안드로이드 개발자 모임 게시판
(글 수 7,978)
imei정보 또는 휴대폰번호 개발자의 서버에 저장해두는 것은 법적으로 문제가 생길 수 있는 소지를 가지고 있다고 알고있습니다
그렇다면
위 정보들을 md5() 등의 메소드를 이용해서 복호화 할 수 없는 형태의 문자열로 사용자의 휴대폰(단말기/클라이언트)에서 작업 후, 그 문자열(복호화 할 수 없게되어버린 데이터, 즉 아무 의미를 갖지 않는 문자열)을 개발자의 서버에 전송하는 것은 법적으로 문제 없을까요?
위와같이 만들어진 문자열을 디바이스에 저장하고, 서버에 보내어 유저를 구분할 고유한 아이디로써 사용됩니다
코드로 표현하자면 아래와같습니다.
sendDataToServer(md5("010-****-****"));
즉 실제 데이터(IMEI, 휴대폰번호 등..)는 네트워크를 타지 않고, 사용자 단말기의 메모리 상에서만 움직입니다.
그리고 복호화 할 수 없게 된 상태의 문자열이 되어서야 그때 네트워크를 타고 서버로 전송됩니다.
2012.02.13 00:06:21
같은 문제로 고민 하고 있습니다..
SSL은 문제가 아닌데 서버가 털리면 문제라
서버가 털려도 문제 없으려면 단방향 해슁이 답일 것 같은데 알려진 알고리즘으로는 brute force attack 으로 쉽게 뚤리고..
번호에 추가 정보를 포함해서 가공한 후 해쉬 값으로 저장 하는 방항을 생각해 보고 있는데요. 조금 더 안전하겠지만 알고리즘이 노출되면 ㅠㅠ
서버쪽은 잘 모르다보니 실무에서는 어떻게 처리 하고 있는지도 궁금 하더군요.
아마 전화번호 기반 앱들은 사용자의 동의를 얻고 서버에서 번호를 다 가지고 있을 겁니다.
제가 알기론 ip 같은것도 다 약관 만들어서 넣어야 하는 걸로 알고 있어요..
그리고 ssl도 써야 하구요..
하지만~ 지키는데가 얼마나 있을지..저도 하고 싶은데. 그냥 해쉬로 만들어서 통계만 봅니다..;;
그리고 숫자(폰번호) 같은 것은 해쉬 해봐야 소용없습니다. 몇초면 풀림..