이 팁은 해킹이라기 보다는 로그인 우회하기라고 표현하는 것이 더 낫다. 그 이유는 시스템 서버를 해킹하는 것이 아니라 로그인 검사 중 특수문자를 허용하도록 내려받은 HTML 파일을 바꾸기 때문이다. 내가 이 팁을 공개하는 이유는 다음과 같다.
내 암호 공개
행정안전부 G-Pin - 졸속 행정의 전형라는 글에서 알 수 있듯이 행정안전부의 G-PIN 사이트는 가입할 때나 암호를 바꿀 때는 특수문자를 입력하도록 강제하고 있다. 그러나 막상 특수문자가 입력된 암호로 로그인을 하려고 하면 다음 그림처럼 "암호에 특수문자를 사용할 수 없다"는 오류 메시지를 띄운다.아직까지 G-PIN에서 이 문제를 고치지 않았다. 그러나 G-PIN에서 이 문제를 고친다면 내 아이디로 로그인해서 내 정보가 유출될 수 있다. 로그인을 해서 암호를 바꾸어야 하는데 현재로는 로그인할 수 있는 방법이 없다.
G-PIN의 허약한 보안에 대한 경고
명색이 행정부 사이트인데 보안이 이처럼 허술할 것으로는 생각하지도 못했다. 웹에 대해 기초 지식만 있는 사람이라고 해도 행정안전부 G-PIN 사이트의 로그인은 쉽게 우회할 수 있다. 그 이유는 웹 사이트를 구축한 사람이 보안이라는 개념이 아예 없는 사람이기 때문이다.일반적으로 대부분의 웹 사이트에서 로그인 검사는 클라이언트 스크립트(예: 자바스크립트)를 사용한다. 그런데 클라이언트 스크립트는 간단히 바꿀 수 있다. 따라서 로그인과 같은 중요한 절차를 수행할 때는 반드시 참조 URL을 검사해서 로그인 시도가 정상적인 위치에서 행해졌는지 확인해야 한다. 그러나 보안이 허접한 사이트는 이러한 검사를 하지 않는다. 만약 참조 URL을 검사하지 않으면 클라이언트 스크립트를 얼마나 쉽게 우회할 수 있는지를 예시하기 위함이다.
이런 방법을 통해 로그인하는 것도 나에게는 조금 부담이다. 아울러 이런 내용을 공개하는 것 역시 상당히 부담이 된다. 그 이유는 우리나라의 정보통신법은 코에 걸면 코걸이 귀에 걸면 귀걸이 이기 때문이다. 그러나 이런 위험을 무릅쓰고 이 내용을 공개하는 것은 우리나라 정부 부처의 보안 의식이 얼마나 희박한지 알리고, 우리나라 정부 부처에는 가장 기본적인 보안에 대한 인식조차 없는 사람들이 사이트를 발주하고 있다는 것을 보이기 위함이다.
G-PIN 사용자에 대한 경고
내가 행정안전부 G-Pin - 졸속 행정의 전형라는 글은 쓴 이유는 QAOS.com의 회원인 rainygirl님이 G-PIN 사이트에 로그인할 수 없다는 제보를 했기 때문이다. G-PIN 사이트를 언제 만들었지 모르겠지만 그 동안 이 문제가 한번도 G-PIN 사이트에 보고되지 않았을 것으로 생각하지 않는다.그 이유는 암호를 바꿀 때는 반드시 특수문자를 입력하도록 강제하고 있기 때문에 로그인을 하지 못하는 사용자가 부지기수로 발생할 수 밖에 없는 상황이기 때문이다. 그런데 아직까지 이 문제가 고처지지 않고 있는 것은 G-PIN 운영자의 안일한 대처 때문으로 보인다. 따라서 G-PIN에 가입한 뒤 암호에 특수문자를 입력해서 로그인하지 못하는 사용자가 많을 것으로 보고 이 팁을 공개하게 되었다.
저작권
이 글은 QAOS.com에 2008년 04월 24일에 올린 행정안전부 G-PIN 해킹하기를 블로그에 다시 올리는 것이다. QAOS.com에서 가져온 모든 글은 QAOS.com의 저작권(불펌 금지, 링크 허용)을 따른다.