태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

휴대폰에서 다음, 네이버 로그인하기

IT 그냥 재미로 2009/05/14 15:13
휴대폰에서 다음, 네이버 로그인하기
[구형 휴대폰에서 인터넷 하기 2. 로그인 완전정복]

휴대폰 인터넷의 가장 큰 적은 '입력'

먼저 이야기하지만, 내가 다루는 '휴대폰 인터넷'은 최신형 터치폰의 '풀브라우징' 이야기가 아니다. 거의 대부분의 휴대폰에서 사용 가능한 '휴대폰용 인터넷(WAP)'이다. LG텔레콤의 경우에는 "OZ Lite(옛날이름 ez-i)"라고 한다.

어쨌든, 풀 브라우징이 되었든 뭐가 되었든, 휴대폰에서 인터넷을 사용하는 데 가장 큰 적은 '입력'이다. 바로 '키보드'가 없어서 불편하고 '마우스'가 없어서 불편하다.

사실은 마우스가 가장 불편한 부분인데, 이는 풀 브라우징에서나 해당되므로 일단 논외로 하자. 오즈Lite 같은 휴대폰용 인터넷은 마우스를 거의 쓸일이 없다. 왜냐하면, 모두 중요한 항목은 '숫자키패드'로 가능하도록 처음부터 설계가 되었기 때문이다.

그러니, 남은 것은 '키보드'에 해당하는 입력 부분이다. 가장 먼저 걸리는 것이 '로그인'이다. 아뿔싸! 로그인은 영어로 된 아이디와 더불어 자신이 복잡하게 꼬아놓은(혹은 쉽게 만들어놓은) "암호"를 입력해야 한다. 어떻게 할 수 있을까?

로그인, 겁먹지 말자

그래. 호랑이 굴에 잡혀가도 정신만 차리면 산다고 했다. 일단은, 겁먹지 말고 로그인하는 과정을 보자. 

먼저 포털에 접속한다. 접속 방법에 대해서는 지난 글 2009/05/11 - 구형 휴대폰에서도 다음, 네이버 된다! [구형 휴대폰에서 인터넷 하기 1. 포털 접속하기] 을 참조하기 바란다.


다음의 경우 3355를 누르고 "인터넷 접속키"를 꾸욱.. 누르면 아래와 같이 나온다. 로그인을 하는 방법은 두가지 정도다. 제일 위의 '메일'을 선택하거나 제일 아래에 있는 '로그인하세요'를 선택하면 된다. 이동키를 사용해서 아래쪽으로 선택항목을 내려서 선택한다.

▲ 손쉽게 로그인 메뉴로 이동하려면 위의 "메일"이나 제일 아래의 "로그인하세요" 메시지를 선택한다.

그러면 다음과 같은 로그인 화면이 나온다.

▲ 난공불락. ID입력이 가장 큰 문제다.
영어 타자는 키보드나 휴대폰이나 더디기 마련

여기서부터 문제다. 그런데, 여기에는 아주 좋은 기능이 있다. "아이디는 한 번만 입력해 놓으면 된다" 아래에 '아이디 저장하기' 란을 꼭 체크해 놓아야 한다. 안그러면, 지겨운 입력과정을 한 번 더 거쳐야 한다. 영어 입력 방법은 좀 어렵긴 하지만, 인내심을 가지고 여러번 누르다보면, 어느새 자기 아이디를 입력했을 것이다.



암호(패스워드) 입력, "한글"모드가 있어서 다행

그 다음이 암호다. 아뿔싸! 이런 난공불락이 있나.

보통 사람들은 영어로 암호를 설정하기도 하지만, 그냥 영어모드에서 "한글자판"으로 암호를 설정하기도 한다. 예를 들어서 "사랑해"라는 암호를 쓰는 사람은 "tkfkdgo"라고 입력하는 경우다. 이건 키보드에서 쉽게 입력이 가능하다.

그런데, 휴대폰에서는? 대체 어쩌란 말인가!!!

그래서 친절히 아래에 "키보드 이미지 참고"라고 되어 있다. 즉, 암호를 그런 식으로 만든 사람들을 위한 배려다. 그걸 보면서 더듬더듬 입력하면 된다.

하지만.. 이건 옛날 이야기다.  그냥 당당하게 "사랑해"라고 한글로 입력하면 된다. 즉, Daum의 휴대폰 인터넷 모드에서 암호(패스워드)는 "한글로 해도 되고 영어로 해도 된다."

▲ 아래의 키보드 이미지 참고는 크게 필요가 없다. 한글음 입력이 지원되기 때문
(물론 특수기호가 들어갔다면 키보드가 필요하기도 하다)

즉, 아래의 암호가 모두 동일하게 "패스" 된다는 소리다.

실제 Daum 에서의 암호 : tkfkdgo (사랑해를 영문자판에서 친 것)

휴대폰 인터넷에서는..

사랑해
tkfkdgo
사fkdgo
tk랑go
tkfkd해
사랑go
tk랑해
사fkd해

모두 된다.

이 모드는 네이버에서도 마찬가지다. 특히 네이버의 경우에는 암호마저도 15일까지 저장이 된다. Daum도 얼마전까진 그렇게 했지만, 보안의 문제로 없앴다.

▲ 네이버도 사용자 편의를 위해서 "한글음 입력"을 제공한다


생각해보라. 잠시 휴대폰을 잃어버렸을 때, 그것을 주운 사람은 그 사람의 이메일까지 열어볼 수 있단 소리다. 끔찍한 일이 아닐 수 없다.

하지만, 현재 Daum은 그 정책을 버렸으므로 안심해도 된다. 물론, 휴대폰 인터넷 기능에 "암호"를 걸어 놓는 것도 방법이다.


천리길도 로그인부터

나도 처음에는 로그인하는 것이 너무 힘들어서 짜증나 했다. 그런데, 이것도 자주 하다보니 그리 어렵지 않다. 요즘엔 로그인하는 데 걸리는 시간이 몇초 걸리지도 않는다. 하루에도 수십번씩 이동하다가 이메일을 확인하고 카페에 글을 쓰기도 한다.

모든 것은 '로그인'에서 비롯된다. 자신의 휴대폰을 꺼내들고 한 번, 휴대폰 속의 '포털'에 로그인을 해보자. 아차.. 정액 요금제 미리 가입하고서 시도하지 않으면, 나중에 피눈 물 흘린다. ^^ (내가 사용하는 LG텔레콤의 경우는 1달에 6천원 / 1GB)


미디어 한글로
2009.5.14
http://media.hangulo.net


 

* 이 포스트는 blogkorea [블코채널 : 미디어 한글로] 에 링크 되어있습니다. 블로그코리아에 블UP하기
미디어 한글로의 글을 구독해서 편안히 받아보세요! 공짜입니다. ^^


Twitter 트위터 무작정 따라하기
예스24 | 애드온2

★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로
태그 3355, 369, WAP, 로그인, 로긴, 모바일, 모바일인터넷, 암호, 패스워드, 포털접속, 한글모드, 휴대폰인터넷
트랙백 0, 댓글 1개가 달렸습니다.

트랙백 주소 : http://media.hangulo.net/trackback/819 관련글 쓰기

댓글을 달아 주세요

  1. BlogIcon 신기 !! 2009/07/16 14:20  댓글주소  수정/삭제  댓글쓰기

    좋은글 감사합니다

당신의 패스워드는 안전하십니까? - 패스워드 암호화 시급하다

IT 그냥 재미로 2007/03/02 01:54
 
 당신의 패스워드는 안전하십니까?
패스워드 암호화 시급하다

며느리도 안가르쳐줘! 하지만 상담원은 다 알고 있다!

요즘 이메일의 재미에 푹 빠진 '아무개'씨는 자신의 계정 패스워드를 아무에게도 알려주지 않는다. 그 누구에게도 알려주지 않았으므로 안전하다고 생각한 '아무개'씨. 하지만, 어느 날... 패스워드를 잠시 잊어버린 그는 그 사이트의 고객상담실에 전화를 해보고는 깜짝 놀라게된다.

    네.. '아무개 회원님이 맞으시네요. 회원님의 패스워드는.. 1234입니다'

아무에게도 안가르쳐준 패스워드를, 상담원들은 손쉽게 알 수 있단 말인가!

아무개씨는 혼란에 빠진다. 저 패스워드로 거의 모든 사이트들을 접속하고 있으며, 심지어 인터넷 뱅킹의 암호도 모두 통일해 놓았으니 말이다.


패스워드는 어떻게 저장되는가?

정답은 '안전이 보장된 큰 포털 사이트와 제로보드 등의 이름난 공개 게시판 시스템, 안전이 보장된 쇼핑몰 등을 제외하고는' "그냥 아무런 대책없이, 내가 입력한 그대로 저장된다"이다.

게시판 시스템으로 간단히 사이트를 운영하는 수많은 곳에서도 사용자의 패스워드는 운영자 권한이면 쉽게 열람이 가능하다. (글쓴이의 경험으로는 윈도우즈쪽의 시스템을 사용하는 웹사이트에서는 대부분 그대로 저장하고 있었다)

'패스워드 찾기' 기능을 사용해서 이메일로 패스워드를 그대로 보내주는 곳은 모두 '암호화'가 안되어 있는 곳이고, 누군가 나쁜 사람이 마음만 먹으면 얼마든지 유출이 가능하다는 뜻이된다. (암호화가 되어 있으면 임시 패스워드를 발급하는 방법으로 알려준다.)

주민등록번호 도용으로 온나라가 떠들썩한게 얼마전이다. 그래서 주민번호에 대한 대책으로 '가상 주민번호'제도를 도입하는 등, 업체 등에서도 신속히 대응하고 있다. (물론, 아직도 첫걸음 수준이지만...)

     [관련기사] 개인정보 노출 걱정 사라진다 (2006년 10월 4일 디지털타임즈)
     http://news.media.daum.net/digital/computer/200610/04/dt/v14246001.html

하지만,  더 중요한 패스워드에 대한 보안에 대해서는 이슈화되지 못하고 있다.

피싱을 아십니까?

개인정보(Private data)를 낚는다(Fishing)는 뜻의 피싱(Phising)은 쉽게 말하면,"가짜 사이트"를 만들어서 사람들의 개인 정보를 빼내는 범죄를 말한다.

즉, daum.net을 치려다가 오타를 내게 되면, 보통은 다른 사이트로 이동해야 하는데,

'다음'과 똑같은 페이지를 디자인해 놓는 방식이다.

접속한 사람은 아무 생각없이 로그인을 하게 되고, 그 정보는 고스란히 피싱 사이트를 만든 시스템에 저장이 된다.

당연히, 그 자료는 악용이 되는데, 최근에는 이메일이나 여러가지 기법을 사용한 피싱 기법이 개발되어 많은 피해자를 낳고 있다.

하지만, 우리가 우려해야 할 것은 피싱만은 아니다. 우리가 무심코 가입하는 수많은 사이트들.. 주민번호를 넣지 앟아서 안심하고 있는 수많은 사이트들 조차도, 가장 중요한 정보인 'ID'와 '패스워드'를 고스란히 가지고 있다는 뜻이다.

물론, 그 많은 사이트들을 모두 '범죄자'로 몰고 갈 생각은 전혀 없다. 단지, 범죄자들이 그 방법을 사용함으로써 선량한 사이트 운영자마저 철퇴를 맞을 수 있다는 뜻이다.


패스워드는 암호화 되어야 한다

말 그대로 '암호'인 패스워드는 암호화 시켜서 저장해야 한다.

'그러면 어떻게 패스워드가 맞는지 검사하느냐?'는 질문이 나올법한데, 이미 유닉스 기반의 운영체제에서 수십년간 사용한 방법이 있다. (유닉스, 리눅스 시스템에서 계정의 암호는 운영자도 알 수 없도록 암호화 되어 있다)

또한, 제로보드 등의 공개 게시판 시스템은 이미 오래전부터 패스워드와 주민번호에 대해서 암호화 기법을 사용하고 있다. (물론, 코드를 수정해서 사용하는 게시판도 있으므로 100% 믿을 수는 없다)

간단히 설명하자면...

단방향 암호화 함수 (이 단어가 학술적이지 않을지는 몰라도 이해에는 큰 도움이 되므로 사용함)란 것을 사용하는데, '1234'를 넣으면 '36ff78fd0cf7ee31'와 같은 고유한 문자열을 결과값으로 내주는 함수다. 물론, 다른 문자열에 대해서는 절대로 같은 문자열이 나오지 않는 함수이다.

이렇게, 사용자가 가입시 1234를 넣더라도 DB에는 36ff78fd0cf7ee31 로 저장을 하고,

나중에 로그인 할때도, 사용자가 입력하는 값을 암호화 함수에 넣은 결과값을 저장된 36ff78fd0cf7ee31와 비교만 하면 된다.

좀 복잡한 것 같지만, 이미 널리 이용되고 있는 방법이며, 리눅스 계열에서는 쉽게 구현이 가능하다. 하지만 윈도우즈 계열에서는 그렇게 널리 사용하지 않은 듯 보이며, 글쓴이의 지식으로는 많은 사이트들이 패스워드 암호화에는 큰 관심을 두고 있지 않다고 알고 있다.


누가 고양이 목에 방울을 달까?


인터넷 서비스 업체와 개발자, 사이트 운영자들이 패스워드 암호화를 자발적으로 도입하고 운영해야 한다.

이때, 정부에서 단방향 암호화 관련 표준 코드들을 제시해 주면 좋다. 물론, 인터넷에는 많이 공개되어 있긴하지만, 이것을 찾고 적용하고 검증하는데는 전문가가 아니라면 좀 시간과 노력이 많이 든다.

하지만, 그러한 대책이 있기 전에 사용자들은 어떻게 해야 하는가?

정기적으로 패스워드를 바꾸라고 다들 권장하지만, 그렇게 하는 사람이 몇이나 될까?

인터넷을 사용하면서 패스워드 자주 바꾸는 것은 정말 귀찮은 일이다.

그래서 차선책으로 내세울 수 있는 것은...

대형 포털등 안심할 수 있다고 판단되는 곳에 사용하는 중요한 패스워드와
남이 알아도 크게 피해가 가지 않는 곳들에 사용하는 덜 중요한 패스워드..
이렇게 두가지를 운영하면 좀 안심이 될 수 있다. (패스워드의 이원화)

그리고 중요한 패스워드는 적어도 6개월에 한 번쯤은 바꾸는 것이
수많은 기술로 구멍이 생기고 있는 현대 인터넷 세상에서 피해를 예방하는 길이다.


세상에 완벽한 방패는 없다

'모순'이라는 말의 어원처럼, 절대로 "모든 것을 막을 수 있는 방패"나 "모든 것을 뚫을 수 있는 창"은 존재하지 않는다. 어떤 보안책이라도 뚫리기 마련이며, 그 뚫린 구멍은 또 막을 수 있다.

위에서 말한 패스워드 암호화 기법을 사용하더라도, 사용자가 사전에 있는 단어들을 기반으로 만든 암호를 사용하거나, 전화번호, 생일 등 연관 가능한 것들로 암호를 만든다면, 부지런한 범죄자들은 반드시 그 구멍을 찾아내고 말것이다.

요즘 세상에 자신의 개인 정보가 하찮다고 느끼는 사람은 없을 것이다. 그렇다면, 그 소중한 재산을 보호하기 위해서 조금 더 조심하고 문단속을 철저히 하자.

- 참고 : 글쓴이는 보안 전문가가 아니므로 위의 내용에 틀린 내용이 다수 포함될 수 있습니다. 틀린 부분을 알려주시면 바로 수정하겠습니다 -

* 이 포스트는 blogkorea [블코채널 : 미디어 한글로] 에 링크 되어있습니다. 블로그코리아에 블UP하기
미디어 한글로의 글을 구독해서 편안히 받아보세요! 공짜입니다. ^^


Twitter 트위터 무작정 따라하기
예스24 | 애드온2

★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로
태그 password, passwords, phishing, 바이러스, 보안, 암호, 인터넷, 패스워드, 피싱, 해커, 해킹
트랙백 1, 댓글 18개가 달렸습니다

트랙백 주소 : http://media.hangulo.net/trackback/30 관련글 쓰기

  1. Subject : 옥션을 위한 변명

    Tracked from 네멋대로써라 2008/04/18 14:42  삭제

    옥션의 회원정보 유출사건으로 인해 수많은 사람들이 피해를 입었고, 집단소송 움직임까지 있습니다. 일단 정당한 움직임이라고 봅니다. 인터넷 시대를 맞아 소비자의 권리가 한층 강화되고 있구나 하는 느낌을 받습니다. 옥션을 성토하는 것은 좋은데 옥션 하나 죽이고 끝내기 보다는 이번 사건을 통해서 우리나라 인터넷의 보안이나 해킹문제에 대해서 한번 돌아보는 계기가 되었으면 합니다. 해킹은 일상적으로 벌어진다. 일반 사용자들은 해킹하면 아주 큰일이 난것처럼 느..

댓글을 달아 주세요

  1. BlogIcon trendon 2007/03/02 03:29  댓글주소  수정/삭제  댓글쓰기

    보안은 중요한 거죠.

  2. BlogIcon Lemon- 2007/03/02 03:37  댓글주소  수정/삭제  댓글쓰기

    왠지 무섭군요.. =_=
    저도 하나의 비밀번호로 모든 계정을 사용하고 있는데..

  3. BlogIcon 알쯔 2007/03/02 03:40  댓글주소  수정/삭제  댓글쓰기

    웹페이지 개발자로서 일해본 경험으론 대다수의 클라이언트가 패스워드 암호화를 원치않습니다.
    개발자는 돈주는사람이 시키는데로 패스워드 암호화를 시키지 않고 개발하구요
    클라이언트가 왜 암호화를 원하지않는지 정확히는 모르겠지만...

    고객왈 : 사이트 암호 잃어버렷어요
    상담원 : 저희사이트는 암호가 암호화되어 어쩌고 저쩌고
    고객왈 : 아씨 무슨말인지 모르겠으니깐 그냥 암호나 알려줘요-

    요런상황이 워낙 빈번하다보니 그런것이 아는듯 합니다.
    먼저 유저부터 보안의식을 가져야하지않을까하는...

    • BlogIcon 골빈해커 2007/03/02 09:16  댓글주소  수정/삭제

      절대동감 댓글이네요..^^

    • BlogIcon 한글로 2007/03/02 09:54  댓글주소  수정/삭제

      맞습니다. 그게 문제지요. 하지만, 비켜가는 방법이 많습니다. "회원님, 저희 사이트는 보안이 철저해서 회원님의 암호를 저희도 알 수가 없습니다. 제가 회원님의 암호를 알면 도용도 가능하겠지요. 하지만, 지금 회원님의 신원만 확인되면, 원하시는 암호로 바꾸어드릴 수 있습니다" 라는 식으로요. 오히려 더 믿음을 주기도 하더군요... 사실... 암호 다 볼 수 있으면서도 정책적으로 이런식으로 하는곳도 있습니다. ^^

    • BlogIcon 골빈해커 2007/03/02 16:53  댓글주소  수정/삭제

      너무 삐딱한 시선으로만 바라보는건지는 모르겠지만, 경험상 한글로님처럼 젊잖은 분들이 거의 없다는게 더 문제라면 문제랄까요..^^;;

    • BlogIcon 한글로 2007/03/02 18:51  댓글주소  수정/삭제

      네. 그런 삐딱선인 사람에게는 그냥 그사람 이름대로 암호 바꿔주고 "이겁니다. 원래부터 이걸로 하셨는데요?" 하지요. 저도 현업에서 그러고 있답니다. ^^ 삐딱한 사람은 대책이 없지요. ㅋㅋ

  4. 2007/03/02 06:50  댓글주소  수정/삭제  댓글쓰기

    MS 쪽이 암호화가 더 허술하다는건 말이 안되구요. 리눅스나 유닉스의 경우 기본 설정일경우 특정 폴더에서 (리눅스/유닉스) 사용자 계정의 암호를 다 볼수있습니다. 보안을 위해선 이 폴더를 없애고 다른 폴더(root만 접속가능한)에 암호를 보관해야되구요. 최신 배포판들은 기본적으로 이런 방식을 제공하는 경우가 많지만, 오래된 배포판들은 대부분 안되있습니다. 솔직히 말해서, 리눅스에 대해서 아주 잘 아는 경험많은 관리자가 관리하는 서버가 아닌이상 윈도서버보다 훨씬 더 쉽게 뚫을수 있습니다. 한 1년 정도 꾸준히 시도하면 root 권한 확보한 리눅스 서버 수천개정도 얻는건 간단합니다.

    그리고 APM 환경의 암호화라는게 전부 MySQL 인크립션을 기반으로 하는 암호화인데.. 이건 일단 데이터를 얻었다면 시간이 좀 오래걸리긴 하지만 푸는건 그리 어렵지 않습니다. 그리고 MS-SQL이나 Oracle도 암호화는 다들 기본적으로 제공합니다. MySQL보다 더 강력하구요. 다만 윗분이 말씀하셨다 시피 클라이언트 측에서 빼자고 요구하니까 애초에 개발할때 그걸 사용하지 않도록 하는것뿐입니다.

    마지막으로 제로보드는 아예 보안쪽으론 가능성이 없는 보드입니다. 최신인 pl8 버전도 어렵지 않게 방법을 찾아서 크랙할수 있습니다. 제로보드보다 훨씬 더 전세계적으로 유명한 phpBB도 마찬가지구요. PHP 자체가 근본적으로 취약합니다. 오픈소스 프로젝트들은 거의 모두 trac을 유심히 살펴보기만 해도 바로 최신버전에 대한 크랙방법을 얻을수 있습니다. 오픈소스가 아닌쪽들은 비교적 정보를 얻기 어렵기 때문에 최신 버전에 대한 크랙방법을 획득하기 어렵습니다.

    • BlogIcon 한글로 2007/03/02 10:06  댓글주소  수정/삭제

      제가 글을 잘못쓴 모양입니다. ^^ 제가 말씀드린 '암호화' 관련은 시스템 자체의, DB단의 암호화가 아닙니다. 보통 리눅스 쪽에서 기본으로 사용하는 게시판인 '제로보드'처럼 기본적으로 소스코드를 손대기 전에는 자동으로 암호화(인크립션이라고 하나요?)되어서 저장되는 것에 반해, 대부분의 윈도우 기반 게시판은 그런 개념조차 거의 없다는 것입니다. 특히, MD5인가 하는 간단한 암호화 기법도, 리눅스단에서는 쉽게 사용하던데, 윈도우쪽에서는 새로 만들거나 해야 되더군요. (제가 워낙 개발쪽에는 미천한 실력이라.. 용어가 좀 그래도 이해바랍니다.^^) 몇몇 회사들의 상태를 봤는데, 거의 다 그냥 넣어놓고 있더군요. (윈도우와 오라클을 사용하는 시스템에서도 마찬가지였습니다) 그런 면에서 문제가 있다는 뜻이었습니다.

      제로보드 등의 암호화 수준에 대해서 말씀하신 것은 "기술자"수준의 접근이지만, 제가 말씀드린 것은 "운영자"혹은 "상담원" 수준의 접근입니다. 아무리 기술자 단에서 암호화니 뭐니 해도, "상담원"이 손쉽게 남의 암호를 볼 수 있다면, 아무소용 없는 일이지요. 하지만, 그게 곳곳에서 일어나고 있는 것은 현실입니다. 그 문제를 다룬 것입니다. ^^

      좋은 의견 감사드립니다.

    • 2007/03/02 22:15  댓글주소  수정/삭제

      제로보드가 주민번호와 비밀번호를 암호화해서 저장하는 방식이 바로 MySQL 인크립션을 이용하는 것입니다. 별도의 암호화 알고리즘은 없고 그냥 MySQL 기능을 이용해서 암호화합니다. 그리고 MD5 체크섬은 암호화를 위해 사용되는 것이 아니라, 파일의 무결성 검사를 위해 사용됩니다.

      상담원이 암호를 보는 문제는, 해당 웹프로그램들이 개발될때 클라이언트가 어떤 요구를 했느냐에 전적으로 달려있습니다. MS에선 어렵고 리눅스에선 쉽고 이런 문제가 아닙니다. 똑같이 쉽습니다. 즉 OS와는 전혀 상관이 없는 문제입니다.

      MS쪽에서 그런 형태의 웹프로그램이 많은건 다음과 같은 이유라고 짐작해 볼수 있습니다. LAMP 서버는 주로 돈없는 개인이나 중소기업이 많이 쓰는 관계로, 고용된 개발자가 아예 없거나, 용역으로 개발할 예산이 아예 없는 경우도 많습니다. 이런 경우 공개 소프트웨어의 소스를 수정해서 비밀번호와 주민번호를 상담원이 볼수 있도록 만들어줄 개발자가 없으므로, 기본 세팅대로 그냥 쓰게 됩니다.

      반면 MS쪽을 쓴다는건.. 일단 OS,DB 값으로 이미 천만원 이상을 지출했다는 의미인데.. 즉 개발 외주를 줄만한 능력이 있습니다. 그럼 개발할때 요구사항을 이것저것 말하겠죠. 거기에 관리자가 비밀번호 주민번호를 볼수있게 해달라가 포함되는 경우가 많은것뿐입니다.

    • BlogIcon 한글로 2007/03/03 08:33  댓글주소  수정/삭제

      글의 핀트가 많이 빗나간 듯 합니다. 주된 주장은 "패스워드를 상담원이나 운영자가 볼 수 없도로 단방향 암호화"를 하자는 것이고, 대체로 제로보드를 수정해서 사용하는 리눅스 쪽에서는 (좋든,싫든) 제법 되고 있는데, 대부분의 윈도우 프로그램에서는 그렇게 되지 않고 있다는 것입니다. 그리고, 클라이언트의 요구라기보다는 개발자의 의식부족이 더 클 수도 있다고 생각합니다. 어쨌든, 공부 잘 했습니다. ^^

  5. 2007/03/02 07:29  댓글주소  수정/삭제  댓글쓰기

    비밀댓글 입니다

  6. BlogIcon 미디어몹 2007/03/02 09:32  댓글주소  수정/삭제  댓글쓰기

    한글로 회원님의 상기 포스트가 미디어몹에 링크가 되었습니다.

  7. BlogIcon CN 2007/03/03 12:57  댓글주소  수정/삭제  댓글쓰기

    피싱은 서버단에서 패스워드를 변형해서 저장하느냐 여부와 상관없습니다. 클라이언트에서 서버단까지 변형되지 않고 전달되면서 가짜 사이트를 검증하지 못한다면 피싱은 가능합니다. 현재의 HTTP에서는 이 부분을 해결할 방법이 마땅치 않습니다.

    그리고 보통 패스워드를 저장하기 위해 사용하는 MD5와 같은 방법들은 암호화가 아니라 "해슁"입니다. 해슁되어 나온 값이 전부 다른 경우를 완전 해슁이라 부릅니다. 이론적으로 완전 해슁은 존재하지만 MD5와 같이 일반적으로 사용되는 해슁 함수에서 완전 해슁을 기대하기 힘듭니다. 즉 MD5를 걸쳐서 나온 값, 즉 해슁 값이 동일한 경우가 존재합니다. 실제로 DB에서 MD5를 확인한 경우 그 사용자가 가입한 다른 사이트에 모두 "로그인" 하는 것이 가능합니다. 왜냐하면 사용자가 만든 패스워드와 동일하지는 않지만 같은 해슁 값을 가진 패스워드를 단순 반복 대입으로 찾아낼 수 있습니다. 게다가 이 단순 반복 대입 결과를 정리하여 DB로 제공하는 사이트들이 있습니다. 이 사이트를 이용하면 호환되는 패스워드를 5초 내로 찾아낼 수도 있습니다.

    어떻게 되었든 DB가 공개되기만 하면 어떤 방법으로도 사용자의 계정이 위험한 것입니다.

    또한 한 익명 유저는 리눅스의 보안에 대해 이야기한 분이 계신데 전 레드햇 이전의 슬랙웨어에서도 해당 문제를 경험하지 못했습니다. 대체 어느 시대를 말씀하시는 것인지 의문이 드는군요.

    함수를 mysql의 것을 이용한다는 것도 예전 이야기입니다. 제로보드나 PHPBB과 같이 낡은 애들이 아니면 최근에는 거의 PHP에 종속된 md5 함수등을 사용하고 있습니다. 사용하는 알고리즘이 md5라는 확신이 있고 mysql등의 db버전에 영향을 받지 않으며 심지어 rdbms를 바꿔서 사용하는데도 문제가 없기 때문입니다.

    • BlogIcon mithrandir 2007/03/03 13:21  댓글주소  수정/삭제

      한글로님이 피싱에 대해서 쓴것은 특별히 서버측의 암호화에 대해서 연관지어서 쓴 것은 아니라고 봅니다. 개인정보 유출의 또다른 예를 든 것이라고 봐야겠지요.

      그리고 해슁(해시? 해싱? 뭐 어쨌든.)은 단방향 암호화라고 부르기도 한답니다. 단방향 암호화의 방법으로 해쉬 알고리즘을 사용하는 것이지요.

      db가 유출되서 사용자의 계정이 위험한 것은 사실이나, 그때 유출되는것이 해쉬값인지, 혹은 평문 암호인지의 차이는 꽤 큽니다. 사용자들이 보통 같은 패스워드를 여러 사이트에 쓰는것을 생각하면, 평문암호가 유출되었을때의 파장은 더욱 더 크겠지요.

      이부분에 대해서는 sha-1 알고리즘등, 상대적으로 역추정 시간이 오래걸리는 방법을 사용하는 것으로 어느정도 막을 수 있습니다.

      다만, 역시 중요한것은 일정수준 이상의 시스템 보안이 이루어진 상태에서는 사회적 보안이 더욱더 중요하다는 점입니다. 상담원들이 정직하다면 단순히 xor암호화만 해 놓았더라도 굳이 평문 암호를 알아내려는 시도도 하지 않겠지요. 그런 점에서 볼때 단방향 암호화를 '한다'라는 점 자체가 중요한 역할을 한다고 봅니다.

    • BlogIcon 한글로 2007/03/03 13:23  댓글주소  수정/삭제

      옳으신 말씀이니다. 제가 '피싱'을 이야기 한 것은 저보다 문외한인 사람들에게 '조심하라'는 이야기를 하려고 꺼낸 것이구요. ^^ 피싱을 통해서 <아이디>와 <암호>가 노출된다는 것을 말한 것이지요. 그런데, 사실, 우리나라는 피싱 안해도, 웬만한 회사의 상담원이면 수천,수만명의 고객 ID와 암호를 한눈에 볼 수 있도록 되어 있어서 문제를 제기한 것입니다. 그게 작은회사든 큰 회사든 상관없이 말이지요. ^^ (md5가 패스워드 단방향 암호화(해쉬)에 사용되는게 맞긴 맞군요. ^^ 워낙 여기저기서 줏어들은 이야기들이라.. ^^)

      좋은 가르침 감사드립니다. 제 블로그가 갑자기 많은 분들의 방문으로 환해진 느낌이네요.

      어쨌든, 상담원들이 맘대로 제 암호를 본다는 것... 정말 찝찝한 일입니다. ^^

  8. BlogIcon 한글로 2007/03/03 13:33  댓글주소  수정/삭제  댓글쓰기

    * 2007년 3월 3일 * 올블로그 어제의 추천글에 올랐네요. ^^ 어쩐지 많이들 오시더라.. ^^ 고맙습니다.

  9. BlogIcon 점프컷 2008/04/18 14:42  댓글주소  수정/삭제  댓글쓰기

    동감합니다. 현재 가장 시급하게 보완해야 할 부분입니다. 이건 아예 제도화 시켜서 패스워드 암호화를 의무규정으로 만들어야 합니다. 그럼 모든 사이트에서 암호화를 할테니 사용자들이 단기간에 학습할 수 있구요. 아울러 주민등록번호를 요구하지 못하도록 이 문제 역시 제도화 시켜야 합니다.

    한마디로 기형적인 인터넷 문화이 한 단면입니다. 글로벌 서비스같은 경우는 주민등록번호 없이도 잘만 사용할 수 있고, 비밀번호 암호화 안시키는 곳은 찾아보기 힘들죠. 기본으로 돌아가야 합니다. 그러기에너무 멀리온듯한 느낌도 들지만 항상 편리한 것만 찾다가는 언제까지 이런 문제를 해결하지 못하죠.

기차가 있어 즐거운 여행 - 나는 이래서 기차가 좋더라
기차가 있어 즐거운 여행 - 나는 이래서 기차가 좋더라
2010/07/05
지워진 휴대폰 사진 복구하는 법 - 소중한 사진이 지워졌다면?
지워진 휴대폰 사진 복구하는 법 - 소중한 사진이 지워졌다면?
2010/06/28
한글로가 "트위터 무작정 따라하기"를 냈습니다.
한글로가 "트위터 무작정 따라하기"를 냈습니다.
2010/04/09
"트위터 무작정 따라하기" 머리말 원문
"트위터 무작정 따라하기" 머리말 원문
2010/04/09
4대강 지키기 라디오 광고 - 방송은 못탔지만, 더 많이 봅시다
4대강 지키기 라디오 광고 - 방송은 못탔지만, 더 많이 봅시다
2009/10/21
점자 명함 만드세요! - 일반 명함을 점자 명함으로 바꾸는 법
점자 명함 만드세요! - 일반 명함을 점자 명함으로 바꾸는 법
2008/03/20
분류 전체보기
더보기
PD수첩 불방 사태, 결국 '4대강은 거꾸로 흘렀다'
PD수첩 불방 사태, 결국 '4대강은 거꾸로 흘렀다' 2010/08/18

PD수첩 불방 사태, 결국 '4대강은 거꾸로 흘렀다' 2010년 대한민국. 1990년 대한민국 1990년 9월 4일. 우루과이 라운드를 다룬 PD수첩이 불방되다. (출처) http://media.daum.net/society/..

KTX에서 무선 인터넷으로 아이폰 자유롭게 사용하기
KTX에서 무선 인터넷으로 아이폰 자유롭게 사용하기 2010/07/30

KTX에서 무선 인터넷으로 아이폰 자유롭게 사용하기 이미 주요역에서는 무선인터넷이 되네 이미 주요역에서는 무선 인터넷을 자유롭게 사용할 수 있도록 설비가 되어 있다. KTX 주요역 ‘무선인터넷’ 무료 사용 가능 [동아일보] 2..

기차가 있어 즐거운 여행 - 나는 이래서 기차가 좋더라
기차가 있어 즐거운 여행 - 나는 이래서 기차가 좋더라 2010/07/05

기차가 있어 즐거운 여행 - 나는 이래서 기차가 좋더라 기차는 언제나 나를 설레게 한다 기차가 지나가는 건널목. 우리는 그 길을 '땡땡거리'라고 불렀다. 물론, 그 기찻길로는 석탄을 실은 시커먼 화차들이 주로 다녔던 것 같다...

사운드가 예술인 노트북 - 델 인스피론 13R
사운드가 예술인 노트북 - 델 인스피론 13R 2010/07/01

사운드가 예술인 노트북 - 델 인스피론 13R 노트북은 멀티미디어가 약하다? - 편견을 버려라 노트북은 원래부터 휴대성을 강조한 업무용으로 발달되어 왔다. 그래서, 제법 고가의 노트북이라도 그래픽 카드나 사운드 지원은 상당히..

부천영화제 홈페이지 다운.. 매년 계속되는 영화제 첫날 서버 다운.. 과연 대책은 없나?
부천영화제 홈페이지 다운.. 매년 계속되는 영화제 첫날 서버 다운.. 과연 대책은 없나? 2010/06/30

부천영화제 홈페이지 다운.. 매년 계속되는 영화제 첫날 서버 다운.. 과연 대책은 없나? 부천 국제 판타스틱 영화제.. 홈페이지 다운되다 어떻게 보면.. 좋은 일이기도 하겠다. 부천국제영화제(PIFAN)의 홈페이지가 인터넷 예..

지워진 휴대폰 사진 복구하는 법 - 소중한 사진이 지워졌다면?
지워진 휴대폰 사진 복구하는 법 - 소중한 사진이 지워졌다면? 2010/06/28

지워진 휴대폰 사진 복구하는 법 소중한 사진이 지워졌다면.. 이렇게 복구해보자 아차차 하는 순간에 날아간 1년! 아이가 휴대폰을 만지작거리기 시작하면, 이제 비상이다. 우는 아이를 휴대폰으로 달래기도 하고, 어느새 휴대폰 삼매..

투표율을 높이기 위한 몇가지 방안 - 선관위와 국회의원께
투표율을 높이기 위한 몇가지 방안 - 선관위와 국회의원께 2010/05/30

투표율을 높이기 위한 몇가지 방안 - 선관위와 국회의원께 투표율이 낮다고? 왜 그럴까? 투표율에 따라서 희비가 엇갈리는 이상한 선거가 계속되고 있다. 그럼에도 불구하고, 전체적인 투표율은 매우 낮다. 정치에 대한 무관심도 있겠..

천안함 공개를 야바위로 만든 국방부 - 트위터에서 이벤트로 천안함 공개할 사람 뽑아?
천안함 공개를 야바위로 만든 국방부 - 트위터에서 이벤트로 천안함 공개할 사람 뽑아? 2010/05/30

천안함 공개를 야바위로 만든 국방부 트위터에서 이벤트로 천안함 공개할 사람 뽑아? 20명 뽑아서 천안함 공개할테니, RT해달라? 말이 안나온다. 트위터에서 RT(리트윗 : 어떤 사람의 글을 다시 트위터에 올리는 행위)를 통한..

전국 교육감/교육의원 - 민주 진보 후보들 전체 정리
전국 교육감/교육의원 - 민주 진보 후보들 전체 정리 2010/05/25

전국 교육감/교육의원 - 민주 진보 후보들 전체 정리 교육감, 교육의원은 소속된 당이 없고, 순서를 제비뽑기로 결정했기 때문에... 눈을 크게 뜨고 봐야 합니다. 자신의 동네에는 누가 있는지, 그 사람의 공약은 어떻게 되고,..

이것이 천안함 북한소행의 결정적 증거..
이것이 천안함 북한소행의 결정적 증거.. 2010/05/20

글씨체가 같은지는 필적감정이 불가능하대요. 쓴게 다르니까. 잉크는 분석가능하겠지만.. 안했다고 합니다. (출처 YTN TV캡처) 미디어 한글로 2010.5.20