넷플릭스 오류, 계정혼선 (시스템오류로 의심) - 넷플릭스 기술문의 유감

안녕하세요 울프입니다 오한 씨는 좀 생소한 주제입니다. 즉시 넷플릭스(Netflix:http://www.netflix.com)에 관한 이야기입니다.좋은 소식이라면 좋겠지만 안타깝게도 다소 불편한 경험의 공유입니다.

>

넷플릭스는 이미 국내에도 상륙한 지 1년이 넘는 비디오 스트리밍 서비스다. 세부적으로는 본 논문에서 언급할 필요가 없지만, 명실공히 세계에서 가장 영향력 있는 스트리밍 서비스 플랫폼이라고 판단해도 무방합니다. 세계적으로 위성이 나쁘지 않기 때문에 케이블 사업자의 가입자 이탈을 강력하게 드라이브 하는 존재 중 하나가 좋지 않네요.나는 넷플릭스의 대한민국 진출 초기부터 현재까지 계속 서비스를 사용하고 있는 골수 사용자 중 한 명밖에 없다.내가 넷플릭스에 호의적인 사용자라는 것을 미리 밝히는 것은 일어난 귀취에 대해 화가 난 것이 아니라 귀취를 중립적으로 보는 것도 있어 굳이 이 귀취로 넷플릭스를 공격하는 감정이 없음을 강조하고 싶기 때문에 임.이 글을 쓰기 전에 넷플릭스 고객센터 채팅을 통해 오류의 귀취를 가능한 한 상세히 전달하고 분석을 의뢰했다. 결과는 첫머리에서도 말했듯이 조금 실망스럽습니다. 저도 개발자로서 그들의 (넷플릭스 기술팀) 반응이 이해되지 않는 것은 아닙니다. 충분히 그런 반응을 할 수는 있어요. 다만 제가 가능한 한 자세히 귀취를 전하려는 의도를 이해하고 더 자세히 분석해 주시길 바랐습니다.이하 언급하는 시간은 전체 대한민국 표준시 KST이며, 아시다시피 GMT #9의 타임존에 해당합니다.날짜는 전체 2016년 11월 내용이다.

실수는제가집에서쓰던맥북에서발발발하고,문재발발발할때전후다집에서가진인간적이없고,집에서도나혼자만씁니다. 새롭게 로그인을 시도하지 않아 로그인 유지 상태가 지속되고 있었습니다.오류가 발견되기 전에 최종적으로 넷플릭스 서비스를 정상적으로 사용한 것은 시청 기록으로 보아 11월 28일 새벽이다. 시청 기록에 가끔은 표시되지 않지만 28일은 피곤으로 귀가해 바로 잠들었기 때문에 아침 일찍부터 시청이 마지막이었습니다. 증상을 발견한 것은 29일의 night였습니다. 다만 29일 출근 전에 맥북을 잠시 부팅했기 때문에 이때 넷플릭스 페이지를 한 번 이상 로드했을 가능성이 있습니다. 물론, 플레이한 본인의 사이트를 훑어보지 않았기 때문에 한 번만 로드했을 뿐입니다.맥북의 경우 시스템 종료 전에 사용하던 창을 재복구하는 옵션이 있으며, 이를 사용하고 있기 때문에 재부팅만 하면 사용하던 사이트가 한 번씩 로딩되기도 합니다. 사용하기 편리하지만, 이 때문에 넷플릭스 사용이 없었던 시점에서도 서비스 페이지의 로드를 시도할 수 있습니다. 페이지 로딩과 관련된 시점을 모두 리스트 업 하는 것은 글재 분석 시 제출하는 자료로 사용하기 위해서이다.증상은 황당하게도 타인의 계정으로 로그인 된 상태. 어떻게든 잘못 보이는 것이 아니라 완전히 로그인 상태로 본인이 와 있으며 글을 정리하는 시점에서도 여전히 동일합니다. 원래계정으로정상시청후다음서비스에접근하면갑자가다른사용자로로그인되어버린것입니다.

>

보시다시피 영어로 표시되어 있고 프로파일이 3개입니다.제 계정이라면 당연히 한국어로 표시되었어야 했는데, 바로 이상하다고 느꼈어요.제 프로파일은 두 가지만 정의되어 있습니다.

>

이렇게 이야기하네요. 이건 정상적인 제 화면이에요. 아직 정상 로그인이 되지 않아 시크릿 모두 연결하여 확인하고 있습니다.보동 프로파일 화면만 에러로 보이는게 아니라.모든 서비스의 사용이 정상적으로 가능했습니다.당황하고 있는 상태입니다.

>

프로파일을 선택하면 해당 사용자에게 맞는 추천 화면에서 정상적인 넷플릭스 시작 페이지가 과인됩니다.

>

뿐만 아니라, 이 유저의 계정 설정도 (당연히) 그대로 볼 수 있었습니다. 이 사용자가 제 맥북에서 로그인했듯이 정상적으로 넷플릭스 서비스 사용이 가능한 정세가 확산되고 있었던 겁니다.

그래서 고객센터 채팅창에서 문재를 가능한 한 자세히 알려주고 분석을 의뢰했습니다. 대힌민 국어채팅 서비스가 아침 10시 이후에만 지원되기 때문에 회사에 맥북을 가져가는 수고도 각오하면서 얘기하는 겁니다.하지만 결론적으로 충분한 지원을 받지 못했습니다. 제가 이런 상황을 분석한 바에 따르면 시스템 오류로 이렇게 된 것 같은데 기술부서에서는 본인 시스템에서는 절대 그럴 리가 없다고 합니다. 저도 개발자이지만 개발자의 '절대'라는 말은 절대 믿지 않습니다. 제가그동안들었거나아니면자기입으로예기했던절대라고이미지하면서설명한스토리를정정하지않는경우가거의없으니까요. 분명 어딘가 시스템에 홀이 존재할 것으로 예상하고 있는 것입니다.안타깝네요. 물론 넷플릭스 고객센터의 응대다 sound당자는 가장 크게 글재를 해결하기 위해 스토리를 자세하게 질문까지 덧붙이면서 기술팀으로 달하고 그 스토리를 다시 저와 공유할 수 있는 상당히 적극적인 자세를 보였지만... 뭐 기술팀이 선적하는데 고객센터 채팅창 많은 sound당자가 할 수 있는 조치는 없는 것입니다.기술팀이 내게 물어보고 본인 요청을 토대로 해석하면 (나에게 따로 설명하지 않았지만) 내가 해킹을 당해서 나도 모르게 다른 사람의 계정으로 로그인된 것을 단정하는 것 같다. 최종적으로 넷플릭스에서 요청한 처리는 넷플릭스 사이트에서 다운로드 받은 쿠키를 삭제하고(이로 인해 로그아웃이 됩니다) 잠시 후에 로그인 창에 어떤 계정이 보이는지 물어봤어요.

>

제가 해킹을 당하지는 않았나 의심이 든다면, 물론 아까도 내용을 썼던 것처럼 '절대'라고 하는 것은 있을 수 없기 때문에 가능성이 0Percent가 아닙니다. 다만, 가족 여건상 공유기 담장에 위치하여 파일 서버는 몰라도 제 맥 북쪽에는 포트 포워딩조차 하지 않고, 역시 상시 켜져 있지 않기 때문에 그 확률은 환경상 일단 낮습니다. 게다가, 예를 들면 시야에 의해서 크롬의 오상 활동등을 추적해 보았지만, 이상한 곳으로부터의 액세스 기록이 가혹한 사이트의 접속 기록도 한정되지 않았습니다. 게다가 크롬 계정/비밀번호 저장소 내역을 보았는데 (보통은 자동으로 저장되도록 설정해 놨습니다.) 오류로 로그인한 계정의 항목은 남아있지 않았습니다.역시 일례로, 시과의 일로 큰 의의는 없습니다만, 맥용 안티 바이러스 프로그램을 설치하고 검사해 보았습니다. 물론 아무것도 발견되지 않았습니다.

그런 능력이 있었다면 돈 많이 벌었을거라 생각합니다. 화이트해커가 됬으면 좋겠어 저도 해킹이 가능했으면 좋겠네요.

제가 생각하는 사고 발생의 시본인 리오는 이렇습니다.보통 사이트 로그인 처리 이후에는 로그인 성공에 대한 인증 데이터를 못 형태로 사용자 시스템에 저장한다. 이후 매 사이트 접속마다 이 쿠키를 공동 연구하고 어떤 사용자인지 확인하고 언제 로그인했는지 확인하는 용도로 사용합니다. 만약 사용자가 시스템을 종료하는 등 잠시 서비스를 이용하지 않았다면, 이 쿠키의 데이터를 서비스 측에서 검증하는 단계가 반드시 있을 것입니다. 그 후 뭔가 갱신된 데이터를 다시 갱신하는 절차를 밟을 것입니다.따라서 28일 새벽 정상적으로 서비스 사용을 종료한 담장, 28일 또는 29일 서비스에 접속한 순간에 사용자 로그인을 검증하는 과정에서 뭔가 데이터 오염이 발생한 현실성이 제가 의심하는 부분입니다. 사용자는 일반적으로 직접 꺼내기 어려운 쿠키 값이지만, 당연히 단방향이 본인처럼 암호화되어 저장해 버리는데, 오류로 로그인된 사용자와 제 계정이 암호화된 채 대등한 값을 가진 거본인, 예를 들어 MD5 등의 단방향 암호화를 거친 후 값이 훨씬 다른 거본인, 양 계정의 일련번호 값이 서로 다른 대등한 값이 거본인으로 오염된 상황에서 혼선이 일어나기 쉬운 데이터가 아니냐는 것입니다.사실 이 부분은 넷플릭스 서비스의 내부 로직이 본인의 데이터 구조 등을 모르면 더 이상의 분석이 어렵기 때문에 저로서는 확인이 어려우며, 따라서 넷플릭스에 이 부분에 대한 분석을 요청한 것이 본인과 같습니다.사실 아직 어디가 사고였는지는 불분명해요.

네..아무것도 역시.. 제 예상대로였어요. 어떻게 보면 당연한 일이에요. 제가 미리 크롬 계정 저장소를 체크했을 때 제 것이었는데 갑자기 야후 메일 계정이 나올 리가 없지요. 아래 스크린샷과 함께 자신의 계정만 둥글어 보인다.

>

이걸로 넷플릭스 기술팀이 저를 의심한 부분이 제 예상과 일치하는 부분이라면 그건 쓸데없는 의심입니다.는 것쯤은 일단 증명한 셈이죠.추가로 아쉬운 부분은 넷플릭스 기술팀이 쿠키 클리어 후 상태를 요청했을 때 저는 현상이 매우 희귀한 속성을 가지고 있어서 가장 크게 분석을 진행하고 도저히 할 일이 없을 때 클리어하여 상태를 공유하고 싶었기 때문에 즉시 클리어 하기를 거부하였습니다. 스스로 메일에 결과를 알린다고 했더니 기술팀은 갑자기 그 결과가 더 이상 필요 없다고 합니다. 이미충분히필요한정보를받았다는입장이었습니다. 간단히 말해서 댁이 틀려서 내 보안이 무너져 버렸기 때문에 네 맥북에서 해킹을 시도했을 것이고, 우리 시스템은 글재주가 없으니 그 결과는 필요없다는 의미입니다. 기술팀의 예측은 쿠키를 클리어하면 100% 잘못 로그인된 계정의 로그인 흔적이 로그인 창에 자신이 생길 것으로 본 것입니다. 물론 결과는 아니었습니다.

사실 나는 계속 넷플릭스를 이용하는 소견이다. 우선 문제의 속성이 예상되어 매우 희귀한 귀취이므로 간단히 누군가에게 재현되는 것은 극히 낮다고 생각됩니다. 만약 상당히 자주 발견되는 문제라면 현재까지 넷플릭스가 이를 감지하지 못할 리가 없으니까요. 그래서 더 아쉽기도 해요. 분야는 다르지만 얼마 전 세계를 충격과 공포로 몰아넣은 삼성 갤럭시노트7 배터리 발화건만으로도 삼성이 이를 제때 대처하지 못한 것은 그 문제를 재현하기가 매우 어려웠기 때문이다. 그러다가 원인을 따져 문제를 더 크게 확대한 측면도 있지만......이 문제가 발생한 제 맥북 넷플릭 스쿠키를 깨면서 실속이 아깝다는 소견을 계속하고 있습니다. 이것이 넷플릭스 서비스상의 홀이라면 실내용 재현이 어려운 귀취를 제 맥북에서 확인할 수 있었던 것이니까요. 게다가 본인만 하본인인 제 맥북이 해킹당한 상태에서 그 사용자를 누군가가 제 맥북을 통해 해킹한 귀취라면 그 사용자는 공격을 받은 것이 본인과 다름없지만 제가 넷플릭스에 기술 문의를 한 후 이 글을 정리한 시점까지 해당 사용자에게 알린 것 같지는 않았습니다. 왜냐하면, 그 에러로 로그인 된 상태가 계속 되고 있었기 때문입니다.일단 최대한 상세한 이 블로그의 포스팅 내용을 포함해 남겨두고 해당 사용자에게는 메일을 보내 귀취를 적절히 알리고 계정 보안에 주의할 것을 권유하는 소견입니다. 아무래도 영어로 써야 할 것 같으니 부인에게 부탁 좀 해야겠어요.아쉽게도 뭔가 결론을 내지 못한 채 이 글을 끝내야 합니다.

본문을 요약하여 클리안 사용기 게시판에 올렸습니다. 그랬더니 회원중 한명이 같은 경험을 했다고 레포트를 해주셨습니다.

http://www.clien.net/cs2/bbs/board.php?bo_table=use&wr_id=962259

제 예상보다 빈도가 꽤 높네요. 넷플릭스의 서비스 자체에 약점이 있는 현실성이 커졌습니다. 넷플릭스는 과연 이 문장에 반응할까요?

두 분의 경험 다음을 발췌해 가겠습니다.첨분

두 번째 분... 이 분은 이 경험을 두 번 하셨대요 그럼 제 경우까지 Korea만 총 4번.. 빈도가 당신들 너무 높아요.

넷플릭스 고객센터에는 첫 번째 소감을 보고 대동소이 경험자가 있다는 것을 다시 한 번 알려드렸으나 아직 이런 추가 공지는 듣지 못했습니다.넷플릭스... 이게 뭐예요?