행정안전부 G-PIN 로그인 우회하기
이 팁은 해킹이라기 보다는 로그인 우회하기라고 표현하는 것이 더 낫다. 그 이유는 시스템 서버를 해킹하는 것이 아니라 로그인 검사 중 특수문자를 허용하도록 내려받은 HTML 파일을 바꾸기 때문이다. 내가 이 팁을 공개하는 이유는 다음과 같다.
- 내 암호 공개
아직까지 G-PIN에서 이 문제를 고치지 않았다. 그러나 G-PIN에서 이 문제를 고친다면 내 아이디로 로그인해서 내 정보가 유출될 수 있다. 로그인을 해서 암호를 바꾸어야 하는데 현재로는 로그인할 수 있는 방법이 없다.
- G-PIN의 허약한 보안에 대한 경고
명색이 행정부 사이트인데 보안이 이처럼 허술할 것으로는 생각하지도 못했다. 웹에 대해 기초 지식만 있는 사람이라고 해도 행정안전부 G-PIN 사이트의 로그인은 쉽게 우회할 수 있다. 그 이유는 웹 사이트를 구축한 사람이 보안이라는 개념이 아예 없는 사람이기 때문이다.일반적으로 대부분의 웹 사이트에서 로그인 검사는 클라이언트 스크립트(예: 자바스크립트)를 사용한다. 그런데 클라이언트 스크립트는 간단히 바꿀 수 있다. 따라서 로그인과 같은 중요한 절차를 수행할 때는 반드시 참조 URL을 검사해서 로그인 시도가 정상적인 위치에서 행해졌는지 확인해야 한다. 그러나 보안이 허접한 사이트는 이러한 검사를 하지 않는다. 만약 참조 URL을 검사하지 않으면 클라이언트 스크립트를 얼마나 쉽게 우회할 수 있는지를 예시하기 위함이다.
이런 방법을 통해 로그인하는 것도 나에게는 조금 부담이다. 아울러 이런 내용을 공개하는 것 역시 상당히 부담이 된다. 그 이유는 우리나라의 정보통신법은 코에 걸면 코걸이 귀에 걸면 귀걸이 이기 때문이다. 그러나 이런 위험을 무릅쓰고 이 내용을 공개하는 것은 우리나라 정부 부처의 보안 의식이 얼마나 희박한지 알리고, 우리나라 정부 부처에는 가장 기본적인 보안에 대한 인식조차 없는 사람들이 사이트를 발주하고 있다는 것을 보이기 위함이다.
- G-PIN 사용자에 대한 경고
내가 행정안전부 G-Pin - 졸속 행정의 전형라는 글은 쓴 이유는 QAOS.com의 회원인 rainygirl님이 G-PIN 사이트에 로그인할 수 없다는 제보를 했기 때문이다. G-PIN 사이트를 언제 만들었지 모르겠지만 그 동안 이 문제가 한번도 G-PIN 사이트에 보고되지 않았을 것으로 생각하지 않는다.그 이유는 암호를 바꿀 때는 반드시 특수문자를 입력하도록 강제하고 있기 때문에 로그인을 하지 못하는 사용자가 부지기수로 발생할 수 밖에 없는 상황이기 때문이다. 그런데 아직까지 이 문제가 고처지지 않고 있는 것은 G-PIN 운영자의 안일한 대처 때문으로 보인다. 따라서 G-PIN에 가입한 뒤 암호에 특수문자를 입력해서 로그인하지 못하는 사용자가 많을 것으로 보고 이 팁을 공개하게 되었다.
[자세히 보기]
저작권
이 글은 QAOS.com에 2008년 04월 24일에 올린 행정안전부 G-PIN 해킹하기를 블로그에 다시 올리는 것이다. QAOS.com에서 가져온 모든 글은 QAOS.com의 저작권(불펌 금지, 링크 허용)을 따른다.
- 행정안전부 G-PIN - 졸속 행정의 전형 요즘 연일 보안에 대한 말이 많다. 옥션에서는 천만명이 ... 새창
- 우리나라가 해킹에 취약한 이유 나도 꽤 오랜 시간 서버를 관리해 왔다. 내가 서버를 관리할 때 ... 새창
- 첫번째 보안 권고 일반적으로 상당수의 사람들이 XP를 설치할 때 시스템 관리자의 암호를 ... 새창
- 이야넷 해킹 제가 현재 운영하고 있는 웹사이트는 두군데 입니다. QAOS.com은 에서 ... 새창
- 한글 윈도 서버 2003 서비스 팩1 출시 그동안 많은 사람들이 기다리던 한글 2003 SP1이 4월 ... 새창