략)

글을 올릴 때 [b], [i], [url], [img]와 같은 BBCode를 사용할 수 있습니다.