보안에는 관심없는 기업, 루센

로그인도 안되는 루센

이지윙스를 설치할 때는 인증코드를 입력해야 한다. 또 인증코드는 루센 홈페이지에 로그인해야 알 수 있기 때문에 일단 루센 홈페이지에서 로그인을 시도했다. 그런데 아무리 로그인을 시도해도 "처리할 수 없는 단어가 있다"면 로그인이 되지 않았다. 처음에는 암호가 틀린 것으로 생각하고 암호를 재전송 받았다. 그리고 왜 로그인이 되지 않는지 그 이유를 알 수 있었다. 암호에 특수문자가 포함되어 있기 때문이다.

목차

로그인도 안되는 루센

처리할 수 없는 단어가 있습니다.
다시 입력해 주세요.

문: 과연 어떤 일이 있었기 때문에 이런 일이 발생한 것일까?
답: 암호에 특수문자가 포함되어 있기 때문에...

조금 우습지만 사실이다. 지난 토요일에는 전남/광주 지역 블로거 모임에 다녔왔다. 전남/광주 지역에서는 두 주마다 한번씩 블로거 모임이 있기 때문이다. 또 11월 셋째주에 시제가 있기 때문에 겸사 겸사 다녀왔다. 도참 프로젝트를 진행하고 있는 mepay님이 사업장을 확장 이전했다고 해서 mepay님의 사업장까지 갔다 오려고 하니 네비게이이터가 필요했다. 에 Windows XP를 깔고 를 설치해 두었지만 이번에 로 운영체제를 바꿨기 때문에 를 다시 설치해야했다.

를 설치할 때는 인증코드를 입력해야 한다. 또 인증코드는 루센 홈페이지에 로그인해야 알 수 있기 때문에 일단 루센 홈페이지에서 로그인을 시도했다. 그런데 아무리 로그인을 시도해도 "처리할 수 없는 단어가 있다"면 로그인이 되지 않았다. 처음에는 암호가 틀린 것으로 생각하고 암호를 재전송 받았다. 그리고 왜 로그인이 되지 않는지 그 이유를 알 수 있었다. 암호에 특수문자가 포함되어 있기 때문이다.

암호를 평문으로 저장하는 루센

암호를 평문으로 저장하는 루센

옥션에서 1800만명의 개인 정보가 유출됐다. 그러나 설사 이렇게 개인 정보가 유출됐다고 해도 암호와 주민 번호를 단방향 암호화해서 저장했다면 유출 피해는 지금보다 훨씬 줄일 수 있었다. 그러나 주민 번호와 암호를 평문으로 저장했기 때문에 그 피해는 더 커졌다.

행정안전부에서 주민등록증을 대신하도록 만든 사이트가 있다. 이 사이트도 몇 가지 문제점이 있었다. 먼저 가입할 때는 암호로 특수 문자를 사용해도 되지만 암호에 특수 문자가 포함되면 로그인이 되지 않는다. 따라서 암호에 특수 문자를 입력하면 로그인도 하지 못하기 때문에 암호를 바꿀 수 없다. 또 입력한 암호를 평문으로 저장한다. 옥션에서 무려 1800만명이나 되는 사용자 정보가 유출됐고 이문제가 사회 문제로 대두됐지만 명색이 에서 만든 사이트라는 은 옥션의 이러한 교훈을 하나도 배우지 못했다.

그런데 루센도 똑 같았다. 암호에 특수 문자가 포함되면 "처리할 수 없는 단어가 있다"며 로그인이 되지 않는다. 더 큰 문제는 루센 역시 암호를 평문으로 저장한다는 점이다. 그렇기 때문에 암호 찾기를 하면 암호를 초기화해서 보내는 것이 아니라 친절하게 입력한 암호를 알려 준다. 이런 사이트들은 일단 해킹되면 모든 사용자 정보와 암호까지 노출될 위험이 있다.

올초 옥션의 해킹 사건이 발생했다. 어설프게 관리한 사용자 정보 때문에 수 없이 많은 사람들의 개인 정보가 유출됐다. 아울러 개인 정보 유출에 대한 많은 소송이 진행 중이다. 상황이 이런데도 우리나라 기업들은 "옥션 사태를 다른 동네 불구경하듯 보고 있다"는 점이다. 사용자의 암호를 단방향 암호화해서 저장하면 해킹이라는 최악의 사태에도 중요한 사용자 정보는 보호할 수 있다. 그러나 루센처럼 평문으로 저장하면 모든 사용자 정보가 단한번의 해킹을 통해 유출될 수 있다는 점이다.

루센에서 암호를 평문으로 저장한다는 것을 아는 순간부터 이지윙스를 구입한 것을 후회하고 있다. 이지윙스를 사용하는 한 믿을 수 없는 업체인 루센에 로그인해야 하기 때문이다. 이것은 개인의 중요한 정보가 단한번의 해킹을 통해 언제든지 유출될 수 있다는 것을 의미하기 때문이다.

남은 이야기

로그인을 할 수 없기 때문에 아침부터 '루센 고객센터'에 전화를 하고 있다. 전화하고 ARS 안내대로 가입시 사용한 전화 번호를 입력했다. 그러면 항상 바뻐서 연결이 되지 않는다는 메시지가 뜬다. 그리고 나오는 메시지는 홈페이지의 콜백 서비스를 이용하라는 메시지이다. 전화 통화를 할 수 없어서 홈페이지의 콜백 서비스를 이용하기로 했다. 그런데 콜백 서비스를 신청하면 다음 그림과 같은 메시지가 나타난다. 도대체 고객센터에 어떻게 연락하라는 것인지 알 수가 없다. 참고로 QNA는 로그인을 해야 이용할 수 있다.

공사중인 콜백 서비스

전화라도 끊어지지 않으면 전화라도 끝까지 잡고 있겠지만 고객 센터가 바쁘다고 전화가 끊어진다. 이 작업을 반복하는 것도 힘든데 콜백 서비스는 공사 중이라고 한다. QNA를 이용하고 싶지만 QNA는 로그인을 해야 이용이 가능하다.

관련 글타래

글쓴이
author image
운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.
2008/11/17 11:17 2008/11/17 11:17
오늘의 글
인기있는 글
조회수 많은 글 | 베오베
댓글 많은 글 | 베오베

Trackback

Trackback Address :: https://offree.net/trackback/2133

  1. Subject : 패스워드 패턴화로 사이트마다 서로 다른 로그인 정보 사용

    Tracked from Joshua's Weblog 2010/06/09 20:41 del.

    어제 회사에서 일하고 있는데 갑자기 학교 후배가 전화를 하더니 지금 네이트온을 쓰는중이냐고 했습니다. 우리 회사는 네이트온 접속을 차단하고 있기 때문에 네이트온에는 거의 접속을 안하

Facebook

Comments

  1. LieBe 2008/11/17 12:13

    그저께 아는 형님들과 이동을 하면서 이 주제로 차안에서 열띤 논쟁을 벌인 바가 있는데
    외국의 경우에는 개인 정보를 최대한 안받으려고 하고 - 외국이라고 개인정보 수집의 유용성을 모르겠습니까... 광고와 마케팅은 최소한 그쪽이 한수 위인데... - 받더라도 최소한으로 줄이고 사회보장 번호 같은건 일년에 한두번 쓸까 말까래서 자기 넘버도 외우지 못하는 사람도 허다한데 한국은 참 신기한 나라다 라는게 주제였습니다.

    구글 코리아의 이사인가 사장이 그런 인터뷰를 했다죠... 외국에선 개인 정보 수집의 유용성 보다 유출 사고가 터졌을때의 기업 이미지 손상과 막대한 배상에 손을 쓸 바가 없어서 아예 수집 자체를 포기한다고요.. 그래서 한국은 참 신기하다라는 요지의 발언이었죠.

    사람들과 일반적 사회양식의 개념이나 여타의 것을 따지기 앞서 개인정보의 중요성에 대한 인식과 그 책임 소재를 명확하게 하여 사고가 일어났을때 최소한 대충대충 넘어가지만 않아도 이런 문제는 저절로 사라지지 않을까 합니다.

    뭐 개인 정보 한껀이 15원에 팔리는 나라에서는 공염불에 불과할지 모르지만요...

    쩝..

    perm. |  mod/del. reply.
    • 도아 2008/11/17 14:01

      예. 주민등록번호를 요구할 이유가 전혀 없는 사이트들에서 주민등록번호를 요구하고 관리는 나몰라라 하면 정말 어이가 없더군요.

  2. 라피나 2008/11/17 12:22

    전 어느 회사 콜센타든 상담원들이 전화기 올려놓고 그냥 통화중 해놓는게 아닌가 생각할때가 있습니다.. 어떻게 항상 통화중인지.. 그리고 그냥 기다려서 된다면 기다려보겠는데 중간에 툭끊어지죠.. 그럼 다시 처음부터 반복해서 기다리다 또 연결안되서 뚝.. 제발 연결좀 해줬으면..

    perm. |  mod/del. reply.
    • 도아 2008/11/17 14:02

      저도 그렇게 생각합니다. 얼마나 바쁜지 모르겠지만 수없이 입력을 요구하고 바뻐서 통화가 되지 않는다고 끊어지는 것을 보면 정말 열 받습니다.

  3. 덱스터 2008/11/17 14:30

    흠..

    이 글을 보니까 많은 국내 사이트들을 손쉽게 해킹하던 제 친구가 생각나네요.

    비밀번호를 넣는 부분을 깨지게 해서 하는 것이라고 기억하는데...

    perm. |  mod/del. reply.
    • 도아 2008/11/17 15:24

      방법은 상당히 다양하니까요. 다만 해킹을 당해도 해킹 당한 줄도 모르니 더 큰 문제인 것 같습니다.

  4. 스티치 2008/11/17 15:45

    웹사이트 구축을 관리하는 입장에서 제작의뢰사쪽에 가능하면 개인정보를 줄여 받도록 권유를 하고 있지만 어찌 그리 자기 고객들한테 궁금한게 많은지...
    이벤트성으로 설문조사 한번만 해도 된다고 아무리 설득을 해도 반드시 시스템화해서 가입시에 필수입력으로 만들어달라고들 하시지요.

    그래도 저는 아직 프로젝트 할때마다 주민등록번호의 무용성과 함께 온갖 사이트 예를 들어가며 개인정보 최소화를 역설하고 있습니다. ㅠㅠ (물론 알아먹는 클라이언트는 없답니다)

    perm. |  mod/del. reply.
    • 도아 2008/11/17 16:22

      저도 사이트 개발을 해봐서 잘 알고 있습니다. 사용자 정보를 암호화해서 저장하자고 하면 귀찮으니 그냥 저장해 달라고 합니다. 주민등록 번호는 필요없다고 하면 주민등록 번호가 빠지면 안된다고 하죠. 그냥 해달라고 하는데,,, 방법이 없습니다.

  5. 징징이 2008/11/17 15:47

    막장 홈페이지네요~
    아참, 어제 서점가서 GOOGLE 관련 서적을 찾아보다
    '주성치'님께서 쓰신 '구글 애드센스 완전정복'이란 책을 잠깐 읽었는데
    도아님께서 나오시더군요 ㅋㅋ
    QAOS.com 의 운영자라는 한마디와 '김재근'님이라고 하셔서
    (그떄까지 도아님 실명을 몰랐던 지라) 궁금했는데 도아님이시네요~
    와, 구글애드센스로 버신 수익보고 놀랐습니다^^ ㅎㅎ

    perm. |  mod/del. reply.
    • 도아 2008/11/17 16:22

      예. 꽤 오래전에 쓴 책입니다. 거기에 제 인터뷰가 잠깐 나가기도 했고요.

  6. 위즈 2008/11/17 16:20

    반대의 경우는 많이 봤어도.. 특수문자 제한이라.. 독특하네요.
    사용자를 위한다면 빨리 수정되야 할텐데 분위기를 봐서는 조금 오래 걸릴 것 같네요.
    즐거운 하루되세요.

    perm. |  mod/del. reply.
    • 도아 2008/11/17 16:23

      통화를 했는데 건의는 하겠다고 하더군요. 언제 반영될지는 모르지만요.

  7. niceThink 2008/11/17 23:10

    참 독특한 웹사이트군요. 돈을 내는 사람 편에서 생각안하고 받는 사람편에서 만들어졌다니,. 어이 상실이군요.

    perm. |  mod/del. reply.
    • 도아 2008/11/18 10:55

      그런데 의외로 저런 기업이 많습니다.

  8. 공상플러스 2008/11/18 22:11

    중국사람이 해킹하는것도 머 신기한 일도 아닌듯

    perm. |  mod/del. reply.
    • 도아 2008/11/19 08:49

      국내 사이트는 보안에 워낙 취약해서 해킹하는 것은 상당히 쉽습니다.

  9. 루센사용자 2008/11/20 16:25

    루센 문제입니다
    상담원과 통화한번 할려면 열받습니다
    이런게 회사라고........ 일단 물건팔아쳐먹으면 끝나는회사들,,,,이런제품들은
    구매자체를 하지마시기 바랍니다

    perm. |  mod/del. reply.
    • 도아 2008/11/20 16:53

      예. 전화가 무지 안되더군요. 저도 더 이상 루센제품을 구매할 생각은 없습니다.

  10. 태수아빠 2008/11/22 13:13

    보안은 어떤지는 모르겠지만 얼마전 애니게이트에서 xm-302pe 제품을 구입후 설명서되로 깔았지만 제대로 안되어 고객센터에 전화하면 하늘에 별따기 보다 어려운 별달기이더군요. 그래서 할 수 없이 회원 가입했지만 자유게시판 없음, 무조건 1대1로 답변(이메일은 반송처리...) 토,일요일 및 공휴일등은 운영자 답변없고 볼 수만 있는데 사람 환장하겠더군요.

    경험으로 보건데 자유게시판이 활성화 안된곳 치고 원활하게 운영되는곳이 없었는데 천상 평일 월휴를 내서 전화(애니게이트) 약속을 하지 않는 이상 사용을 못할것 같네요.

    perm. |  mod/del. reply.
    • 도아 2008/11/23 08:49

      저도 전화하면서 미치는 줄 알았습니다. 하도 전화가 되지 않아서... 끊어지지 않으면 기다리기라도 할텐데... 계속 끊어지니...

  11. 아날로그 2010/03/18 20:17

    평소 도아님 포스팅 즐겨 보고있습니다.
    도아님께서 2008년에 이렇게 이야기 하셨는데... 이때만 각성했더라도
    이번에 루센이 해킹당하는 일이 없지 않았나 합니다.
    사건이 터지고 나야지 조취를 하는 이런 경우는 없어져야 할텐데요...
    안타깝네요

    perm. |  mod/del. reply.
    • 도아 2010/03/22 21:04

      그러게 말입니다. 처음에는 무슨 뜻인가 했는데 메일을 확인해 보니 해킹 당했다고 메일이 왔더군요. 어이가 없죠.

(옵션: 없으면 생략)

글을 올릴 때 [b], [i], [url], [img]와 같은 BBCode를 사용할 수 있습니다.