보안에는 관심없는 기업, 루센 by 도아
로그인도 안되는 루센
이지윙스를 설치할 때는 인증코드를 입력해야 한다. 또 인증코드는 루센 홈페이지에 로그인해야 알 수 있기 때문에 일단 루센 홈페이지에서 로그인을 시도했다. 그런데 아무리 로그인을 시도해도 "처리할 수 없는 단어가 있다"면 로그인이 되지 않았다. 처음에는 암호가 틀린 것으로 생각하고 암호를 재전송 받았다. 그리고 왜 로그인이 되지 않는지 그 이유를 알 수 있었다. 암호에 특수문자가 포함되어 있기 때문이다.
로그인도 안되는 루센
처리할 수 없는 단어가 있습니다.
다시 입력해 주세요.
문: 과연 어떤 일이 있었기 때문에 이런 일이 발생한 것일까?
답: 암호에 특수문자가 포함되어 있기 때문에...
조금 우습지만 사실이다. 지난 토요일에는 전남/광주 지역 블로거 모임에 다녔왔다. 전남/광주 지역에서는 두 주마다 한번씩 블로거 모임이 있기 때문이다. 또 11월 셋째주에 시제가 있기 때문에 겸사 겸사 다녀왔다. 도참 프로젝트를 진행하고 있는 mepay님이 사업장을 확장 이전했다고 해서 mepay님의 사업장까지 갔다 오려고 하니 네비게이이터가 필요했다. 고진샤에 Windows XP를 깔고 이지윙스를 설치해 두었지만 이번에 Windows 7로 운영체제를 바꿨기 때문에 이지윙스를 다시 설치해야했다.
이지윙스를 설치할 때는 인증코드를 입력해야 한다. 또 인증코드는 루센 홈페이지에 로그인해야 알 수 있기 때문에 일단 루센 홈페이지에서 로그인을 시도했다. 그런데 아무리 로그인을 시도해도 "처리할 수 없는 단어가 있다"면 로그인이 되지 않았다. 처음에는 암호가 틀린 것으로 생각하고 암호를 재전송 받았다. 그리고 왜 로그인이 되지 않는지 그 이유를 알 수 있었다. 암호에 특수문자가 포함되어 있기 때문이다.
암호를 평문으로 저장하는 루센
옥션에서 1800만명의 개인 정보가 유출됐다. 그러나 설사 이렇게 개인 정보가 유출됐다고 해도 암호와 주민 번호를 단방향 암호화해서 저장했다면 유출 피해는 지금보다 훨씬 줄일 수 있었다. 그러나 주민 번호와 암호를 평문으로 저장했기 때문에 그 피해는 더 커졌다.
행정안전부에서 주민등록증을 대신하도록 만든 G-PIN 사이트가 있다. 이 사이트도 몇 가지 문제점이 있었다. 먼저 가입할 때는 암호로 특수 문자를 사용해도 되지만 암호에 특수 문자가 포함되면 로그인이 되지 않는다. 따라서 암호에 특수 문자를 입력하면 로그인도 하지 못하기 때문에 암호를 바꿀 수 없다. 또 입력한 암호를 평문으로 저장한다. 옥션에서 무려 1800만명이나 되는 사용자 정보가 유출됐고 이문제가 사회 문제로 대두됐지만 명색이 정부에서 만든 사이트라는 G-PIN은 옥션의 이러한 교훈을 하나도 배우지 못했다.
그런데 루센도 똑 같았다. 암호에 특수 문자가 포함되면 "처리할 수 없는 단어가 있다"며 로그인이 되지 않는다. 더 큰 문제는 루센 역시 암호를 평문으로 저장한다는 점이다. 그렇기 때문에 암호 찾기를 하면 암호를 초기화해서 보내는 것이 아니라 친절하게 입력한 암호를 알려 준다. 이런 사이트들은 일단 해킹되면 모든 사용자 정보와 암호까지 노출될 위험이 있다.
올초 옥션의 해킹 사건이 발생했다. 어설프게 관리한 사용자 정보 때문에 수 없이 많은 사람들의 개인 정보가 유출됐다. 아울러 개인 정보 유출에 대한 많은 소송이 진행 중이다. 상황이 이런데도 우리나라 기업들은 "옥션 사태를 다른 동네 불구경하듯 보고 있다"는 점이다. 사용자의 암호를 단방향 암호화해서 저장하면 해킹이라는 최악의 사태에도 중요한 사용자 정보는 보호할 수 있다. 그러나 루센처럼 평문으로 저장하면 모든 사용자 정보가 단한번의 해킹을 통해 유출될 수 있다는 점이다.
루센에서 암호를 평문으로 저장한다는 것을 아는 순간부터 이지윙스를 구입한 것을 후회하고 있다. 이지윙스를 사용하는 한 믿을 수 없는 업체인 루센에 로그인해야 하기 때문이다. 이것은 개인의 중요한 정보가 단한번의 해킹을 통해 언제든지 유출될 수 있다는 것을 의미하기 때문이다.
남은 이야기
로그인을 할 수 없기 때문에 아침부터 '루센 고객센터'에 전화를 하고 있다. 전화하고 ARS 안내대로 가입시 사용한 전화 번호를 입력했다. 그러면 항상 바뻐서 연결이 되지 않는다는 메시지가 뜬다. 그리고 나오는 메시지는 홈페이지의 콜백 서비스를 이용하라는 메시지이다. 전화 통화를 할 수 없어서 홈페이지의 콜백 서비스를 이용하기로 했다. 그런데 콜백 서비스를 신청하면 다음 그림과 같은 메시지가 나타난다. 도대체 고객센터에 어떻게 연락하라는 것인지 알 수가 없다. 참고로 QNA는 로그인을 해야 이용할 수 있다.
전화라도 끊어지지 않으면 전화라도 끝까지 잡고 있겠지만 고객 센터가 바쁘다고 전화가 끊어진다. 이 작업을 반복하는 것도 힘든데 콜백 서비스는 공사 중이라고 한다. QNA를 이용하고 싶지만 QNA는 로그인을 해야 이용이 가능하다.