이야기인즉슨, "내부 전산망의 보안 취약점을 지적해도 개선이 없자, 자기가 직접 체크한 후에 다시 알렸다"는 것이다. 그랬더니.. 덜커덕.. "너 해커지?" 이러면서 잡아갔다는 것.
무방비 상태 알려주고 보완조치하게 한 뒤 꾸짖었더니 글 삭제?
당시 나는 실종아동찾기 관련 글을 쓰면서 수도 없이 실종아동 사이트를 들락거렸다. 그러다가, 갑자기 보안 문제가 생각이 났고, 가장 간단한 방법으로 알려진 것으로 보안 점검을 해봤다. 그랬더니, 한번에 뚫렸다. 벌써 몇년째 이렇게 열려 있을지도 몰랐다. 그래서 이 사실을 관활하는 '복지부'에 알렸다. 그랬는데, 시간이 지나도 변화가 없었다. 그래서 아예 "정답"까지 알려줬다. 그랬더니 그제야 막았다.
그런데, 내 글은 당시에 새로 발효된 "권리침해 제도"로 인해서 삭제가 되었고, 당시 담당자로부터 들은 이유는 "명예훼손"이었다. (그 기관에서는 재차 부인했지만, 다시 나는 재차 확인했다) 어이가 없었다. 하지만, 그 이후 1달간 아무런 추가 조치를 기관측에서 취하지 않아서, 글은 합법적으로 다시 살아났다.
당시 나는 "명예훼손"이란 단어를 듣고서, 며칠이나 전전긍긍하면서 "명예훼손 소송에 걸리면 변호사비는 어떻게 마련하나" 등등 쓰잘데기 없는 생각으로 지냈던 기억이 난다. 내 죄명은 "해킹"을 해서 그 특정기관의 명예를 훼손했다는 것이었는데.. 나원참...
어쨌든, 우리나라는 "보안 문제"를 지적하면, 그 의도가 어찌되었든 "너 해커지? 너 해킹했지?" 뭐 이런식으로 잡아들이는 것 같다.
어쨌든, 지금도 내가 지적한 실종아동 문제는 크나큰 문제를 가지고 삐걱거리며 가고 있고, 이 나라의 실종아동 부모들은 속이 타들어가고 있다. 하루빨리 제대로 된 기관에서 제대로 된 수사를 했으면 좋겠다. 이 땅의 실종아동이 모두 부모품으로 돌아갈 수 있도록 말이다.
한글로. 2011.8.13
소셜웹 반응글
접기▲
소셜웹 더보기▼
* 이 포스트는 blogkorea [블코채널 : 미디어 한글로] 에 링크 되어있습니다.
미디어 한글로의 글을 구독해서 편안히 받아보세요! 공짜입니다. ^^
사실 그동안 애플 앱스토어과 안드로이드 마켓등 글로벌 온라인 앱 장터에는 게임 카테고리가 존재하지 않아 해외에서 인기가 높은 게임들을 접하기 힘들었습니다. 안드로이드 게임 앱의 경우에는 T스토어나 올레마켓, 삼성앱스등의 국내 마켓에서 심의를 받은 게임을 만날수 있었고 apk 파일을 구해 개별적으로 설치하는 편법이 존재했지만 애플 앱스토어에 올라가 있는 게임 앱은 탈옥을 하지 않고는 사용할수 있는 방법이 거의 없었습니다.
사가 상당히 세부적으로 S60의 퍼포먼스, 안전기술에 대한 프리젠테이션을 하고나서 포토타임이 이어졌는데요.
S60의 디자인은 아마 볼보중 최고가 아닌가 합니다. 볼보 라인업이 전반적으로 다 젋어졌는데도, S60은 더 젊어졌다는 느낌인데요, 다른 메이커와 비교해서도 젊고 다이나믹한 디자인을 하고 있다는 말을 충분히 할 수 있을듯 하죠?
L'augmentation mammaire avec des implants conçus pour augmenter la taille des seins par des prothèses derrière la glande mammaire. Pour cela, il existe plusieurs types de prothèse mammaire
내 블로그 아래에도 보면 소셜 댓글 창이 달려있다. 그런데 이건 "무료 공개용"이다. 개인은 돈을 안내고 쓸 수 있다. 하지만, 업체나 다른 사람들은 돈을 내든지 (혹은 특정 계약을 맺든지)하고 사용해야 한다. 그래서, 아예 다른 신문 사이트를 예로 들어서 보여드리겠다.
이미 옥션 해킹에 대해서는 언론을 비롯해서 난리가 났기 때문에 다들 안다. 나는 유출되지 않은 그룹에 속하긴 했지만, 그 이후에 온통 사이트마다 '비밀번호 변경'을 외치는통에 한 번쯤은 비밀번호 변경을 생각할 수 밖에 없었다.
하지만, 비밀번호를 바꾸는 것은 참으로 번거로운 일이다. 특히, 바꾼 비밀번호를 까먹는 수가 생겨서 좀처럼 바꿀 용기는 나지 않는다. (왜 난 자꾸 까먹을까? ^^)
어쨌든, 그래도 큰 마음먹고, 지금에서야 각종 사이트의 암호(비밀번호)를 바꾸기로 했다. 그래서 하나씩 바꾸어가기 시작했는데...
옥션, 너무 오버하는 것 아닌가? - 숫자까지는 이해해도 특수문자까지 의무사항으로?
근데, 아무리 암호를 넣어도 바꿀 수 없다고 나온다.
이거야 원...
자세히 살펴보니... 위와 같이 "영문/숫자/특수문자"를 모두 포함"해야 한다고 한다.
예를 들어서 abcdefg는 택도 없고 abcdefg1 도 안된다는 뜻이다. abcdefg#@도 안되고 abcdefg1$% 정도 되어야 받아준다는 뜻이다. 그리고 반드시 8자 이상이어야 하니, 이거 낭패다.
거기에다 '한 번 사용했던 비밀번호는 재사용이 불가능"하다.
이거 아무리 해킹에 의한 정보누출로 심하게 당했다고 해도, 너무 심한 것 아닌가? 이런 기준으로 암호를 만들려면 결국 자신이 사용하던 것과 다른 것을 만들어야 하고... 결국에는 '까먹는 지름길'이 되고 말 것이다. 이건 좀.. 거기다가 한 번 사용했던 비밀번호는 재사용이 불가능하다면.. 옥션은 예전 비밀번호 리스트를 보유하고 있다는 말이다. 이건 안위험한가? (어차피 암호화 되어서 위험하지 않다면, 지금의 이런 조치는 부당하다.)
조금은 유연한 태도를 보여주길
구글등에 가입할 때, 비밀번호가 너무 쉬우면 가입시켜 주지 않아서 애를 먹었던 기억이 있다. 하지만, 그래도 이렇게까지 숫자와 특수문자를 모두 포함하는 식은 아니었다.
엄격한 비밀번호 규정을 지키는 것은 좋다. 하지만, 그 규정으로 인해서 사용자들이 아주 불편한 정도까지 가서는 안된다. 보안을 철저히 하는 것과 사용자의 암호를 복잡하게 하는 것은 어느정도 연관이 있긴하지만, 너무 편한 방법 아닌가?
사용자의 암호를 잘 보호하는 것이 첫째인데, 그 암호가 누출되었을 때를 대비해서 복잡한 암호를 요구하는 것은 너무 안이한 태도가 아닌가 생각된다. (복잡한 비밀번호를 요구하는 것은 암호화된 비밀번호가 다시 역으로 풀리는 것을 막기 위함이라고 알고 있다.)
저도 이분 말씀처럼 비밀번호 바꾸려 하니까 특수문자를 넣지 않으니 안 되어서 이상하다 생각하면서 몇 번이고 다시 해도 결국 안 되어 나중에 특수문자 포함해서 하니까 되더군요.
정말 짜증납니다.
개인정보를 보호해주려고 하는 취지는 좋지만 보다 더 근본적인 해결책을 만들어야지 이런 식으로 이용자들의 불편을 담보로 하는 개인정보 보호책은 눈감고 아웅 하는 식이라고 생각합니다.
옥션을 대체할 만한 경매사이트가 빨리 생겼으면 좋겠습니다.
저는 옥션 VIP 등급 입니다
와이프는 사파이어 등급이구요~
요즘은 지마켓으로 갈아타는중이네요~
서비스도 지마켓이 더 좋고 값도 싸고....
어짜피 똑같은 판매자가 옥션, 지마켓에 파는건데
지마켓은 쿠폰을 많이 주죠~
옥션은 정보 유출이나하고 vip 까지 올라가도 지마켓 이제 시작하는 단계보다
서비스가 영~ 형편없어서....
나도 옥션 가입은 했지만 사용은 하지않아요.. 꼭 구입할게 있다면 할지 모르지만..우리나라 인터넷 싸이트는 모두 믿을게 못됩니다. 유출은 허다한 일이구요.. 서비스로 밀고 나갈때죠..많은 할인쿠폰,,참여할수있는 여러가지 이벤트등등..우리나라 보안기술도 많이 발전해서 유출이나 해킹은 꿈도 못꾸는 일이 되었으면 좋겠습니다...
옥션의 경우는 모르겠지만 일반적으로 비밀번호는 복호화가 불가능한 알고리즘으로 암호화합니다. 그래서 관리자도 변경해줄 수는 있지만 가르쳐줄 수는 없죠. 수학으로 대충 설명하자면 역함수가 존재하지 않는 함수로 계산을 한다고 보시면 됩니다.
그리고 과거에 사용했던 비밀번호는 어떻게 알고 있느냐?? 이런 경우를 생각해보시면 됩니다. 과거의 비밀번호가 123이었고 지금 비밀번호가 456이며 다시 123으로 바꾸고 싶은 경우에...
f('123') = '3534wesdf5423'
f('456') = 'ls@#wesosel6'
데이터베이스에는 암호화된 알수없는 코드만이 남게 되겠지만 123을 입력해서 동일한 연산을 수행했을 경우 동일한 결과값을 출력하기에 과거에 사용했던 비밀번호임을 알 수 있습니다.
제가 이상하다고 부분은 옥션 해킹사건의 경우 사용자의 비밀번호가 문제가 된것이 아니라 시스템 자체의 오류로 인해 발생한것입니다. 이제와서 사용자에게 강화된 비밀번호를 사용하게 강요하는것은 소잃고 외양간은 고치는데 엉뚱한 곳을 고치고 있는겁니다. 옥션은 사용자에게 부담주는 비밀번호 체계를 강요할것이 아니라 시스템의 취약성을 찾아 고치는 방향으로 일을 진행해야 할 듯 합니다.
맞습니다. 그런데 복호화되어 있더라도 일정패턴(사전단어)을 사용한 것이면 역으로 찾아낼 수 있지요. 옥션 암호 누출도 복호화된 데이터가 누출되어서 문제였는데.. 옥션은 과거 쉬운 암호들의 데이터도 같이 가지고 있는 셈입니다. 다시 뚫리면, 지금의 암호는 문제없겠지만(사전데이터에서 못찾으니까) 과거 쉬운 암호는 쉽게 찾아서 다른 포털등에 적용해보겠지요. (암호는 잘 안바꾸니까요.)
문제의 접근방식이 틀린 것 같습니다. 의무적으로 숫자+특수문자+문자를 넣는 것은 오버입니다. 특히 숫자까지는 다들 그렇다고 쳐도, 특수문자까지... 정말 안습이란 단어가 어울리지요. 댓글에도 나오지만, 저도 한참 헤매다가 포기했습니다. 외울 자신이 없더군요... 아마 전혀 못바꾸시는 분도 속출하실 듯...
정보보안에 관심이 있고 공부를 했고 그 분야에서 일을 해본 경험상... 보안과 사용자의 편리성은 반비례의 관계입니다. 사용자가 편하면 편할 수록 보안은 취약해지고 보안성이 뛰어날 수록 편리성은 떨어집니다. 인터넷으로 은행서비스를 이용해보시면 알겠지만 정말 복잡하고 불편하죠??^^ 어쩔 수 없는 겁니다. 이번에 옥션의 이러한 조치는 다른 어떤 싸이트보다 그만큼 보안성이 향상됬다고 좋게 해석할 수도 있습니다. 고객입장에서는 불편하지만 .......
나두 왕짜증나서 비번을 안바꾸고 있음.
아니 바꿀수가 없다해야 할 것임.
업체의 자체 보안 강화를 계속해서 연구하고 업데이트해야지
사용자에게 부담시키는건 비겁하다 해야할 것임.
이건 뭐 비밀번호로 숫자 문자 포함 100자 이상써라 뭐 이런것과 비슷한 것임
한마디로 말도안되는 짓거리임
그래가지고 비번 안바꿔서 사고나면 책임 덮어씌울 목적인 것 같음
비열.....
탈퇴 해지해도 손해는 있읍니다~!
님들의 정보가 유출 되지 않은것이 아니라 항상 유지 보관이 되어 있지요~!!
언제 까지?~!! 글쎄요~!! 옥션이 문서죽임작업을 끝낼때 겠죠~!!
그러니 어차피 빠진 늪이라면 대적 해야죠~!!
옥션 피해자 모임이라는 블러그인지 싸이트인지 뭔지는 잘모르지만 ~!
문을 두드리세요~!!
그래야만 쓸데없는 오해나 피해를 당하지 않겠죠~!!
님들의 판단이니 알아서 행동 하시길~~~~~~!!
사용자들의 과거 패스워드를 저장하는것은 패스워드 이력관리라 부르는 대부분이 사용하고 있는 보안장치 중의 하나이죠~보관되는 과거의 패스워드는 암호문의 형태로 저장되며 사용자가 새로운 패스워드를 생성할 때 암호문자열을 생성하여 과거에 사용되었던 패스워드의 암호문자열과 비교해 봄으로서 재사용 여부를 알 수 있게 하는건데..이런 방법은 마이크로소프트 등에서도 실행하고 있는 방법이죠~그리고 옥션이 지 아무리 똑똑하다 하더라도...저 방법은 패스워드 확인 외에 다른 용도로는 사용 못합니다.. 요즘 피씨방이니 은행이니 머 어디가든 인터넷 접할 수 있는데..어떻게 보면 더 노출될 수 있는 상황이 많잖아요~그렇게 따지면 패스워드 재사용 금지 해놓는게 나은거죠..
암호화되었다고 하더라도 사전에 있는 문자열을 사용한 경우는 찾아낼 수 있지요. 그래서 더 문제라는 것입니다. 그 데이터까지 모두 유출될 경우도 대비해야 하지 않나요? 저렇게 어렵게 하는 이유는 사전에 있는 문자열을 없애기 위함이었는데 과거의 암호는 사전에 있는 문자열일 가능성이 있기 때문에 문제라는 것이죠.
나는 다행히 비켜갔다. 하지만, 아내와 처형은 어김없이 해킹당했다. 옥션을 자주 이용해서 그런가보다. 그래서 우리집도 피해자 가족이 되었다.
그리고 집단 소송을 준비중이라는 이야기를 들었다. 카페도 많이 생겼다고 한다. 앞으로도 더 많이 생길것이다.
카페 중심의 집단소송 -개인정보 모두 내놓아야 해.. 추가 피해는 없나?
그런데, 정말 궁금한 것이 있었다. 집단소송을 하려면 결국 자신의 주민번호부터 시작해서 "누군가"에게 알려야 한다. 그리고, 보상액이 얼마가 될지도 모르는 현재 상황에서 "몇백만원" 운운하면서 유혹하는 문구도 보인다. 그러면서 참가비(소송비)를 1만원에서 3만원까지 받고 있다.
카페 자체가 부도덕하거나 그렇다는 이야기가 아니다. 단지, 여태까지 인터넷 카페에서 일어났던 많은 불미스러운 사건들을 기억하면, 이번 옥션 소송을 다루는 카페중 몇몇은 참가비만 받고서 사라지는 일이 없으리란 보장은 없다. 그 액수가 1인당 3만원이면 1000명만 모여도 상당한 액수니까, 얼마든지 "장사된다!"
그리고, 더 큰 문제는... 주민등록 번호가 유출되어서 소송한다면서, 누군지도 모르는 사람에게 자신의 주민등록번호를 적어서 보내야 한다는 아이러니다. 사실, 더 확실한 정보가 갈 것이다. 그러면, 이 확실한 정보들을 누군가 악의를 가지고 해킹집단에 팔지 않으리라는 보장도 없다.
이런 위험성을 가지고 있는데, "몇백만원" 로또 잡으러 자신을 모두 내던질 것인가?
나로서는 정말 이상한 생각만든다.
참여연대 등의 공인된 시민단체 중심이 되어야
소송을 하지 말라는 이야기는 아니다. 무조건 옥션을 두둔하고픈 생각도 없다. 이는 상당히 중요한 일대 사건이며, 아주 좋은 본보기가 될 수 있다. 옥션측도 그렇다. 사실을 사실대로 털어놓고 사용자들의 심판을 달게 받겠다고 했다. 숨기다가 곪아 터졌던, 새우깡 사태보다 백배 낫다. 전화위복이 될 수 있다.
하지만, 이런 소송이 일부 변호사들의 "대박 용돈벌이"에 사용되서는 안된다. 내 생각에는 이정도의 공익적 소송이라면, 참여연대 등에서 나서서 공인된 통로를 제시하는 것이 좋을듯하다.
소송비에 대해서는 여러가지 방안이 있겠지만, 사람들의 돈을 받기보다는 일단, 시민단체의 자체 비용으로 충당하거나 하는 방법도 생각해볼 일이다. 그리고 몇년이 걸릴 소송인지 모르지만, 그 소송 결과로 나온 수익금은 개인들의 의견을 미리 받아서 "불우이웃 돕기" 등의 공익사업에 사용하는 것도 좋은 방법이다. 물론, 앞서 미리 충당한 소송비용을 뺀 금액을 말이다.
이번 옥션 사건의 소송은 단순히 개인의 피해를 보상하는 차원에서 끝나선 안된다. 그 액수도 가늠하기 어렵다. 그런데도 이상하게 이 사건을 돈벌이로 이용하려는 듯한 무리들이 신나게 날뛰고 있다.
정말 원하는 것이 무엇인가? 재발 방지인가, 아니면 언제 있을지 모르는 피해에 대한 선보상인가? 그럼 언제 있을지 모르는 피해에 대해서 백만원을 받으면 모든 것이 해결되는가? 궁금한 일이다.
나는 재발 방지를 위해서 다른 기업들과 옥션에 경종을 울리는 것이 목적이라고 생각한다. 보상 금액이 얼마가 되었든, 기업들은 개인의 정보를 보호하기 위한 노력을 더 많이 쏟을 것이다. 그리고, 오래전부터 주장해 온 것인데, "패스워드"를 원 패스워드 그대로 저장하고 있는 수많은 정부사이트, 공기업, 일반기업 등에 대해 "암호화 한 것만" 저장하도록 법을 제정해야 한다. (관련글 : 당신의 패스워드는 안전하십니까? - 패스워드 암호화 시급하다 ) 물론, 그 방법이 100% 안전하다고 할 수 없다. 하지만, 적어도 지금은 대문을 활짝 열어놓은 상태라면, 암호화라도 해 놓으면 자물쇠라도 하나 채워놓은 상태 정도가 되니 말이다.
좀 더 신중한 대응을 했으면 좋겠다. 무슨 복권처럼 3만원 내고 200만원 받는 식의 광고에 현혹되어선 안된다. 당신이 지금 주려는 그것, 그것이 도둑맞아서 소송내는 것이다. 정신차리자.
참여연대 등의 시민단체의 발빠른 대응도 부탁드린다.
미디어 한글로 2008.4.18. media.hangulo.net
소셜웹 반응글
접기▲
소셜웹 더보기▼
* 이 포스트는 blogkorea [블코채널 : 미디어 한글로] 에 링크 되어있습니다.
미디어 한글로의 글을 구독해서 편안히 받아보세요! 공짜입니다. ^^
Tracked from To be, or not to be2008/04/18 13:59삭제
무려, 1081만명, 10,810,000명의 개인 정보 유출 사고로, 최근 이슈가 되고 있는 옥션 핵킹 사고입니다. 이중 일부는 심각한 수준의 개인정보가 유출이 되어고, 일부는 기본적인(?) 정보가 유출 되었습니다. 이에 발 마추어, 각종 포탈 사이트를 중심으로 집단 소송의 열풍이 불어 닥치고 있습니다. 결국 이 사태로 돈을 버는 사람은 변호사가 되겠군요.[footnote]사실 이러한 사고로 보안 업체가 아닌 변호사가 돈을 번다는 것이 가슴 아픈 현..
* 국내 최대 경매 사이트인 옥션의 해킹사건. 1000만 여명에 달하는 회원의 개인정보가 유출되었으니 인터넷을 뜨겁게 달굴만하다. 관련된 기사가 넘쳐나고 기사마다 실시간으로 토론이 진행되고 있다. 그런데 토론의 내용이 대부분 옥션소송에 관한 것이다. * 동시접속자 8천여명! 분당 게시글 20여개! 이미 3월초부터 옥션에 대한 소송을 준비중인 커뮤니티가 존재했다. 그중 다음의 한 카페에 가보니 회원수가 14만명이 넘어가고 있었고 지금도 방문객 수가 기..
옥션의 회원정보 유출사건으로 인해 수많은 사람들이 피해를 입었고, 집단소송 움직임까지 있습니다. 일단 정당한 움직임이라고 봅니다. 인터넷 시대를 맞아 소비자의 권리가 한층 강화되고 있구나 하는 느낌을 받습니다. 옥션을 성토하는 것은 좋은데 옥션 하나 죽이고 끝내기 보다는 이번 사건을 통해서 우리나라 인터넷의 보안이나 해킹문제에 대해서 한번 돌아보는 계기가 되었으면 합니다. 해킹은 일상적으로 벌어진다. 일반 사용자들은 해킹하면 아주 큰일이 난것처럼 느..
지난 1월인가 2월 있던 옥션 해킹 사건이후 별루 관심없어다가 아놔!! 오늘 한통에 이 메일 제목이 옥션 해킹 관련 추가 공지라는 제목으로 난또 비밀 번호 바꾸라는 것인가해서 클릭 뭐지?왠 엑스가? 보낼려면 잘보내지 화면서 창을 확 닫은후.. 으악 다음 실시간. 순위 3위로 문뜬...메일이 생각이나...이런 하면서 옥션에 가봐죠 옥션에 있는 공지 [기타] 해킹사고 관련 추가공지 옥션을 믿고 사랑해주시는 고객 여러분, 먼저 해킹범죄에 의한 옥션의 개인..
"전국민의 5명중 1명은 이미....♪" 지금 전 인터넷에 모든 공간이 옥션의 개인정보 유출 때문에 떠들썩 합니다. 그도 그럴 것이 대한민국 국민의 5명중 한 명은 거쳐보았다는 '그곳'이니,누구든 뉴스를 보면 화들짝 놀랄 수 없고 이내 그 많은 사람들 중에 당신은 자신 또한 그 1천만 명의 피해자 속에 속해있다는 것을 알게 됩니다 깜짝 놀란 당신은 서둘러 혹시나 있을지 모르는 해킹에 대비해서 부랴부랴 알고 있을 모든 비밀번호를 변경하고, 일어날지 모..
지금 옥션해킹피해자들이 공개된 이후 소송관련 일들이 부쩍늘어나고, 그에따라서 이런 저런 이야기들이 들려온다. 어디까지가 사실이고 거짓인지는 전문가가 아닌이상 확인하기가 힘들지 않나 싶다... 일단 인터넷에서 확인 할수 있는 사실 몇가지만 풀어보자. 일단 지금 인터넷상에서 집단소송을 준비하는 곳은 대표적으로 네이버와 다음 두곳에서 진행하고 있다. 자세한것은 http://www.mironae.com/919 에서... 각 변호사들은 200만원, 100만원..
이번 옥션 해킹사건이 일파만파로 번져나가고 있다... 일단 자신의 아이디가 해킹되었는지 알기위해선 옥션에 가서 확인을 해보자. 아래의 링크를 눌러서 들어가보면 확인 할 수있다. 소송관련 비용등에 허와실. 실제 받을 수 있는 금액은?? 대충 계산을 했습니다... http://www.mironae.com/920 회원인 경우에 확인링크 https://memberssl.auction.co.kr/Authenticate/Popup/Popup1.aspx 탈퇴회원..
현재 인터넷 뉴스를 보니 너도나도 소송에 참가하려고 난리더군요. 저 역시 피해자이기 때문에 이리저리 알아봤습니다. 그런데 혹시라도 돈을 참가비보다 몇 만원 더 만져볼 수 있을까... 생각하고 참가하시는 분이 많은듯 싶습니다. 만약 그렇다면 변호사들에게 낚이는 것입니다. 먼저, 법원은 기업이 파산할 정도의 배상판결을 내리지는 않습니다. 이 점은 소송천국인 미국도 마찬가지입니다. 우리가 뉴스에서 보는 수백억 달러짜리 소송도 그 회사가 그만큼을 지불하고도..
Tracked from 커피 쏟은 키보드로 쓰는 일상 ± Key Log2008/04/18 19:46삭제
어제 보니 인터넷이 온통 옥션 해킹 문제로 떠들석 하더군요. 저도 근래엔 옥션에서 물건을 사본적은 없지만 오래전에 가입을 해뒀었기에 일단 개인정보가 유출 됐는지 조회를 해봤습니다. 역시나 은행계좌만 빼고 죄다 털렸었네요.. 그런데 저 공지를 본 순간 '아차!' 했습니다.. 바로 16일 새벽에 왔었던 정체 모를 2건의 문자 메시지.. 새벽 잠을 설치며 확인했었던 저 두건의 문자 메시지를 당시엔 (잠결에) '잘못 온 메시지겠지..' 라 생각하고 귀찮은..
Tracked from 아이 초보넷 (http://ichobo.net)2008/04/18 21:31삭제
옥션해킹사후 이후로 갑자기 많은 사람들이 대박을 꿈꾸고 있습니다. 적게는 1만원에서 3만원 사이를 투자해서 100만원 보상금..? 위로금? .. 분명 저도 이번 해킹사건의 피해자의 한사람입니다. 분명 개인정보 관리를 못한 옥션에 책임을 분명히 있습니다. 하지만 이 기회다 하고 많은 사람들이 너도 나도 적게는 1만원정도를 투자해서. 100만원정도는 받을수있을거라고 입금하고 위임장도 보내고.. 변호사에게 수수료 20% 주고 .. 1만원 정도 투자해서 1..
중국 내 한글사이트로 계좌 암거래 진행 中<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> 얼마 전에 올라온 ‘네이버, 옥션 아이디를 파는 곳이 등장~!!’ 이라는 기사를 보면서 해당 사이트가 중국에 서버를 둔 사이트 라는 것을 알았다. 그 후 필자는 중국 내 한글사이트를 계속해서 검색을 해보았고, 검색결과 예상외로 많은 사이트 들이 한국계좌를 거래하고 있었다...
Tracked from The Martian Martin!2008/04/20 01:20삭제
정확히 두 달전에 옥션 해킹사건은 잊혀지려나?라는 포스트를 작성한 적이 있습니다. 그리고 설 연휴를 앞둔 2008년 2월 4일 일어난 옥션 해킹사건에 대하여 해커들의 놀이터가 된 한국의 쇼핑몰이라는 제목을 포스트를 작성했었습니다. 그 당시 옥션해킹 사태를 이슈화하여 어쨌든 정부가 개입되길 바랐었는데 그냥 묻히고 말았습니다. 그후로 잊으려고 해도 쉽게 잊혀지지 않고 늘 마음 한 구석에 불안감으로 자리잡고 있었는데, 이제 그 불안감은 현실이 되었습니다...
지난 2월 일어난 옥션 해킹사건의 피해자가 1천만명이 넘었다는 소식이 들린다. 사람들이 직접 개인정보의 유출여부를 확인할 수 있게 되었는데, 해킹당했다는 이름이 적힌 메세지를 보니 좀더 가깝게 와닿았나보다. 개인별 유출여부 확인이 가능해진 17일 이후 집단소송 카페들의 회원수는 급격히 늘어났다. 민주주의적인 절차를 통해 정말 민주적으로 정당한 피해보상을 진행하는 모습이다. 그러나 살펴보면 그저 유출이라는 떡밥을 물고 꽁돈을 얻으려는 기회주의적인 사람..
노파심에서 말씀드리지만.. 옥션 소송 자체에 대한 반대글이 아닙니다. ^^ 그 소송을 하는 주체가 (안면도 없는) 변호사가 운영하는 카페 중심이 되어선 안된다는 것일 뿐입니다. 변호사 사칭하면서 카페 만들어서 돈만 가지고 나를 수도 있겠지요. 아니면, 저 많은 양질의 정보들 (주민번호 등등)만 가지고도 충분히 장사가 될법하니까요.
저도 이번에 계좌번호까지 싸그리 유출된 사람중 한명입니다.
소송이 어떻게 돌아가나 궁금해서 카페 가입은 해 보았는데,
음 뭐랄까요 언급하신 부분이 꽤나 거슬리더군요.
위임장의 형식을 취하고 있긴 한데..
어쨌든 해킹당한것에 준하는 정보를 다른사람에게 재대로 알려주는게 되어버리니까요.
그래서 어떻게 해야 좋을지 고민중입니다.
어떻게 하는게 좋은건지..ㅋ
저희 가족 중에서도 저를 포함해서 3명이나 유출되었더군요.(옥션 가입자 전원이 유출된 셈)
그래서 저도 해당 카페를 가입하고 유심히 살펴보고 있는 중입니다.
여기서 직접적으로 특정 카페들을 평하는 건 좀 무리가 있으니 에둘러 말하자면
문제가 보이는 카페들이 있어서 최소한 며칠은 더 지켜보고 천천히 결정해야 할 필요를
느낄 수 있었습니다.
한글로님 글과 같은 문제 제기들이 크게 이슈화되어서 빠른 시일 안에
문제점들이 보완된다거나 좀 더 믿을만한 방법으로 보상을 받을 수 있는 길이
열렸으면 합니다.
저도 개인정보 유출 대상입니다.
그러나 소송을 하기 위해서 모르는 사람에게 내 개인정보를 아라려줘야 하고 현금을 지불 해야 한다는게 굉장히 꺼림직합니다.
시민 단체가 아닌 변호사 개인이 주축이 되는 것도 석연치 않습니다.
이번 옥션 사태로 가장 큰 수혜자는 변호사가 아닌가 싶습니다.
문제는 그 까페에 대상 회사의 정확한 소재와 전화번호등도 기재가 안되어 있고, 오프라인상에서 만나서 설명을 하는등의 그런 부분 전혀 없이 달랑 돈 입금하라는 계좌번호랑 정보담은 파일을 보내라고 하니..정말 위험합니다. 상대가 누구인지도 모르고 대포통장에 입금해주게 되는꼴이 날지 누가압니까.. 잘못하면 1만명이면 3만원씩이면 3억원이고, 5만명이면 15억원인데 정말 위험한 일이 될것입니다. 무조건 1인당 3만원이라는거도 이상하구요.. 신청부터 받고 몇명 이상이면 얼마가 아니고 왜 소송하는데 무조건 1인당 3만원이 드는지도 의문입니다. 회사명,연락처,오프라인상의 모임시간등이 있어도 될까말까인데, 단순히 까페에 계좌번호 송금이라....위험할 확률 개인적으로는 90%넘게 봅니다...또 한번의 피해자가 양산될수 잇으니 조심을...
시민단체 차원의 뭔가 소송이 나오면 좋겠어요
솔직히 저는 돈이 문제가 아니라 정말 기분이 너무 나뻐서 옥션이라는 대표적인 인터넷 상거래 사이트가 회원정보 관리를 그렇게밖에 못 했다는 사실에 기분이 나뻐서 IT 업계 자체에도 경종을 울려야 한다는 생각에 소송을 하고 싶은데 솔직히 소송보상금에는 관심이 없는데 뭔가.. 카페에 들어서 소송을 하자니 계속 기분이 찜찜해서 못하고 있습니다
얼른 뭔가 다른 이번일에 대한 다른 대안적인 참여방식이 생겼으면 좋겠습니다
어차피 개인정보가 유출된건 소비자로써 서비스를 받고 있는 고객으로써 기분 나쁜건 맞습니다.
단순히 돈을 워해서 소송을 하는것이 아니라.. 돈을 받음으로써 이 정말 엿같은 기분을 전환하고 싶네요 ㅋ 님 글도 좋지만 너무 도덕적인 부분도 들어있는 것 같습니다.
소송은 물론 카페 같은 곳에서 해서는 절대 안 되겠습니다...
믿을만한 시민단체나 아니면 자기 개인이 스스로 소송을 걸어야겠죠. 소송문제는 저도 글쓰인님의 읜견과 동일 합니다.
하지만 돈벌이 수단??? 모든 사람들이 그렇게만 생각하는 것이 아닙니다.
저는 보안에 대해 상당히 민감 합니다...
단순히 이번 해킹 사건을 돈벌이 목적으로 생각하지 않고 있다는 겁니다.
우리나라만큼 웹사이트 보안이 허술한 곳도 없을 겁니다..!
무X스트, 투니X스, 등등의 많은 메이저 사이트들이 악성코드를 내포한 채 운영되고 있더군요...ㅋ;;
거의 매일 해킹 당하다 싶이요... ㅡㅡ;; 참 어이가 없습니다..
탈퇴회원도 해킹확인을 하라니...;; 어이가 없습니다..
그렇다면 옥션측에선 탈퇴회원의 개인정보도 소유하고 있었던 것 아닙니까??
이건 명백히 자신들의 약관에 있는 개인정보 취급방안에도 어긋나는 것이고 고객을 완전히 우롱하는 것이 되겠죠...
정신적 충격과 심한 짜증감을 어떻게 극복할 수가 있겠습니까?
보상을 받아야만 하죠...;; 거기서 물론 뜻이 있는 사람이야 불우이웃돕기 같은 것을 한다 치지만..
매일 보이스피싱이나 사기전화, 스펨메일등에 시달리는 해킹피해자로써 보상을 받는 것은 당연하다고 생각 합니다. 정신적인 피해보상은 확실히 받아야 겠어요 !
그리고 다른 기업에서도 뼈저리게 느끼겠죠..
짜증나는 대한민국의 기업 정신들...직업윤리라고는 눈꼽만치도 없는 놈들....
외국의 탄탄한 기업들 좀 본 받았으면...돈벌이에만 혈안이지...
어쨌든 돈으로 소송받고 싶다는 것은 개인의 자유입니다. 전혀 비판적인 시각으로 볼 필요 조차 없다는 겁니다. "카페를 통한 소송문제는 저도 문제가 있다고 생각 합니다. 구 부분 만큼은 동참
주번을 도용당한 저는 해킹에서 비켜갔는데, 큰아이가 해킹을 당했다네요. 하여 어제 집단소송에 참여할 것인가를 두고 이야기를 주고 받았는데, 한글로님의 글을 읽으니 또 다른 피해가 충분히 가능할 것 같아 말리고 싶습니다. 해킹으로 아직 별다른 피해 징조는 없구요. 에휴~ ;
박모변호사란 사람이 소송을 준비중이니 3만원씩 그것도 자기계좌를 직접 내걸고 앉아있더군요.
참 한심해서 스스로 정체성도 없이 그저 돈만 벌어보잔건가. 참
진짜 참여연대나 시민단체가 중심이 되어야 합니다. 그래서 어느정도 보상을 받아서 피해자들 모두에게
조금씩이라도 돌려주던지, 아니면 불우이웃돕기에 전원 성금하던지 해야 한다고 생각합니다.
나는 거의 모두를 활성화 것 같아요. 그게 정말 그럼에도 불구하고, 당신이 stating.In 사실 놀라운 기사 건지 정확히 것만큼 보고서로 멋진 아닌가요 여기에 귀하의 데이터를 획득했습니다! 우리가 사람의 작업 하드를 이해 수 있도록 우리는 또한이 주제에 경험이 많습니다.
또한, 지속적인 나의 캠페인으로 인해 압박을 받자, 아래와 같은 공지문을 올린다. (2007.6.4)
ActiveX 설치에 대하여
실종아동 찾기에 관심 가져 주셔서 감사합니다.
실종아동전문기관에서는 실종아동 및 장애인의 실종신고접수 자료를 경찰청과 공유하고 있으며, 또한 전국 시설보호 아동 및 장애인 중 보호자가 확인되지 아니한 대상의 신상카드를 접수받아 DB화하여 홈페이지에 공개하고 있습니다.
실종아동등의 관련 정보의 보호조치 및 공개,열람에 대한 내용은 “실종아동등의 보호 및 지원에 관한 법”률(‘05. 12. 1시행) 시행령 제4조제1항 규정하고 있는데, 그 내용은 “전문기관의 장은 법 제8조의 규정에 의하여 신상카드를 활용한 데이터베이스를 구축,운영함에 있어서 정보 또는 자료를 안전하게 보호하기 위한 정보복구 체계의 구축 및 외부침입 방지장치의 설치 등 정보 또는 자료보호에 필요한 조치를 하여야 한다”. 라고 규정하고 있습니다.
이에 따라 우리 기관에서는 내부 주전산 프로그램을 사용하고 있으며 내부전산 프로그램의 데이터를 웹 인터페이스 통해 홈페이지에 구현되고 있습니다. 따라서 구현하는 개발Tool 자체로서 보안등의 사유로 ActiveX 프로그램을 첫 방문 시에 설치하도록 하고 있습니다.
그러므로 여러분들께서 다소 불편함이 있으시더라도 홈페이지 첫 방문시에만 ActiveX를 설치해 주시면 이후로는 모든 정보를 확인하실 수 있으므로 양해하여 주시기 바랍니다.
다시 한번 여러분들의 넓은 이해 부탁드리며, 실종아동에도 많은 관심 부탁드립니다. 감사합니다.
즉, 정보보호에 대한 조치를 강구해야 한다고 되어 있다. 덕분에 전혀 보안과 관련없는 리포팅 툴을 설치해 놓는 헤프닝이 몇년째 계속되고 있다. (그 액티브X가 보안과 상관없음은 여러 글을 통해서 밝혔다.)
그래서, 얼마나 제대로 웹사이트를 방어하는가를 알아보기 위해서, 아주 간단한 테스트를 해보았다. 내가 담당하는 시스템의 보안을 점검할 때하는 가장 간단한 테스트로, 상용 웹사이트의 프로그래머라면 당연히 막아야 할 부분이었다.
그런데, 어이없게도 아래와 같은 운영자 모드로 접근이 가능했다. 나는 암호도 모르는데 말이다!
나는 악의적인 해커가 아니기때문에, 이러한 사실을 실종아동 전문기관에 이메일을 보냈고(2007.7.26. 13:53), 혹시 이메일이 도착하지 않으면 어쩔까싶어서 보건복지부에 민원을 넣어서 알려드렸다. 보건복지부에서는 "조치하겠다"는 답변도 받았다. 이것이 엊그제 저녁의 일이다. (2007.7.26일 저녁)
그렇지만, 오늘(2007.7.30) 아침에도 전혀 조치되어 있지 않았다. 계속해서 관리자 페이지는 열리고 있었다. 그래서 아침에 다시 보건복지부에 "예제 와 정답"도 알려주었다. 하지만.. 그것이 처리된 것은 그로부터도 몇시간이 지난 오후 4시경이다. 진짜 해커가 경고를 했더라도 이렇게 더뎠을까? 자그마치 나흘이 걸렸다. 해커는 아마 기다리다가 지쳤을지도 모르겠다.
이 웹사이트는 이 디자인으로 무려 2년이상을 운영한 곳으로 알고 있는데, 그럼 그동안 누군가가 들어왔을 수도 있지 않은가?
그 기관의 주장대로라면 Active-X로 보안을 했는데 왜 이런일이 일어났을까? 다시 말하거니와 그들이 설치를 강요하는 Active-X는 보안툴이 아닐뿐더러, 보안툴을 아무리 깔아도, 프로그램에서 체크하지 않으면 안되는 부분이기 때문이다.
큰 대문 열어놓고 창문만 닫은데다 해결 의지도 없어
이 경우를 일컬어 "대문을 활짝 열어놓고" 창문을 꼭꼭 닫고, 창문을 열때마다 비밀번호를 눌러야 하는 장치를 닫고서 "우리집은 안전하다"고 하는 격과 같다. 또한, 그러한 사실을 알려주고, 내 전화번호도 남기면서 "문의사항이 있으면 하라"고까지 해주었지만... 역시... 아무런 문의도 오지 않았다. 의지 자체도 없는 것으로 판단할 수 밖에 없다.
그래서 어쩔 수 없이 며칠이 지난 오늘, 다시 직접 해결책까지 알려준 것이다.
그런데, 이게 무척이나 어려운 부분은 아니었다.
프로그래머가 수정해야 할 부분은 단 몇 줄. 그것도 걸리는 시간은 30분을 넘지 않을 간단한 작업이었다. 사실, 이런 기초적인 부분은 당연히 막혀 있어야 하며, 만약 내가 두리뭉실하게 지적을 했다고 하더라도 금방 알아채야 정상이다. 하지만, 이 곳은 그렇지 못했다.
해킹 경고에도 이렇게 느긋한 곳이, 과연 아이들을 찾는데는 얼마나 적극적일까?
이런 기관이 한두개일까?
솔직히, 담당 공무원도 별 관심이 없는 부분인데다가, 위탁 기관의 숫자와 웹사이트의 숫자가 어마어마한 상태이므로 이런 일은 어디나 벌어질 수 있다. 복지부 산하 기관 뿐만 아니라 많은 사이트가 "대문을 활짝 열고" 있는 실정일 것이다.
앞으로 시간이 날때마다 체크를 해서 국가에 알려주겠지만, 누군가가 마음만 먹으면... 어떤 사태가 벌어질지 뻔하다.
국가는 키보드 보안 Active-X를 도입하라고 강요할 뿐이지, 이런 간단한 체크는 하지 않고 있다. 그리고, 위탁운영기관은 그냥 "그들의 문제"라고 치부하고 관심을 끊고 있는 것은 아닌가? 위탁 운영되고 있는 중요한 곳이 얼마나 많은지 아는가?
제발.. 돈이 없어서 못한다는 소리는 하지말자. 앞서 예로 든 기관의 한 해 예산은 자그마치 8억원이다.
국가의 예산이 헛되게 사용되지 않았으면 하는 바램이다.
그리고, 실종아동기관의 각성을 바란다. 만약 이 사태로 키보드 보안등의 Acive-X를 도입하는 식의 이상한 대책을 세운다면... 나는 너무 화가 날 것만 같다.
* 이 글은 실종아동기관이 내가 지적한 보안문제를 수정하였음을 확인하고 올림을 밝혀둔다. 수정 전에 올렸더라면, 마음씨가 좋지 않은 해커들로 인해, 아마 그 홈페이지는 고난을 겪었으리라. (하지만, 2년 이상 그렇게 운영되었다)
요즘 이메일의 재미에 푹 빠진 '아무개'씨는 자신의 계정 패스워드를 아무에게도 알려주지 않는다. 그 누구에게도 알려주지 않았으므로 안전하다고 생각한 '아무개'씨. 하지만, 어느 날... 패스워드를 잠시 잊어버린 그는 그 사이트의 고객상담실에 전화를 해보고는 깜짝 놀라게된다.
네.. '아무개 회원님이 맞으시네요. 회원님의 패스워드는.. 1234입니다'
아무에게도 안가르쳐준 패스워드를, 상담원들은 손쉽게 알 수 있단 말인가!
아무개씨는 혼란에 빠진다. 저 패스워드로 거의 모든 사이트들을 접속하고 있으며, 심지어 인터넷 뱅킹의 암호도 모두 통일해 놓았으니 말이다.
패스워드는 어떻게 저장되는가?
정답은 '안전이 보장된 큰 포털 사이트와 제로보드 등의 이름난 공개 게시판 시스템, 안전이 보장된 쇼핑몰 등을 제외하고는' "그냥 아무런 대책없이, 내가 입력한 그대로 저장된다"이다.
게시판 시스템으로 간단히 사이트를 운영하는 수많은 곳에서도 사용자의 패스워드는 운영자 권한이면 쉽게 열람이 가능하다. (글쓴이의 경험으로는 윈도우즈쪽의 시스템을 사용하는 웹사이트에서는 대부분 그대로 저장하고 있었다)
'패스워드 찾기' 기능을 사용해서 이메일로 패스워드를 그대로 보내주는 곳은 모두 '암호화'가 안되어 있는 곳이고, 누군가 나쁜 사람이 마음만 먹으면 얼마든지 유출이 가능하다는 뜻이된다. (암호화가 되어 있으면 임시 패스워드를 발급하는 방법으로 알려준다.)
주민등록번호 도용으로 온나라가 떠들썩한게 얼마전이다. 그래서 주민번호에 대한 대책으로 '가상 주민번호'제도를 도입하는 등, 업체 등에서도 신속히 대응하고 있다. (물론, 아직도 첫걸음 수준이지만...)
개인정보(Private data)를 낚는다(Fishing)는 뜻의 피싱(Phising)은 쉽게 말하면,"가짜 사이트"를 만들어서 사람들의 개인 정보를 빼내는 범죄를 말한다.
즉, daum.net을 치려다가 오타를 내게 되면, 보통은 다른 사이트로 이동해야 하는데,
'다음'과 똑같은 페이지를 디자인해 놓는 방식이다.
접속한 사람은 아무 생각없이 로그인을 하게 되고, 그 정보는 고스란히 피싱 사이트를 만든 시스템에 저장이 된다.
당연히, 그 자료는 악용이 되는데, 최근에는 이메일이나 여러가지 기법을 사용한 피싱 기법이 개발되어 많은 피해자를 낳고 있다.
하지만, 우리가 우려해야 할 것은 피싱만은 아니다. 우리가 무심코 가입하는 수많은 사이트들.. 주민번호를 넣지 앟아서 안심하고 있는 수많은 사이트들 조차도, 가장 중요한 정보인 'ID'와 '패스워드'를 고스란히 가지고 있다는 뜻이다.
물론, 그 많은 사이트들을 모두 '범죄자'로 몰고 갈 생각은 전혀 없다. 단지, 범죄자들이 그 방법을 사용함으로써 선량한 사이트 운영자마저 철퇴를 맞을 수 있다는 뜻이다.
패스워드는 암호화 되어야 한다
말 그대로 '암호'인 패스워드는 암호화 시켜서 저장해야 한다.
'그러면 어떻게 패스워드가 맞는지 검사하느냐?'는 질문이 나올법한데, 이미 유닉스 기반의 운영체제에서 수십년간 사용한 방법이 있다. (유닉스, 리눅스 시스템에서 계정의 암호는 운영자도 알 수 없도록 암호화 되어 있다)
또한, 제로보드 등의 공개 게시판 시스템은 이미 오래전부터 패스워드와 주민번호에 대해서 암호화 기법을 사용하고 있다. (물론, 코드를 수정해서 사용하는 게시판도 있으므로 100% 믿을 수는 없다)
간단히 설명하자면...
단방향 암호화 함수 (이 단어가 학술적이지 않을지는 몰라도 이해에는 큰 도움이 되므로 사용함)란 것을 사용하는데, '1234'를 넣으면 '36ff78fd0cf7ee31'와 같은 고유한 문자열을 결과값으로 내주는 함수다. 물론, 다른 문자열에 대해서는 절대로 같은 문자열이 나오지 않는 함수이다.
이렇게, 사용자가 가입시 1234를 넣더라도 DB에는 36ff78fd0cf7ee31 로 저장을 하고,
나중에 로그인 할때도, 사용자가 입력하는 값을 암호화 함수에 넣은 결과값을 저장된 36ff78fd0cf7ee31와 비교만 하면 된다.
좀 복잡한 것 같지만, 이미 널리 이용되고 있는 방법이며, 리눅스 계열에서는 쉽게 구현이 가능하다. 하지만 윈도우즈 계열에서는 그렇게 널리 사용하지 않은 듯 보이며, 글쓴이의 지식으로는 많은 사이트들이 패스워드 암호화에는 큰 관심을 두고 있지 않다고 알고 있다.
누가 고양이 목에 방울을 달까?
인터넷 서비스 업체와 개발자, 사이트 운영자들이 패스워드 암호화를 자발적으로 도입하고 운영해야 한다.
이때, 정부에서 단방향 암호화 관련 표준 코드들을 제시해 주면 좋다. 물론, 인터넷에는 많이 공개되어 있긴하지만, 이것을 찾고 적용하고 검증하는데는 전문가가 아니라면 좀 시간과 노력이 많이 든다.
하지만, 그러한 대책이 있기 전에 사용자들은 어떻게 해야 하는가?
정기적으로 패스워드를 바꾸라고 다들 권장하지만, 그렇게 하는 사람이 몇이나 될까?
인터넷을 사용하면서 패스워드 자주 바꾸는 것은 정말 귀찮은 일이다.
그래서 차선책으로 내세울 수 있는 것은...
대형 포털등 안심할 수 있다고 판단되는 곳에 사용하는 중요한 패스워드와 남이 알아도 크게 피해가 가지 않는 곳들에 사용하는 덜 중요한 패스워드.. 이렇게 두가지를 운영하면 좀 안심이 될 수 있다. (패스워드의 이원화)
그리고 중요한 패스워드는 적어도 6개월에 한 번쯤은 바꾸는 것이 수많은 기술로 구멍이 생기고 있는 현대 인터넷 세상에서 피해를 예방하는 길이다.
세상에 완벽한 방패는 없다
'모순'이라는 말의 어원처럼, 절대로 "모든 것을 막을 수 있는 방패"나 "모든 것을 뚫을 수 있는 창"은 존재하지 않는다. 어떤 보안책이라도 뚫리기 마련이며, 그 뚫린 구멍은 또 막을 수 있다.
위에서 말한 패스워드 암호화 기법을 사용하더라도, 사용자가 사전에 있는 단어들을 기반으로 만든 암호를 사용하거나, 전화번호, 생일 등 연관 가능한 것들로 암호를 만든다면, 부지런한 범죄자들은 반드시 그 구멍을 찾아내고 말것이다.
요즘 세상에 자신의 개인 정보가 하찮다고 느끼는 사람은 없을 것이다. 그렇다면, 그 소중한 재산을 보호하기 위해서 조금 더 조심하고 문단속을 철저히 하자.
- 참고 : 글쓴이는 보안 전문가가 아니므로 위의 내용에 틀린 내용이 다수 포함될 수 있습니다. 틀린 부분을 알려주시면 바로 수정하겠습니다 -
소셜웹 반응글
접기▲
소셜웹 더보기▼
* 이 포스트는 blogkorea [블코채널 : 미디어 한글로] 에 링크 되어있습니다.
미디어 한글로의 글을 구독해서 편안히 받아보세요! 공짜입니다. ^^
옥션의 회원정보 유출사건으로 인해 수많은 사람들이 피해를 입었고, 집단소송 움직임까지 있습니다. 일단 정당한 움직임이라고 봅니다. 인터넷 시대를 맞아 소비자의 권리가 한층 강화되고 있구나 하는 느낌을 받습니다. 옥션을 성토하는 것은 좋은데 옥션 하나 죽이고 끝내기 보다는 이번 사건을 통해서 우리나라 인터넷의 보안이나 해킹문제에 대해서 한번 돌아보는 계기가 되었으면 합니다. 해킹은 일상적으로 벌어진다. 일반 사용자들은 해킹하면 아주 큰일이 난것처럼 느..
맞습니다. 그게 문제지요. 하지만, 비켜가는 방법이 많습니다. "회원님, 저희 사이트는 보안이 철저해서 회원님의 암호를 저희도 알 수가 없습니다. 제가 회원님의 암호를 알면 도용도 가능하겠지요. 하지만, 지금 회원님의 신원만 확인되면, 원하시는 암호로 바꾸어드릴 수 있습니다" 라는 식으로요. 오히려 더 믿음을 주기도 하더군요... 사실... 암호 다 볼 수 있으면서도 정책적으로 이런식으로 하는곳도 있습니다. ^^
MS 쪽이 암호화가 더 허술하다는건 말이 안되구요. 리눅스나 유닉스의 경우 기본 설정일경우 특정 폴더에서 (리눅스/유닉스) 사용자 계정의 암호를 다 볼수있습니다. 보안을 위해선 이 폴더를 없애고 다른 폴더(root만 접속가능한)에 암호를 보관해야되구요. 최신 배포판들은 기본적으로 이런 방식을 제공하는 경우가 많지만, 오래된 배포판들은 대부분 안되있습니다. 솔직히 말해서, 리눅스에 대해서 아주 잘 아는 경험많은 관리자가 관리하는 서버가 아닌이상 윈도서버보다 훨씬 더 쉽게 뚫을수 있습니다. 한 1년 정도 꾸준히 시도하면 root 권한 확보한 리눅스 서버 수천개정도 얻는건 간단합니다.
그리고 APM 환경의 암호화라는게 전부 MySQL 인크립션을 기반으로 하는 암호화인데.. 이건 일단 데이터를 얻었다면 시간이 좀 오래걸리긴 하지만 푸는건 그리 어렵지 않습니다. 그리고 MS-SQL이나 Oracle도 암호화는 다들 기본적으로 제공합니다. MySQL보다 더 강력하구요. 다만 윗분이 말씀하셨다 시피 클라이언트 측에서 빼자고 요구하니까 애초에 개발할때 그걸 사용하지 않도록 하는것뿐입니다.
마지막으로 제로보드는 아예 보안쪽으론 가능성이 없는 보드입니다. 최신인 pl8 버전도 어렵지 않게 방법을 찾아서 크랙할수 있습니다. 제로보드보다 훨씬 더 전세계적으로 유명한 phpBB도 마찬가지구요. PHP 자체가 근본적으로 취약합니다. 오픈소스 프로젝트들은 거의 모두 trac을 유심히 살펴보기만 해도 바로 최신버전에 대한 크랙방법을 얻을수 있습니다. 오픈소스가 아닌쪽들은 비교적 정보를 얻기 어렵기 때문에 최신 버전에 대한 크랙방법을 획득하기 어렵습니다.
제가 글을 잘못쓴 모양입니다. ^^ 제가 말씀드린 '암호화' 관련은 시스템 자체의, DB단의 암호화가 아닙니다. 보통 리눅스 쪽에서 기본으로 사용하는 게시판인 '제로보드'처럼 기본적으로 소스코드를 손대기 전에는 자동으로 암호화(인크립션이라고 하나요?)되어서 저장되는 것에 반해, 대부분의 윈도우 기반 게시판은 그런 개념조차 거의 없다는 것입니다. 특히, MD5인가 하는 간단한 암호화 기법도, 리눅스단에서는 쉽게 사용하던데, 윈도우쪽에서는 새로 만들거나 해야 되더군요. (제가 워낙 개발쪽에는 미천한 실력이라.. 용어가 좀 그래도 이해바랍니다.^^) 몇몇 회사들의 상태를 봤는데, 거의 다 그냥 넣어놓고 있더군요. (윈도우와 오라클을 사용하는 시스템에서도 마찬가지였습니다) 그런 면에서 문제가 있다는 뜻이었습니다.
제로보드 등의 암호화 수준에 대해서 말씀하신 것은 "기술자"수준의 접근이지만, 제가 말씀드린 것은 "운영자"혹은 "상담원" 수준의 접근입니다. 아무리 기술자 단에서 암호화니 뭐니 해도, "상담원"이 손쉽게 남의 암호를 볼 수 있다면, 아무소용 없는 일이지요. 하지만, 그게 곳곳에서 일어나고 있는 것은 현실입니다. 그 문제를 다룬 것입니다. ^^
제로보드가 주민번호와 비밀번호를 암호화해서 저장하는 방식이 바로 MySQL 인크립션을 이용하는 것입니다. 별도의 암호화 알고리즘은 없고 그냥 MySQL 기능을 이용해서 암호화합니다. 그리고 MD5 체크섬은 암호화를 위해 사용되는 것이 아니라, 파일의 무결성 검사를 위해 사용됩니다.
상담원이 암호를 보는 문제는, 해당 웹프로그램들이 개발될때 클라이언트가 어떤 요구를 했느냐에 전적으로 달려있습니다. MS에선 어렵고 리눅스에선 쉽고 이런 문제가 아닙니다. 똑같이 쉽습니다. 즉 OS와는 전혀 상관이 없는 문제입니다.
MS쪽에서 그런 형태의 웹프로그램이 많은건 다음과 같은 이유라고 짐작해 볼수 있습니다. LAMP 서버는 주로 돈없는 개인이나 중소기업이 많이 쓰는 관계로, 고용된 개발자가 아예 없거나, 용역으로 개발할 예산이 아예 없는 경우도 많습니다. 이런 경우 공개 소프트웨어의 소스를 수정해서 비밀번호와 주민번호를 상담원이 볼수 있도록 만들어줄 개발자가 없으므로, 기본 세팅대로 그냥 쓰게 됩니다.
반면 MS쪽을 쓴다는건.. 일단 OS,DB 값으로 이미 천만원 이상을 지출했다는 의미인데.. 즉 개발 외주를 줄만한 능력이 있습니다. 그럼 개발할때 요구사항을 이것저것 말하겠죠. 거기에 관리자가 비밀번호 주민번호를 볼수있게 해달라가 포함되는 경우가 많은것뿐입니다.
글의 핀트가 많이 빗나간 듯 합니다. 주된 주장은 "패스워드를 상담원이나 운영자가 볼 수 없도로 단방향 암호화"를 하자는 것이고, 대체로 제로보드를 수정해서 사용하는 리눅스 쪽에서는 (좋든,싫든) 제법 되고 있는데, 대부분의 윈도우 프로그램에서는 그렇게 되지 않고 있다는 것입니다. 그리고, 클라이언트의 요구라기보다는 개발자의 의식부족이 더 클 수도 있다고 생각합니다. 어쨌든, 공부 잘 했습니다. ^^
피싱은 서버단에서 패스워드를 변형해서 저장하느냐 여부와 상관없습니다. 클라이언트에서 서버단까지 변형되지 않고 전달되면서 가짜 사이트를 검증하지 못한다면 피싱은 가능합니다. 현재의 HTTP에서는 이 부분을 해결할 방법이 마땅치 않습니다.
그리고 보통 패스워드를 저장하기 위해 사용하는 MD5와 같은 방법들은 암호화가 아니라 "해슁"입니다. 해슁되어 나온 값이 전부 다른 경우를 완전 해슁이라 부릅니다. 이론적으로 완전 해슁은 존재하지만 MD5와 같이 일반적으로 사용되는 해슁 함수에서 완전 해슁을 기대하기 힘듭니다. 즉 MD5를 걸쳐서 나온 값, 즉 해슁 값이 동일한 경우가 존재합니다. 실제로 DB에서 MD5를 확인한 경우 그 사용자가 가입한 다른 사이트에 모두 "로그인" 하는 것이 가능합니다. 왜냐하면 사용자가 만든 패스워드와 동일하지는 않지만 같은 해슁 값을 가진 패스워드를 단순 반복 대입으로 찾아낼 수 있습니다. 게다가 이 단순 반복 대입 결과를 정리하여 DB로 제공하는 사이트들이 있습니다. 이 사이트를 이용하면 호환되는 패스워드를 5초 내로 찾아낼 수도 있습니다.
어떻게 되었든 DB가 공개되기만 하면 어떤 방법으로도 사용자의 계정이 위험한 것입니다.
또한 한 익명 유저는 리눅스의 보안에 대해 이야기한 분이 계신데 전 레드햇 이전의 슬랙웨어에서도 해당 문제를 경험하지 못했습니다. 대체 어느 시대를 말씀하시는 것인지 의문이 드는군요.
함수를 mysql의 것을 이용한다는 것도 예전 이야기입니다. 제로보드나 PHPBB과 같이 낡은 애들이 아니면 최근에는 거의 PHP에 종속된 md5 함수등을 사용하고 있습니다. 사용하는 알고리즘이 md5라는 확신이 있고 mysql등의 db버전에 영향을 받지 않으며 심지어 rdbms를 바꿔서 사용하는데도 문제가 없기 때문입니다.
한글로님이 피싱에 대해서 쓴것은 특별히 서버측의 암호화에 대해서 연관지어서 쓴 것은 아니라고 봅니다. 개인정보 유출의 또다른 예를 든 것이라고 봐야겠지요.
그리고 해슁(해시? 해싱? 뭐 어쨌든.)은 단방향 암호화라고 부르기도 한답니다. 단방향 암호화의 방법으로 해쉬 알고리즘을 사용하는 것이지요.
db가 유출되서 사용자의 계정이 위험한 것은 사실이나, 그때 유출되는것이 해쉬값인지, 혹은 평문 암호인지의 차이는 꽤 큽니다. 사용자들이 보통 같은 패스워드를 여러 사이트에 쓰는것을 생각하면, 평문암호가 유출되었을때의 파장은 더욱 더 크겠지요.
이부분에 대해서는 sha-1 알고리즘등, 상대적으로 역추정 시간이 오래걸리는 방법을 사용하는 것으로 어느정도 막을 수 있습니다.
다만, 역시 중요한것은 일정수준 이상의 시스템 보안이 이루어진 상태에서는 사회적 보안이 더욱더 중요하다는 점입니다. 상담원들이 정직하다면 단순히 xor암호화만 해 놓았더라도 굳이 평문 암호를 알아내려는 시도도 하지 않겠지요. 그런 점에서 볼때 단방향 암호화를 '한다'라는 점 자체가 중요한 역할을 한다고 봅니다.
옳으신 말씀이니다. 제가 '피싱'을 이야기 한 것은 저보다 문외한인 사람들에게 '조심하라'는 이야기를 하려고 꺼낸 것이구요. ^^ 피싱을 통해서 <아이디>와 <암호>가 노출된다는 것을 말한 것이지요. 그런데, 사실, 우리나라는 피싱 안해도, 웬만한 회사의 상담원이면 수천,수만명의 고객 ID와 암호를 한눈에 볼 수 있도록 되어 있어서 문제를 제기한 것입니다. 그게 작은회사든 큰 회사든 상관없이 말이지요. ^^ (md5가 패스워드 단방향 암호화(해쉬)에 사용되는게 맞긴 맞군요. ^^ 워낙 여기저기서 줏어들은 이야기들이라.. ^^)
동감합니다. 현재 가장 시급하게 보완해야 할 부분입니다. 이건 아예 제도화 시켜서 패스워드 암호화를 의무규정으로 만들어야 합니다. 그럼 모든 사이트에서 암호화를 할테니 사용자들이 단기간에 학습할 수 있구요. 아울러 주민등록번호를 요구하지 못하도록 이 문제 역시 제도화 시켜야 합니다.
한마디로 기형적인 인터넷 문화이 한 단면입니다. 글로벌 서비스같은 경우는 주민등록번호 없이도 잘만 사용할 수 있고, 비밀번호 암호화 안시키는 곳은 찾아보기 힘들죠. 기본으로 돌아가야 합니다. 그러기에너무 멀리온듯한 느낌도 들지만 항상 편리한 것만 찾다가는 언제까지 이런 문제를 해결하지 못하죠.
和平 I know this is kinda off topic however I'd figured I'd ask. Would you be interested in exchanging links or maybe guest authoring a blog article or vice-versa? My site goes over a lot of the same subjects as yours and I believe we could greatly benefit from each other. If you are interested feel free to send me an e-mail. I look forward to hearing from you! Superb blog by the way!
At this time it seems like Expression Engine is the preferred blogging platform available right now. (from what I've read) Is that what you are using on your blog?
Superb post but I was wanting to know if you could write a litte more on this topic?
know more information please contact me (Michael Ling ) http://www.marklinecatering.com or
)
![나경원 후보 "자화자찬" 트위터 사건에 대해.. [한글로의 꼼꼼한 분석]](http://cfile9.uf.tistory.com/image/116D033C4E9B0F56244E51)
![[트위터 무작정 따라하기] Yes24 올해의 책 후보 선정, 2010 교보문고 베스트셀러, 인터파크 2010 최고의 책 후보 선정!](http://cfile2.uf.tistory.com/image/1476570C4D01042D1C540D)
![[인사이드 페이스북] 알아두면 좋은 페이스북 팁 모음](http://cfile1.uf.tistory.com/image/171364214CFD826A03D699)
댓글을 달아 주세요
그것은 트위터가이 같은 감사에 대한 프로필을 탐험하는 나에게 많은 도움이 정말 끝내 저는 또한 제가 트위터에 대해서 여기에서 많은 당신이 제공하는 정보를 좋아 동일한에 계정을 가지고 훌륭한 소셜 미디어 사이트입니다 큰 게시물의 공유를위한 많은
사실 그동안 애플 앱스토어과 안드로이드 마켓등 글로벌 온라인 앱 장터에는 게임 카테고리가 존재하지 않아 해외에서 인기가 높은 게임들을 접하기 힘들었습니다. 안드로이드 게임 앱의 경우에는 T스토어나 올레마켓, 삼성앱스등의 국내 마켓에서 심의를 받은 게임을 만날수 있었고 apk 파일을 구해 개별적으로 설치하는 편법이 존재했지만 애플 앱스토어에 올라가 있는 게임 앱은 탈옥을 하지 않고는 사용할수 있는 방법이 거의 없었습니다.
경찰이나 다른 기관과 고달 팠다있는 것이 현명한 일이라고 생각하지 않습니다. 그들은 항상 이길거야.
이것은 내 지식을 개선하는 데 도움이, 난 정말 작가 자신의 견해를 제시하는 방식을 좋아.
아주 좋은 그리고 유익한 텍스트, 사실 인치
과 고달 팠다있는 것이 현명한 일이라고 생각하지 않습니
을 개선하는 데 도움이, 난 정말 작가
여기이 게시물에 대한 감사 표시로 내 의견입니다. 그것은 하나의 내가 찾던 그런이며 나는 그것을 발견 할 수있다. 나는 항상 이것을 이해하기 위해 노력했지만 이곳이 유일한 해결책이다. 내가 동의하는 모든 초대 그래서 지금 언급한 수 있습니다. 공유를위한 감사합니다
당신이이 주제에 대한 이해를 많이 갖고있는 상태 것입니다. 이것은 우아한 블로그 게시물입니다.
귀하는 차단되었으므로 사용하실 수 없습니다.
니스 정보는 매우 즐겁게, 공유. 건배.
모든 블로거의 영광이네요. 진심으로 축하합니다.
그리고 펜이 더욱 날카로워지기를 바래봅니다.
그것은 트위터가이 같은 감사에 대한 프로필을 탐험하는 나에게 많은 도움이 정말 끝내 저는 또한 제가 트위터에 대해서 여기에서 많은 당신이 제공하는 정보를 좋아 동일한에 계정을 가지고 훌륭한 소셜 미디어 사이트입니다 큰 게시물의 공유를위한 많은
나는 이것이 아주 좋은 블로그라고 생각하고, 정말 정말 읽어 싶습니다. 난 당신이 모두에게 도움이되는 다른 정보를 제공할 수 있기를 바랍니다. 감사합니다
dogsul님 hangulo님 [미디어 한글로]소녀시대 제시카 동생이 f(x)의 크리스탈 (수정) 인것 아세요?
아주 멋진 포스트, 나는 블로그에 대해 배울 관심 그리고 내 PC에 귀하의 블로그를 즐겨찾기 것입니다. 나는 다음 게시물 나올 때까지 기다리는 것이 좋습니다. 감사합니다
나는 이것이 아주 좋은 기사 다음과 같이 문서를 찾으려면 처음 생각합니다. 난 정말 관심이, 그리고이 그것을 읽을 모든 사람에게 도움이 될 것 같아요. 감사하고 난 다음 게시물 나올 때까지 기다리는 것이 좋습니다.
해외에 계신 분들께서 좋은 의견이 있으면 지혜를 주십시오. 저희도 다른 편리한 후원방안을 찾아보도록 하겠습니다.
그랬더니 그제야 막았다.
大きなヒント。私は記事を書くとヒント途方もなく、特に家族の普通預金口座と未来を作成する手助けのすべてに新しいです。私はいつも私に送信される偉大なアドバイスを読んで楽しみにしています。再び、それはすばらしいアドバイスです。
素晴らしいコンセプト!それはあなたの電話であなたの車を制御する非常に楽しいだろう。ビデオは私が実際にそれを見て楽しんで良かった。私は私の友人でこのリンクをメールで送信するつもりです。大幅に私たちとこれを共有してくれてありがとう!
こんにちは!私はあなたの他の投稿のいくつかを読んで、彼らは際立って素晴らしいでした。私は有益な記事に感謝言いたかった。彼らが来る保管してくださいしてくださいください。
이미 다음은 '블로거뉴스'를 '뷰온'으로 바꾸고 검색 서비스에까지 반영할 정도로 확대함을 밝힌바 있다. 그 전단계로 "미디어 다음" 영역 아래에 간신히 세들어 살고 있던 '블로거뉴스' 메인 노출 영역을 아래에 커다랗게 마련했다. 예전에는 아래와 같았다.
이미 다음은 '블로거뉴스'를 '뷰온'으로 바꾸고 검색 서비스에까지 반영할 정도로 확대함을 밝힌바 있다. 그 전단계로 "미디어 다음" 영역 아래에 간신히 세들어 살고 있던 '블로거뉴스' 메인 노출 영역을 아래에 커다랗게 마련했다. 예전에는 아래와 같았다.
나는 이것이 아주 좋은 블로그라고 생각하고, 정말 정말 읽어 싶습니다. 난 당신이 모두에게 도움이되는 다른 정보를 제공할 수 있기를 바랍니다. 감사합니다
際にそれを見て楽しんで良かった。私は私の友人でこのリンクをメールで送信するつもりです。大幅に私たちとこれを共有してくれてありがとう!
졌고, 나경원 캠프측에서는 "계정 연동 오류"라는 애매한 말로 이 사태를 "시스템 충돌" 같은 것으로 덮으려고 하고 있기 때문이다.
실제로 도움이 공유 정보를 주셔서 감사합니다.
많이 갖고있는 상태 것입니다. 이것은 우아한 블로그 게시물입니다.
사가 상당히 세부적으로 S60의 퍼포먼스, 안전기술에 대한 프리젠테이션을 하고나서 포토타임이 이어졌는데요.
S60의 디자인은 아마 볼보중 최고가 아닌가 합니다. 볼보 라인업이 전반적으로 다 젋어졌는데도, S60은 더 젊어졌다는 느낌인데요, 다른 메이커와 비교해서도 젊고 다이나믹한 디자인을 하고 있다는 말을 충분히 할 수 있을듯 하죠?
왜냐하면, 아무 죄가 없는 LiveRe라는 소셜댓글 기업까지 공격을 받는 웃지 못할 상황이 벌어졌고, 나경원 캠프측에서는 "계정 연동 오류"라는 애매한 말로 이 사태를 "시스템 충돌" 같은 것으로 덮으려고 하고 있기 때문이다.
강의가 끝난 후 다음날 6시까지 한숨도 못자 힘들어 죽는줄 알았음.^^ 어제 다시 찾았을때 칠판에 내 캐릭터를 그려주고 웰컴 몽구씨♡ 힘내세요. 글을 써준 여학생 특히 감사.ㅎㅎ
그것은 트위터가이 같은 감사에 대한 프로필을 탐험하는 나에게 많은 도움이 정말 끝내 저는 또한 제가 트위터에 대해서 여기에서 많은 당신이 제공하는 정보를 좋아 동일한에 계정을 가지고 훌륭한 소셜 미디어 사이트입니다 큰 게시물의 공유를위한 많은
L'augmentation mammaire avec des implants conçus pour augmenter la taille des seins par des prothèses derrière la glande mammaire. Pour cela, il existe plusieurs types de prothèse mammaire
看從不同的看法。我有研究,因為它似乎非常有趣。有一件事我不明白,但一切是如何在一起有關。你真的使它看起來容易與您的演示文稿,但我覺得這個主題真正的東西,
서 많은 당신이 제공하는 정보를 좋아 동일한에 계정을 가지고 훌륭한 소셜 미디어 사이트입니다 큰 게시물의 공유를위한 많은
그래서 이 사실을 관활하는 '복지부'에 알렸다. 그랬는데, 시간이 지나도 변화가 없었다. 그래서 아예 "정답"까지 알려줬다. 그랬더니 그제야 막았다.
내 블로그 아래에도 보면 소셜 댓글 창이 달려있다. 그런데 이건 "무료 공개용"이다. 개인은 돈을 안내고 쓸 수 있다. 하지만, 업체나 다른 사람들은 돈을 내든지 (혹은 특정 계약을 맺든지)하고 사용해야 한다. 그래서, 아예 다른 신문 사이트를 예로 들어서 보여드리겠다.
아주 멋진 포스트, 나는 블로그에 대해 배울 관심 그리고 내 PC에 귀하의 블로그를 즐겨찾기 것입니다. 나는 다음 게시물 나올 때까지 기다리는 것이 좋습니다. 감사합니다
음날 6시까지 한숨도 못자 힘들어 죽는줄 알았음.^^ 어제 다시 찾았을때 칠판에 내 캐릭터를 그려주고 웰컴 몽구씨♡ 힘내세요. 글을 써준 여학생 특히 감사.ㅎㅎ
효과적인 방법 똑똑 작동합니다.
주제 선정 좋은 것입니다.
제 좋은하지만 그림은 매우 인상적입니다.
왜냐하면, 아무 죄가 없는 LiveRe라는 소셜댓글 기업까지 공격을 받는 웃지 못할 상황이 벌어졌고, 나경원 캠프측에서는 "계정 연동 오류"라는 애매한 말로 이 사태를 "시스템 충돌" 같은 것으로 덮으려고 하고 있기 때문이다.
서 많은 당신이 제공하는 정보를 좋아 동일한에 계정을 가지고 훌륭한 소셜 미디어 사이트입니다 큰 게시물의 공유를위한 많은
내가 처음에 말했 동안 약혼 발언이 나 유사한 검토 많은 전자 메일을 구입할 포함됩니다 때마다 지금 확인란을 "새로운 설문 조사를 추가할 때 자신을 알립니다." 거기에 당신이 서비스를 통해 우리를 제거할 수있는 어떤 방법으로 할 것인가? 그것을 즐기십시오!
음날 6시까지 한숨도 못자 힘들어 죽는줄 알았음.^^ 어제 다시 찾았을때 칠판에 내 캐릭터를 그려주고 웰컴 몽구씨♡ 힘내세요. 글을 써준 여학생 특히 감사.ㅎㅎ