옥션 해킹
옥션에 접속한 뒤 페이지 아래쪽으로 내려가면 알려드립니다. 해킹사고 관련 추가공지가 나타난다. 필독이라는 아이콘에서 알 수 있듯이 상당히 중요한 공지이다. 그러나 이처럼 중요한 공지를 팝업으로 띄우지 않고 페이지 아래쪽에 숨어있다는 것은 조금 문제가 있는 듯 싶었다. 아무튼 내용을 확인해 보면 얼마전 발생한 옥션의 해킹 사고에 대한 사과와 개인 정보 유출을 확인할 수 있는 세개의 링크가 표시된다.
옥션 해킹
얼마 전 욕도 불사하는 환급금 전화사기에 대한 글을 올렸다. 글을 읽어 보면 알 수 있지만 갑작스레 걸려온 전화를 확인해 보니 전화사기(보이스 피싱)였고 장난 삼아 응대를 해주니 "개새끼야"라는 욕설을 하면서 끊은 전화였다. 그런데 최근에 이런 사기성 전화가 자주왔다. 때로는 실명까지 알고 있어서 조금 의하한 생각이었는데 오늘 옥션에 방문한 뒤 이런 전화가 자주 오는 이유를 알 수 있었다.
옥션에 접속한 뒤 페이지 아래쪽으로 내려가면 알려드립니다. 해킹사고 관련 추가공지가 나타난다. 필독이라는 아이콘에서 알 수 있듯이 상당히 중요한 공지이다. 그러나 이처럼 중요한 공지를 팝업으로 띄우지 않고 페이지 아래쪽에 숨어있다는 것은 조금 문제가 있는 듯 싶었다. 아무튼 내용을 확인해 보면 얼마전 발생한 옥션의 해킹 사고에 대한 사과와 개인 정보 유출을 확인할 수 있는 세개의 링크가 표시된다.
다른 사람도 비슷하겠지만 개인정보 유출에 대해 유난히 신경을 쓰는 편이다. 따라서 웹 상에서 사용하는 비밀번호, 일반 웹 사이트에서 사용하는 비밀번호, 옥션처럼 큰 쇼핑몰에서 사용하는 비밀번호, 금융권에서 사용하는 비밀번호를 구분해서 사용한다. PC방과 같은 공용 PC에서는 Autoruns을 이용해서 불필요하게 시작되는 프로세스를 죽이고 작업관리자로 의심나는 프로세스를 죽인다. 그리고 메가닥터와 같은 백신을 이용해서 바이러스 및 트로이 목마를 검사한 뒤 원격 데스크톱으로 사무실 컴퓨터에 접속해서 컴퓨터를 사용한다. 따라서 지금까지 개인정보가 유출된 적은 한번도 없었다.
그런데 오늘 옥션의 회개인정보 유출 확인을 해보자 이름, 옥션아이디, 주소, 전화번호와 구매 내역의 일부가 유출된 것으로 나타났다. 그동안 개인 정보가 유출되는 것을 꺼려 취했던 각종 조치가 옥션이라는 한 사이트에서 의해 완전히 무너진 것이다. 그러나 나처럼 이름, 주소, 전화번호만 유출된 것이 아니라 주민번호를 비롯한 민감한 정보까지 유출된 사람도 있다는 것이다. 작은 사이트도 아니고 국내 열린 시장에서 1, 2위를 다루는 업체에서 개인정보가 유툴됐다는 것은 작은 문제가 아니다.
유출된 부분은 이름, 아이디, 주소, 전화번호등이라고 한다. 조금 어이가 없다. 그토록 개인정보 유출에 대해 신경을 썼는데 이러 노력이 하루 아침에 무산이 됐다.
도사린 위험
그러나 더 큰 문제는 이런 위험이 아직도 곳곳에 도사리고 있다는 점이다. 먼저 문제점을 짚어보자.
주민등록 번호
우리나라의 많은 사이트들은 가입시 주민등록 번호를 요구한다. 그러나 쇼핑몰에서 주민등록 번호를 요구할 이유는 전혀없다. 쇼핑몰에서 미성년자에게 팔 수 없는 담배와 주류를 파는 것도 아니다. 특히 서점처럼 책만 파는 곳도 주민등록 번호를 요구한다. 심지어 인터넷의 작은 커뮤니티까지 주민번호를 요구한다. 개인에게 아주 중요한 주민등록 번호지만 이 주민등록 번호를 제대로 관리하는 곳은 거의 없다.더우기 이 개인정보를 팔아 먹는 곳도있다. 작년 리니지에서도 개인정보 유출이 있었다. 나도 확인해 보니 개인 정보가 유출됐다. 나는 어지간한 사이트에는 모두 가짜 주민등록 번호를 이용해서 등록한다. 가짜 주민등록 번호를 입력해서 사이트에 가입하는 것이 불법이라는 것은 안다. 그러나 이런 불법으로 보는 피해보다는 정상 주민등록 번호를 도난당했을 때 위험이 더 크기 때문이다. 그런데 주민등록 번호가 유출됐다. 실명인증을 하지 않는 사이트에는 가짜 주민등록번호를 입력한다. 따라서 실명인증을 하는 중대형 규모의 사이트에서 개인정보를 팔아먹은 것으로 보는 것이 타당하다.
집단 소송
옥션의 개인정보 유출 때문에 이미 여러 곳에서 집단 소송을 준비하고 있다. 어떤 곳은 소송 비용으로 3만원, 성공 보수 30%, 배상금 200만원으로 진행하고 있으며, 또 다른 곳은 소송 비용 무료, 진행비용 1~2만원, 성공보수 20%, 배상금 50만원으로 진행한다고 한다. 소송 비용 3만원을 받고 진행하는 곳은 이미 2'0000명이 넘게 신청한 상태라고 하니 옥션의 배상액은 이 사이트에만 400억에 달하는 셈이다. 아울러 변호사의 수임료로 수억대에 이를 것으로 보인다.그러나 이런 집단 소송이 능사는 아닌 것 같다는 생각이 든다. 소송이 승소할지 어떨지는 모른다. 개인의 모든 정보가 해킹된 상태이며 이미 여러 곳에서 피해를 입은 사용자가 등장한 상태이기 때문에 200백만원의 배상금도 많은 금액으로 보이지 않는다. 그러나 중요한 것은 이런 일은 또 발생할 수 있다는 점이다. 다음 두개의 글을 먼저 읽어 보기 바란다.
우리나라 행정부처 중 가장 큰 부처인 행정안전부에서 주민등록 번호를 대치하기 위한 G-PIN 사이트 역시 해킹으로 부터 완전히 무방비한 상태라는 점이다. 그런데 정부부처에는 이런 사이트가 차고 넘친다. 인터넷에도 이런 사이트는 정말 많다.
옥션의 대응
일단 사운을 걸고 해킹 사실을 공개한 옥션에는 일단 찬사를 보낸다. 사실을 숨기고 쉬쉬하다가 더 큰 피해를 입을 수 있는 상황에서 옥션의 대응은 아주 적절했다고 본다. 또 "옥션도 피해자"라는 옥션 주장 역시 타당성이 있다고 본다. 따라서 단순히 옥션의 잘못으로 치부하는 것이 능사는 아니라고 본다. 우리가 옥션 사태로 꼭 얻어내야 하는 것은 바로 편의를 위해 보안을 희생하는 사고를 바꾸는 것이다.편의를 위해 보안을 희생
일반적으로 보안을 위해 편의를 희생한다. 그러나 우리나라에서는 편의를 위해 보안을 희생하곤 한다.꽤 오래 전(1998년)의 일이다. 요즘은 게임 분야 웹진에서 거의 선두를 달리고 있는 업체의 웹 사이트를 직접 구축해 준적이 있다. 웹 사이트를 구축하면서 가장 신경을 썼던 부분은 바로 개인 정보였다. 그래서 내가 제안한 방법은 암호와 주민등록 번호는 단방향 암호화 해서 저장하고 암호와 주민등록 번호의 검사는 암호와 주민등록 번호를 단방향 암호화 한 뒤 비교할 것을 제안했다.
이렇게 하면 암호를 복구할 때 문제가 발생한다. 그러나 암호의 복구는 암호를 초기화해서 전송하면 된다. 주민등록번호의 검사는 방문자가 입력한 주민등록번호를 암호화 한 뒤 저장한 암호화된 문자열과 비교하면 된다. 따라서 이런 방법은 아무런 문제가 없었다. 그러나 일언지하에 거절당했다. 그 이유는 "암호를 복구하는 방법이 불편하다"는 것이었다. 사용자를 찾기 위해 전자우편을 이용하는 것보다는 전화로 알려 주는 것이 더 편하다는 것이었다.
참고로 옥션에서 암호와 주민등록번호를 단뱡향 암호화해서 저장했다면 최소한 암호와 주민등록번호처럼 중요한 정보를 지킬 수 있었다.
소잃고 외양간 고치는 옥션
이미 알고 있겠지만 옥션에서는 암호에 특수문자를 사용할 수 없었다. 그래서 암호가 해킹된 뒤 주로 사용하는 암호로 바꾸려고 했지만 바꿀 수 없었다. 그 이유는 암호에 특수문자를 입력할 수 없기 때문이었다. 또 옥션은 지금까지 암호와 주민등록번호를 일반 텍스트로 저장해왔다. 그래서 전자우편등을 이용해서 암호를 알아낼 수 있었다.
그러나 오늘 옥션에 접속해서 확인해 보니 일단 암호에 특수문자를 사용할 수 있도록 바뀌었다. 보안상 위험때문에 전자우편을 통한 암호의 복구는 지원하지 않았다. 마지막으로 암호를 일반 텍스트로 저장하지 않는 듯 휴대폰으로 인증한 뒤 바로 암호를 바꿀 수 있도록 바뀌어 있었다.
소잃어도 보안엔 관심이 없는 행안부
나는 행정안전부의 G-PIN에 대한 글을 두개 올렸다. 하나는 행정안전부 G-PIN 사이트에서 가입할 때는 임호에 특수문자를 입력할 수 있지만 로그인할 때는 특수문자를 입력할 수 없는 문제를 지적한 글이고 또 하나는 이러한 로그인 문제를 우회할 수 있도록 한 글이다.
이 글을 올린 뒤 행정안전부에 G-PIN 사이트의 문제점을 적은 메일을 보냈다. 그러나 아직까지 이 문제에 대해 아무런 답변이 없다. 아울러 아직까지 이 문제는 고쳐지지 않고 있다. 이 문제를 처음제보한 전뇌소녀님에 따르면 로그인을 하기위해 행정안전부 G-PIN 사이트에 민원을 제시했지만 내가 로그인을 우회하는 방법을 올릴 때까지 아무런 답변이 없었다고 한다.
아직도 정신를 차리지 못하고 있는 행정안전부. 가입시 각종 ActiveX를 설치한다. 어렇게 설치한 ActiveX 중에는 세벌식에 대한 고려가 없어서 한영 전환이 되지 못하게 하는 ActiveX도 설치된다.
그런데 암호는 일반 텍스트로 저장된다. 옥션 사태에서 알 수 있듯이 암호나 주민등록번호를 단방향 암호화해서 저장하지 않는 가입하지 않는 것이 가장 좋다. 행정안전부 G-PIN 사이트도 반드시 탈퇴해야 하는 사이트 중 하나이다.
옥션 사태로 우리가 반드시 얻어야 하는 것
옥션 사태는 이제 일파 만파로 번지고 있다. 지난 뉴스추적에 따르면 옥션에서 개인 정보가 유출된 사람의 수는 1000만명이 아니라 1800만명이라고 한다. 옥션을 해킹한 해커는 잡혔지만 이렇게 유출된 "개인 정보는 중국 각지로 퍼지고 있다"고 한다. 더 큰 문제는 이 정보를 이용해서 개인에 대한 자세한 정보를 빼낸 뒤 자식이 납치됐다는 보이스 피싱이 증가하고 있다고 한다.
그러나 가장 중요한 문제는 이런 문제는 앞으로도 계속해서 발생할 수 있다는 점이다. 이런 문제 때문에 행정안전부에서는 G-PIN이라는 제도를 도입하고 있다. 그러나 주민등록번호보다 보안상 더 위험한 것은 행정안전부의 G-PIN이다. 행정안전부 G-PIN 로그인 우회하기라는 글에서 알 수 있듯이 간단히 스크립트를 우회할 수 있다. 또 이런 문제에 대해 수정을 요청해도 답장조차 하지 않는 곳이 행정 안전부이기 때문이다.
옥션 사태와 같은 문제가 발생하지 않기 위해서는 주민등록번호와 같은 개인의 중요한 정보는 인터넷 사이트처럼 보안이 취약한 사이트에서는 아예 요구하지 못하도록 법제화해야 한다. 옥션과 같은 경매 사이트에서 주민등록번호를 요구할 이유는 아무것도 없다.
두번째로 법제화 전까지는 최소한 암호와 주민등록번호는 단방향 암호화해서 저장해야 한다. 그래야 해킹을 당한다고 해도 최소한 개인의 가장 중요한 정보인 암호와 주민등록번호는 보호할 수 있기 때문이다.
마지막으로 편의를 위해 보안을 희생하는 우리의 사고를 바꾸어야 한다는 점이다. 조금 다른 문제일 수 있지만 숭례문 화재도 따지고 보면 편의를 위해 보안을 희생해서 발생한 문제이기도 하다.
Trackback
Trackback Address :: https://offree.net/trackback/1702
-
Subject : 한번쯤 생각해볼만한 옥션의 이상한 PC보안 캠페인
Tracked from 토닥이랑! 2010/03/30 12:03 del.이베이 옥션의 모든 고객데이터가 유출되었다는 기사가 몇일전에 나왔습니다. (꽤 오래된 이야기입니다만, 처음 알려진것과 달리 일부 고객유출이 아니라 모든 고객 데이타 유출이였다네요.)?
Comments
-
석호필 2008/05/09 11:50
어느 해커에 따르면 우리나라는 거의 보안의 무인지대라고 하더군요.
엘쥐텔레콤같은 IT대기업은 물론이고 은행들도 뻥뻥 다 뚫린다고 합니다.
그래서 선의의 해커(?)가 웹망을 뚫은 후 해당 기업에 전화를 해서 당신네 회사는 이러저러한 보안이 취약하니 대비하시라고 하면, 언론에 이사실을 새나가면 해커를 고소한다고 오히려 협박한다네요.
사실 이번 옥션의 해킹사태도 옥션측에서 자발적으로 밝혔기 때문에 알려진거지, 대부분의 기업들이 해킹을 당하고고 쉬쉬하는 사태가 아주 많다는 군요.
미국의 MS는 공객적으로 자사의 보안을 해킹해도 좋다고 합니다. 단 연구목적에 한해서...
우리나라도 무늬만 IT강국에서 벗어나야 할텐데요. -
-
-
-
희주 2008/05/09 22:58
사실 이러한 전반적인 보안인식은 교육의 문제도 큽니다..
중요하다는것을 모르니깐 그렇죠.
사실 젊은 층에서라도 이러한 문제인식이 잘 되어야 하는데 알려주는데가 없으니 알리도 없고 알려고 하지도 않죠..
이러한 교육이 학교에서라도 이루어져야 하는데 그렇지 못합니다.
제가 전공이 중등교육이고 과목은 컴퓨터입니다.
현 중등교육에서 컴퓨터교육의 실태는 한숨밖에 안나옵니다. 주2시간 교육에 그것마저 선택과목중 하나입니다. 교과내용은 초딩도 다 알만한 인터넷사용법, 오피스사용법(그것도 MS제품들 그것도 언제적 버전인지..)이 주를 이룹니다. 교과서엔 해킹과 저작권침해는 나쁘다라고만 나오고 뭐 어떻게 개인정보를 보호하는지는 알려주지도 않습니다. 그러다 보니 뭐 교육시간은 앞에서 선생떠드는 시간 20분, 나머진 인터넷시켜주는시간입니다.
그리고 대부분의 학교에서 컴퓨터를 가르치는 교사는 전공자가 아닌 다른 과목을 가르치던 교사가 연수 몇시간 받고 자격을 얻는것이 대부분입니다. 그분들도 컴퓨터에 대해서 잘 모르시더군요.
교사수준이 이러한데 교육이 얼마나 잘되겠습니까?
작년 실습나가서 말로만 듣던것보다 더 심한 중등컴퓨터교육의 실상을 보고 경악을 했습니다. 가르치는것도 잘못되었고 시스템도 잘못되었습니다.
말로만 IT강국이지 국민들이 제대로 컴퓨터 활용도 못하고 보안의식도 zero인 현실에 뭘더 바라겠습니까만은.. (특히 윗분들이 더욱..) 할말은 많지만 댓글로 모든것을 말할수는 없기에.. -
Prime's 2008/05/10 00:09
솔찍히 말해서...
어떤 사이트들은..
특히.. 제가 직접적으로 언급하지는 않겠지만...
모 게임사이트는. 비밀번호를 8자리이상 지정하지 못하더군요..
물론, 그 게임의 사이버머니가 다 텰려서 지금은 접은 상태입니다..
참고로 지금 제가 주로 쓰는 비밀번호는 숫자 한개를 포함한 비(非)명사한단어 + 명사 한단어 입니다.
총 12자리더군요.. 그래도 안심이 않되긴 합니다만.. 8자리보단 비밀번호가 뚫린다는 측면에서는 안전하겠지요..
..포스트와는 상관없을수도 있는데. 갑자기 울컥해서 한줄 남기고 갑니다.. -
-
usansf 2008/05/12 02:45
행정 안전부 같은 내용은, 매스컴을 타면 상황에 따라서 달라 질수도 있겠네요...
------------------------------------
한국만큼 주민등록에 미친 나라는 없습니다.
회원 가입하는데있어서 주민등록 번호는 단순, 실명인증만으로도 충분할것 같은데
가입시 반드시 입력해야 하는 사이트는 참 많습니다.
DB 에 저장후 어떻게 관리는 하는지는 모르겠지만.
그 정보를 삭제를 한다면 좋을련만... 가지고 있는게 문제 이니..
그리곤, 해킹되면 "어이쿠!" 가져 가세요~~ 하곤 반복이 되고.
대행이도, 몇몇 사이트는 주민등록 번호가 필요없는 사이트가 있지만, 그 수가 너무 적다는게 안타깝습니다.
이놈의 법부터 바뀌어야 한다고 생각이 드네요
외국인들도 자신의 주민등록 번호도 안 외우고 다니고, 회원가입시에도 필요없는데
유독 한국만, 우물안 개구리 같아 답답합니다. 바꿔야지 하면서도 안바뀌고 쯧...... -
usansf 2008/05/12 02:51
몇주전엔 와우라는 게임이 로그인 페이지에서 SSL 을 사용하지 않아서 문제가 있었고
어디 페이지인가? 소스 보기를 하면 개인정보가 바로 나와서 계속 문제가 되고 있습니다만
너무 신경을 안쓰는것 같아요, 옥션같은 사태가 나야 외양간을 고치고...
그런다고 소가 돌아오는것도 아닌데 (사용자들....) -
usansf 2008/05/13 04:39
오늘은 엠파스의 모 사이트 한곳이 잠깐 해킹이 됬다가 복구 된적도 있습죠...
그리곤, 3RXXX 로 이동...
만약, 인터넷을 없에고 싶은 나라를 뽑으라면 중국을 선택하고 싶네요,
방식은 인트라넷 만약 외부 접속을 시도하면... 엄중처벌 (처벌 방식은 음...)
중국이 싫어요!!!
Facebook