인터넷 방송인 '우왁굳'의 팬카페 연동 서비스 '왁스코드'가 네이버, 숲(SOOP)의 약관을 다수 위반하였다는 제보가 접수되었다.

‘왁스코드’는 디스코드에서 명칭을 따온 프로그램으로, 인터넷 방송인 '우왁굳'과 관련 방송인이 채팅을 남길 경우 해당 채팅 내용을 자동으로 카페에 게시글로 작성하고, 해당 게시글에 달린 댓글을 방송인에게 전달해주는 프로그램이다.

왁타버스에서 다수의 서비스 개발 및 관리에 참여한 한 왁타버스 작업자는 기자에게 "왁스코드가 네이버, 숲의 내부 API를 사용하였다"고 밝혔다.

익명을 요구한 한 왁타버스 작업자는 "왁스코드는 네이버 내부 API를 리버스 엔지니어링하여 사용하였다"고 밝혔다.

그는 “네이버의 bvsd(로그인 사용자가 봇이 아닌지 확인하는 코드) 작동 방식을 우회하여, 봇이 알아서 네이버에 로그인하여 글을 작성할 수 있도록 만든 것으로 안다”고 설명했다.

그는 “설령 bvsd을 우회하지 않았더라도, 글을 자동으로 쓰게하려면 NID_SES(로그인 세션 식별번호) 값을 미리 추출하여 자동 로그인되도록 한 뒤 네이버 카페 내부 API를 썼을 것”이라고 덧붙였다.

네이버 이용약관에 따르면, 네이버의 사전 허락 없이 봇과 같이 자동화된 수단을 통해 네이버 서비스에 로그인하거나 네이버 서비스 상에 게시물을 게재하는 것은 금지된다.

네이버의 이용약관 뿐만 아니라, 숲(SOOP)의 이용약관도 일부 위반할 수 있는 내용이 있어 보인다.

왁스코드 개발진 측에서 오픈 소스 공유 플랫폼 'Github'에 게시한 코드를 확인한 결과, 숲(SOOP)에서 공식적으로 지원하고 있지 않은 API를 사용하고 있지 않은 것으로 보인다.

숲에서 공개한 API 링크는 'openapi.sooplive.co.kr'를 통해 사용할 수 있는데, 왁스코드 소스코드에는 일반 이용자들이 접속하는 'login.sooplive.co.kr'나 'live.sooplive.co.kr' 링크가 사용되었다.

이들은 왁스코드에 봇이 숲 로그인 · 로그아웃 기능뿐만 아니라 채팅 참여까지 가능하도록 설계한 것으로 보인다.

공개되지 않은 API를 이용한 자동화는 모두 비정상적 접근으로, 숲의 이용약관 위반으로 취급될 수 있다.

여러 이용약관 위반을 이유로 기술적 조치를 할 것을 우려한 개발진이, 이를 우회하기 위한 조치를 취했다고 관계자는 설명했다.

이 관계자는 "IP 차단 우회를 위해 서버 몇십 대, IP주소 몇천 개를 모아두고 차단되면 다른 IP를 사용하였다"며 "네이버 부분은 코드가 숨겨져 있었지만, 디스코드 레이트리밋(API 요청 제한) 우회 부분은 확인했다"고 밝혔다.

디스코드는 이용약관을 통해 기술 조치 우회와 API 속도 및 사용 제한 우회를 금지하고 있다.

네이버도 이용약관을 통해 "IP를 지속적으로 바꿔가며 접속하는 행위를 시도해선 안된다"며 우회 조치도 명확히 금지하고 있다.

유정호 기자 (yjhno123@naver.com)