옥션 해킹

얼마 전 욕도 불사하는 환급금 전화사기에 대한 글을 올렸다. 글을 읽어 보면 알 수 있지만 갑작스레 걸려온 전화를 확인해 보니 전화사기(보이스 피싱)였고 장난 삼아 응대를 해주니 "개새끼야"라는 욕설을 하면서 끊은 전화였다. 그런데 최근에 이런 사기성 전화가 자주왔다. 때로는 실명까지 알고 있어서 조금 의하한 생각이었는데 오늘 옥션에 방문한 뒤 이런 전화가 자주 오는 이유를 알 수 있었다.

옥션에 접속한 뒤 페이지 아래쪽으로 내려가면 알려드립니다. 해킹사고 관련 추가공지가 나타난다. 필독이라는 아이콘에서 알 수 있듯이 상당히 중요한 공지이다. 그러나 이처럼 중요한 공지를 팝업으로 띄우지 않고 페이지 아래쪽에 숨어있다는 것은 조금 문제가 있는 듯 싶었다. 아무튼 내용을 확인해 보면 얼마전 발생한 옥션의 해킹 사고에 대한 사과와 개인 정보 유출을 확인할 수 있는 세개의 링크가 표시된다.

• 회원의 개인정보 유출 확인
• 탈퇴회원의 개인정보 유출 확인
• 고객센터 문의

다른 사람도 비슷하겠지만 개인정보 유출에 대해 유난히 신경을 쓰는 편이다. 따라서 웹 상에서 사용하는 비밀번호, 일반 웹 사이트에서 사용하는 비밀번호, 옥션처럼 큰 쇼핑몰에서 사용하는 비밀번호, 금융권에서 사용하는 비밀번호를 구분해서 사용한다. PC방과 같은 공용 PC에서는 Autoruns을 이용해서 불필요하게 시작되는 프로세스를 죽이고 작업관리자로 의심나는 프로세스를 죽인다. 그리고 메가닥터와 같은 백신을 이용해서 바이러스 및 트로이 목마를 검사한 뒤 원격 데스크톱으로 사무실 컴퓨터에 접속해서 컴퓨터를 사용한다. 따라서 지금까지 개인정보가 유출된 적은 한번도 없었다.

그런데 오늘 옥션의 회개인정보 유출 확인을 해보자 이름, 옥션아이디, 주소, 전화번호와 구매 내역의 일부가 유출된 것으로 나타났다. 그동안 개인 정보가 유출되는 것을 꺼려 취했던 각종 조치가 옥션이라는 한 사이트에서 의해 완전히 무너진 것이다. 그러나 나처럼 이름, 주소, 전화번호만 유출된 것이 아니라 주민번호를 비롯한 민감한 정보까지 유출된 사람도 있다는 것이다. 작은 사이트도 아니고 국내 열린 시장에서 1, 2위를 다루는 업체에서 개인정보가 유툴됐다는 것은 작은 문제가 아니다.

유출된 부분은 이름, 아이디, 주소, 전화번호등이라고 한다. 조금 어이가 없다. 그토록 개인정보 유출에 대해 신경을 썼는데 이러 노력이 하루 아침에 무산이 됐다.

도사린 위험

그러나 더 큰 문제는 이런 위험이 아직도 곳곳에 도사리고 있다는 점이다. 먼저 문제점을 짚어보자.

1. 주민등록 번호
   우리나라의 많은 사이트들은 가입시 주민등록 번호를 요구한다. 그러나 쇼핑몰에서 주민등록 번호를 요구할 이유는 전혀없다. 쇼핑몰에서 미성년자에게 팔 수 없는 담배와 주류를 파는 것도 아니다. 특히 서점처럼 책만 파는 곳도 주민등록 번호를 요구한다. 심지어 인터넷의 작은 커뮤니티까지 주민번호를 요구한다. 개인에게 아주 중요한 주민등록 번호지만 이 주민등록 번호를 제대로 관리하는 곳은 거의 없다.

   더우기 이 개인정보를 팔아 먹는 곳도있다. 작년 리니지에서도 개인정보 유출이 있었다. 나도 확인해 보니 개인 정보가 유출됐다. 나는 어지간한 사이트에는 모두 가짜 주민등록 번호를 이용해서 등록한다. 가짜 주민등록 번호를 입력해서 사이트에 가입하는 것이 불법이라는 것은 안다. 그러나 이런 불법으로 보는 피해보다는 정상 주민등록 번호를 도난당했을 때 위험이 더 크기 때문이다. 그런데 주민등록 번호가 유출됐다. 실명인증을 하지 않는 사이트에는 가짜 주민등록번호를 입력한다. 따라서 실명인증을 하는 중대형 규모의 사이트에서 개인정보를 팔아먹은 것으로 보는 것이 타당하다.

2. 집단 소송
   옥션의 개인정보 유출 때문에 이미 여러 곳에서 집단 소송을 준비하고 있다. 어떤 곳은 소송 비용으로 3만원, 성공 보수 30%, 배상금 200만원으로 진행하고 있으며, 또 다른 곳은 소송 비용 무료, 진행비용 1~2만원, 성공보수 20%, 배상금 50만원으로 진행한다고 한다. 소송 비용 3만원을 받고 진행하는 곳은 이미 2'0000명이 넘게 신청한 상태라고 하니 옥션의 배상액은 이 사이트에만 400억에 달하는 셈이다. 아울러 변호사의 수임료로 수억대에 이를 것으로 보인다.

   그러나 이런 집단 소송이 능사는 아닌 것 같다는 생각이 든다. 소송이 승소할지 어떨지는 모른다. 개인의 모든 정보가 해킹된 상태이며 이미 여러 곳에서 피해를 입은 사용자가 등장한 상태이기 때문에 200백만원의 배상금도 많은 금액으로 보이지 않는다. 그러나 중요한 것은 이런 일은 또 발생할 수 있다는 점이다. 다음 두개의 글을 먼저 읽어 보기 바란다.

   • 행정안전부 G-PIN - 졸속 행정의 전형
   • 행정안전부 G-PIN 로그인 우회하기

   우리나라 행정부처 중 가장 큰 부처인 행정안전부에서 주민등록 번호를 대치하기 위한 G-PIN 사이트 역시 해킹으로 부터 완전히 무방비한 상태라는 점이다. 그런데 정부부처에는 이런 사이트가 차고 넘친다. 인터넷에도 이런 사이트는 정말 많다.

3. 옥션의 대응
   일단 사운을 걸고 해킹 사실을 공개한 옥션에는 일단 찬사를 보낸다. 사실을 숨기고 쉬쉬하다가 더 큰 피해를 입을 수 있는 상황에서 옥션의 대응은 아주 적절했다고 본다. 또 "옥션도 피해자"라는 옥션 주장 역시 타당성이 있다고 본다. 따라서 단순히 옥션의 잘못으로 치부하는 것이 능사는 아니라고 본다. 우리가 옥션 사태로 꼭 얻어내야 하는 것은 바로 편의를 위해 보안을 희생하는 사고를 바꾸는 것이다.

4. 편의를 위해 보안을 희생
   일반적으로 보안을 위해 편의를 희생한다. 그러나 우리나라에서는 편의를 위해 보안을 희생하곤 한다.

   꽤 오래 전(1998년)의 일이다. 요즘은 게임 분야 웹진에서 거의 선두를 달리고 있는 업체의 웹 사이트를 직접 구축해 준적이 있다. 웹 사이트를 구축하면서 가장 신경을 썼던 부분은 바로 개인 정보였다. 그래서 내가 제안한 방법은 암호와 주민등록 번호는 단방향 암호화 해서 저장하고 암호와 주민등록 번호의 검사는 암호와 주민등록 번호를 단방향 암호화 한 뒤 비교할 것을 제안했다.

   이렇게 하면 암호를 복구할 때 문제가 발생한다. 그러나 암호의 복구는 암호를 초기화해서 전송하면 된다. 주민등록번호의 검사는 방문자가 입력한 주민등록번호를 암호화 한 뒤 저장한 암호화된 문자열과 비교하면 된다. 따라서 이런 방법은 아무런 문제가 없었다. 그러나 일언지하에 거절당했다. 그 이유는 "암호를 복구하는 방법이 불편하다"는 것이었다. 사용자를 찾기 위해 전자우편을 이용하는 것보다는 전화로 알려 주는 것이 더 편하다는 것이었다.

   참고로 옥션에서 암호와 주민등록번호를 단뱡향 암호화해서 저장했다면 최소한 암호와 주민등록번호처럼 중요한 정보를 지킬 수 있었다.

소잃고 외양간 고치는 옥션

이미 알고 있겠지만 옥션에서는 암호에 특수문자를 사용할 수 없었다. 그래서 암호가 해킹된 뒤 주로 사용하는 암호로 바꾸려고 했지만 바꿀 수 없었다. 그 이유는 암호에 특수문자를 입력할 수 없기 때문이었다. 또 옥션은 지금까지 암호와 주민등록번호를 일반 텍스트로 저장해왔다. 그래서 전자우편등을 이용해서 암호를 알아낼 수 있었다.

그러나 오늘 옥션에 접속해서 확인해 보니 일단 암호에 특수문자를 사용할 수 있도록 바뀌었다. 보안상 위험때문에 전자우편을 통한 암호의 복구는 지원하지 않았다. 마지막으로 암호를 일반 텍스트로 저장하지 않는 듯 휴대폰으로 인증한 뒤 바로 암호를 바꿀 수 있도록 바뀌어 있었다.

소잃어도 보안엔 관심이 없는 행안부

나는 행정안전부의 G-PIN에 대한 글을 두개 올렸다. 하나는 행정안전부 G-PIN 사이트에서 가입할 때는 임호에 특수문자를 입력할 수 있지만 로그인할 때는 특수문자를 입력할 수 없는 문제를 지적한 글이고 또 하나는 이러한 로그인 문제를 우회할 수 있도록 한 글이다.

이 글을 올린 뒤 행정안전부에 G-PIN 사이트의 문제점을 적은 메일을 보냈다. 그러나 아직까지 이 문제에 대해 아무런 답변이 없다. 아울러 아직까지 이 문제는 고쳐지지 않고 있다. 이 문제를 처음제보한 전뇌소녀님에 따르면 로그인을 하기위해 행정안전부 G-PIN 사이트에 민원을 제시했지만 내가 로그인을 우회하는 방법을 올릴 때까지 아무런 답변이 없었다고 한다.

믿을 수 없는 행정안전부

아직도 정신를 차리지 못하고 있는 행정안전부. 가입시 각종 ActiveX를 설치한다. 어렇게 설치한 ActiveX 중에는 세벌식에 대한 고려가 없어서 한영 전환이 되지 못하게 하는 ActiveX도 설치된다.

그런데 암호는 일반 텍스트로 저장된다. 옥션 사태에서 알 수 있듯이 암호나 주민등록번호를 단방향 암호화해서 저장하지 않는 가입하지 않는 것이 가장 좋다. 행정안전부 G-PIN 사이트도 반드시 탈퇴해야 하는 사이트 중 하나이다.

옥션 사태로 우리가 반드시 얻어야 하는 것

옥션 사태는 이제 일파 만파로 번지고 있다. 지난 뉴스추적에 따르면 옥션에서 개인 정보가 유출된 사람의 수는 1000만명이 아니라 1800만명이라고 한다. 옥션을 해킹한 해커는 잡혔지만 이렇게 유출된 "개인 정보는 중국 각지로 퍼지고 있다"고 한다. 더 큰 문제는 이 정보를 이용해서 개인에 대한 자세한 정보를 빼낸 뒤 자식이 납치됐다는 보이스 피싱이 증가하고 있다고 한다.

그러나 가장 중요한 문제는 이런 문제는 앞으로도 계속해서 발생할 수 있다는 점이다. 이런 문제 때문에 행정안전부에서는 G-PIN이라는 제도를 도입하고 있다. 그러나 주민등록번호보다 보안상 더 위험한 것은 행정안전부의 G-PIN이다. 행정안전부 G-PIN 로그인 우회하기라는 글에서 알 수 있듯이 간단히 스크립트를 우회할 수 있다. 또 이런 문제에 대해 수정을 요청해도 답장조차 하지 않는 곳이 행정 안전부이기 때문이다.

옥션 사태와 같은 문제가 발생하지 않기 위해서는 주민등록번호와 같은 개인의 중요한 정보는 인터넷 사이트처럼 보안이 취약한 사이트에서는 아예 요구하지 못하도록 법제화해야 한다. 옥션과 같은 경매 사이트에서 주민등록번호를 요구할 이유는 아무것도 없다.

두번째로 법제화 전까지는 최소한 암호와 주민등록번호는 단방향 암호화해서 저장해야 한다. 그래야 해킹을 당한다고 해도 최소한 개인의 가장 중요한 정보인 암호와 주민등록번호는 보호할 수 있기 때문이다.

마지막으로 편의를 위해 보안을 희생하는 우리의 사고를 바꾸어야 한다는 점이다. 조금 다른 문제일 수 있지만 숭례문 화재도 따지고 보면 편의를 위해 보안을 희생해서 발생한 문제이기도 하다.

글쓴이

운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.