태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

경찰청장 이메일 해킹? 간 큰 의경?

엊그제 들은 뉴스 하나

간 큰 의경…경찰청장 이메일 해킹, 대체 왜
 http://media.daum.net/society/others/view.html?cateid=1067&newsid=20110813080607117&p=sbsi 
[SBS] 2011.8.13


경위는 잘 모르겠으나.. 어쨌든, 참 간 크다고 생각했다. 그런데, 진실은 다른 기사에서 나왔다.

경찰청장 이메일 해킹한 김의경 구하기
http://wikitree.co.kr/main/news_view.php?id=42231  [위키트리] 2011.8.13

아고라 : 아고라보기 =>http://m.bbs1.agora.media.daum.net/gaia/do/debate/mobile/read?bbsId=D115&articleId=1542876 


이야기인즉슨, "내부 전산망의 보안 취약점을 지적해도 개선이 없자, 자기가 직접 체크한 후에 다시 알렸다"는 것이다. 그랬더니.. 덜커덕.. "너 해커지?" 이러면서 잡아갔다는 것.

무방비 상태 알려주고 보완조치하게 한 뒤 꾸짖었더니 글 삭제?

 
당시 나는 실종아동찾기 관련 글을 쓰면서 수도 없이 실종아동 사이트를 들락거렸다. 그러다가, 갑자기 보안 문제가 생각이 났고, 가장 간단한 방법으로 알려진 것으로 보안 점검을 해봤다. 그랬더니, 한번에 뚫렸다. 벌써 몇년째 이렇게 열려 있을지도 몰랐다. 그래서 이 사실을 관활하는 '복지부'에 알렸다. 그랬는데, 시간이 지나도 변화가 없었다. 그래서 아예 "정답"까지 알려줬다. 그랬더니 그제야 막았다.

그리고 아래의 글을 썼다.



그런데, 내 글은 당시에 새로 발효된 "권리침해 제도"로 인해서 삭제가 되었고, 당시 담당자로부터 들은 이유는 "명예훼손"이었다. (그 기관에서는 재차 부인했지만, 다시 나는 재차 확인했다) 어이가 없었다. 하지만, 그 이후 1달간 아무런 추가 조치를 기관측에서 취하지 않아서, 글은 합법적으로 다시 살아났다.

당시 나는 "명예훼손"이란 단어를 듣고서, 며칠이나 전전긍긍하면서 "명예훼손 소송에 걸리면 변호사비는 어떻게 마련하나" 등등 쓰잘데기 없는 생각으로 지냈던 기억이 난다. 내 죄명은 "해킹"을 해서 그 특정기관의 명예를 훼손했다는 것이었는데.. 나원참...

어쨌든, 우리나라는 "보안 문제"를 지적하면, 그 의도가 어찌되었든 "너 해커지? 너 해킹했지?" 뭐 이런식으로 잡아들이는 것 같다.

어쨌든, 지금도 내가 지적한 실종아동 문제는 크나큰 문제를 가지고 삐걱거리며 가고 있고, 이 나라의 실종아동 부모들은 속이 타들어가고 있다. 하루빨리 제대로 된 기관에서 제대로 된 수사를 했으면 좋겠다. 이 땅의 실종아동이 모두 부모품으로 돌아갈 수 있도록 말이다.


한글로. 2011.8.13







제대로 된 링크드인 활용서
LinkedIn 링크드인으로 취업하고 채용하자
정광현 저
예스24 | 애드온2
 
★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로

댓글을 달아 주세요


옥션 비밀번호, 바꾸려고 해도 못바꾸겠네...
의무적으로 특수문자까지 넣게 하는 것은 오버


옥션 해킹 그 이후...

이미 옥션 해킹에 대해서는 언론을 비롯해서 난리가 났기 때문에 다들 안다. 나는 유출되지 않은 그룹에 속하긴 했지만, 그 이후에 온통 사이트마다 '비밀번호 변경'을 외치는통에 한 번쯤은 비밀번호 변경을 생각할 수 밖에 없었다.

하지만, 비밀번호를 바꾸는 것은 참으로 번거로운 일이다. 특히, 바꾼 비밀번호를 까먹는 수가 생겨서 좀처럼 바꿀 용기는 나지 않는다. (왜 난 자꾸 까먹을까? ^^)

어쨌든, 그래도 큰 마음먹고, 지금에서야 각종 사이트의 암호(비밀번호)를 바꾸기로 했다. 그래서 하나씩 바꾸어가기 시작했는데...


옥션, 너무 오버하는 것 아닌가? - 숫자까지는 이해해도 특수문자까지 의무사항으로?

사용자 삽입 이미지


근데, 아무리 암호를 넣어도 바꿀 수 없다고 나온다.

이거야 원...

자세히 살펴보니... 위와 같이 "영문/숫자/특수문자"를 모두 포함"해야 한다고 한다.

예를 들어서  abcdefg는 택도 없고 abcdefg1 도 안된다는 뜻이다. abcdefg#@도 안되고 abcdefg1$% 정도 되어야 받아준다는 뜻이다. 그리고 반드시 8자 이상이어야 하니, 이거 낭패다.


거기에다 '한 번 사용했던 비밀번호는 재사용이 불가능"하다.

이거 아무리 해킹에 의한 정보누출로 심하게 당했다고 해도, 너무 심한 것 아닌가? 이런 기준으로 암호를 만들려면 결국 자신이 사용하던 것과 다른 것을 만들어야 하고... 결국에는 '까먹는 지름길'이 되고 말 것이다. 이건 좀.. 거기다가 한 번 사용했던 비밀번호는 재사용이 불가능하다면.. 옥션은 예전 비밀번호 리스트를 보유하고 있다는 말이다. 이건 안위험한가? (어차피 암호화 되어서 위험하지 않다면, 지금의 이런 조치는 부당하다.)


조금은 유연한 태도를 보여주길

구글등에 가입할 때, 비밀번호가 너무 쉬우면 가입시켜 주지 않아서 애를 먹었던 기억이 있다. 하지만, 그래도 이렇게까지 숫자와 특수문자를 모두 포함하는 식은 아니었다.

엄격한 비밀번호 규정을 지키는 것은 좋다. 하지만, 그 규정으로 인해서 사용자들이 아주 불편한 정도까지 가서는 안된다. 보안을 철저히 하는 것과 사용자의 암호를 복잡하게 하는 것은 어느정도 연관이 있긴하지만, 너무 편한 방법 아닌가?

사용자의 암호를 잘 보호하는 것이 첫째인데, 그 암호가 누출되었을 때를 대비해서 복잡한 암호를 요구하는 것은 너무 안이한 태도가 아닌가 생각된다. (복잡한 비밀번호를 요구하는 것은 암호화된 비밀번호가 다시 역으로 풀리는 것을 막기 위함이라고 알고 있다.)

사용자의 불편을 담보로 보안에 신경쓰다간, 있는 사용자도 떠날지도 모른다.


2008.6.16
미디어 한글로
media.hangulo.net






제대로 된 링크드인 활용서
LinkedIn 링크드인으로 취업하고 채용하자
정광현 저
예스24 | 애드온2
 
★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. 참나... 2008.06.16 18:05  댓글주소  수정/삭제  댓글쓰기

    옥션 자기네들이 관리 허술해서 뚫린거 가지고
    사용자들 탓하는거 같아 좀 어이없고 씁쓸하고...-_-

  3. 영사마 2008.06.16 18:06  댓글주소  수정/삭제  댓글쓰기

    옥션 한참 사용하다가 그 사건으로 사용안하다가
    한번 들어가서 비번 바꾸려다 포기하고 껐어여..휴...
    우쒸~사용안하고 만다...이러구여...-_-

  4. dkdk 2008.06.16 18:11  댓글주소  수정/삭제  댓글쓰기

    얼마전 이 문제로 옥션에 메일몇번보냈는데....성의없는답변...만-_-;; 저도 비번 변경못하겠더라구요...미칠뻔했음..지금은 포기했어요...로긴이 안되니..

  5. dkdk 2008.06.16 18:11  댓글주소  수정/삭제  댓글쓰기

    얼마전 이 문제로 옥션에 메일몇번보냈는데....성의없는답변...만-_-;; 저도 비번 변경못하겠더라구요...미칠뻔했음..지금은 포기했어요...로긴이 안되니..

  6. 옥션사기치네 2008.06.16 18:18  댓글주소  수정/삭제  댓글쓰기

    옥션은 구매자의 295000원이 되는 대금 환불처리도 질질 끄는..

    사기 판매자 한테 입장 표시나 하는 나부랭이들,,

  7. IT 인 2008.06.16 18:21  댓글주소  수정/삭제  댓글쓰기

    정보보안에 관심이 있고 공부를 했고 그 분야에서 일을 해본 경험상... 보안과 사용자의 편리성은 반비례의 관계입니다. 사용자가 편하면 편할 수록 보안은 취약해지고 보안성이 뛰어날 수록 편리성은 떨어집니다. 인터넷으로 은행서비스를 이용해보시면 알겠지만 정말 복잡하고 불편하죠??^^ 어쩔 수 없는 겁니다. 이번에 옥션의 이러한 조치는 다른 어떤 싸이트보다 그만큼 보안성이 향상됬다고 좋게 해석할 수도 있습니다. 고객입장에서는 불편하지만 .......

  8. 옥션 탈퇴할때요 2008.06.16 18:23  댓글주소  수정/삭제  댓글쓰기

    저는 이번일로 탈퇴하려고 하니 , 무슨 e머니식으로 8천원정도가 되있다면서 그걸 지불하지않으면 탈퇴할수없다고 나오더라구요 ,
    저는 외상으로 무슨 물건을 산 적도없거니와 , 물건을 옥션에서 팔아본적도 없는데 ,
    전화도 불통이고 , Q&A게시판에 질문남겨도 돈내라는 말만 반복이네요 ,

    물건팔려고 등록을 했었다고해도 올릴당시 무조건 무료로 올라가는것으로만 했었거든요 ,
    갑자기 외상값이있다며 지불하라고하니 ,, 어의가없을뿐,, 돈이있다는 문자나 어떠한 통보도 못받았었어요~

  9. 글쎄;;;;;;; 2008.06.16 18:27  댓글주소  수정/삭제  댓글쓰기

    기자님이 한번고소 당해보시면

    왜그런지 알수 있을듯..ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

  10. ㅁㄴㅇㄹ 2008.06.16 18:28  댓글주소  수정/삭제  댓글쓰기

    저는 e머니가 23원 남았는데 탈퇴는 안되고 꼭 빼가야 한다면서 계좌번호를 요구하네요 -_-;;

  11. BlogIcon 로망롤랑 2008.06.16 18:32  댓글주소  수정/삭제  댓글쓰기

    구매한 게 있어서 물품수령 확인버튼 눌러주러 갔는데...비번까먹어서 ㅎ 마지막 특수문자 땜시 헷갈려 죽겠네요 ~~

  12. 쿠링 2008.06.16 18:40  댓글주소  수정/삭제  댓글쓰기

    특수문자라고 어렵게 생각하지 마세요, ,


    비밀번호를 만약에, 한글로 쳐서 (영구와 땡칠이) 라고 정했으면, 영구와!땡칠이^^ 이렇게 바꿔도 특수문자가 무려 3개나 들어가는 겁니다.

  13. 우습네요 2008.06.16 20:13  댓글주소  수정/삭제  댓글쓰기

    1211로 하든 특문##@#을 넣든 결국 0하고 1로 이루어진 컴터세상인데
    옥션은 서버가 털렷잖아요?
    개인이 아무리 보안잘해봐야 서버가 털리는데 아무런의미가없는거죠..
    비번털리고 아니고가 문제가아니져
    집주소 은행계좌까지 털리는마당에 먼 비번이중요하나요????
    (옥션에서 집주소부터 구매내역,계좌까지 몽땅털린 1인)

  14. 옥션 없어져야해 2008.06.16 20:32  댓글주소  수정/삭제  댓글쓰기

    한마디로, 니들 잘못이라 이거죠.

    반성은 안하고.. 열받아서
    진짜.....

    비번으로 특수문자 요구하는 거는
    니들이 비번 잘못했는데,, 왜 소송걸어?
    이말이잖아..

  15. 한산 2008.06.16 20:34  댓글주소  수정/삭제  댓글쓰기

    그래, 생각난 김에 옥션해지하자.

  16. 비번유출대책이소비자몫? 2008.06.16 20:40  댓글주소  수정/삭제  댓글쓰기

    나두 왕짜증나서 비번을 안바꾸고 있음.
    아니 바꿀수가 없다해야 할 것임.
    업체의 자체 보안 강화를 계속해서 연구하고 업데이트해야지
    사용자에게 부담시키는건 비겁하다 해야할 것임.
    이건 뭐 비밀번호로 숫자 문자 포함 100자 이상써라 뭐 이런것과 비슷한 것임
    한마디로 말도안되는 짓거리임
    그래가지고 비번 안바꿔서 사고나면 책임 덮어씌울 목적인 것 같음
    비열.....

  17. 옥션 이용 안함 2008.06.16 20:43  댓글주소  수정/삭제  댓글쓰기

    구매하고자 하는 물건이 옥션에서 아무리 제일 싸게 팔아도 더 이상 옥션 이용 안함

  18. 탈퇴 해지는 하지 마세요~!! 2008.06.16 20:49  댓글주소  수정/삭제  댓글쓰기

    탈퇴 해지해도 손해는 있읍니다~!
    님들의 정보가 유출 되지 않은것이 아니라 항상 유지 보관이 되어 있지요~!!
    언제 까지?~!! 글쎄요~!! 옥션이 문서죽임작업을 끝낼때 겠죠~!!
    그러니 어차피 빠진 늪이라면 대적 해야죠~!!
    옥션 피해자 모임이라는 블러그인지 싸이트인지 뭔지는 잘모르지만 ~!
    문을 두드리세요~!!
    그래야만 쓸데없는 오해나 피해를 당하지 않겠죠~!!
    님들의 판단이니 알아서 행동 하시길~~~~~~!!

  19. 성달 2008.06.17 00:12  댓글주소  수정/삭제  댓글쓰기

    한번 사용한 비밀번호 다시 사용못하게 하는데서 옥션을 절대 사용하지 말아야 한다는 결론이 바로 나옵니다. 비밀번호 리스트를 보유하고 있다니.. 말이 안되지요. 그따위로 관리를 하니까 해킹이나 당하는 겁니다. 옥션은 다시 사용할 생각도 없고 사용해서도 안된다고 봅니다.

  20. 비번 2008.06.19 09:36  댓글주소  수정/삭제  댓글쓰기

    사용자들의 과거 패스워드를 저장하는것은 패스워드 이력관리라 부르는 대부분이 사용하고 있는 보안장치 중의 하나이죠~보관되는 과거의 패스워드는 암호문의 형태로 저장되며 사용자가 새로운 패스워드를 생성할 때 암호문자열을 생성하여 과거에 사용되었던 패스워드의 암호문자열과 비교해 봄으로서 재사용 여부를 알 수 있게 하는건데..이런 방법은 마이크로소프트 등에서도 실행하고 있는 방법이죠~그리고 옥션이 지 아무리 똑똑하다 하더라도...저 방법은 패스워드 확인 외에 다른 용도로는 사용 못합니다.. 요즘 피씨방이니 은행이니 머 어디가든 인터넷 접할 수 있는데..어떻게 보면 더 노출될 수 있는 상황이 많잖아요~그렇게 따지면 패스워드 재사용 금지 해놓는게 나은거죠..

    • BlogIcon 한글로 2008.06.19 17:58 신고  댓글주소  수정/삭제

      암호화되었다고 하더라도 사전에 있는 문자열을 사용한 경우는 찾아낼 수 있지요. 그래서 더 문제라는 것입니다. 그 데이터까지 모두 유출될 경우도 대비해야 하지 않나요? 저렇게 어렵게 하는 이유는 사전에 있는 문자열을 없애기 위함이었는데 과거의 암호는 사전에 있는 문자열일 가능성이 있기 때문에 문제라는 것이죠.

  21. 공감 2008.08.13 16:33  댓글주소  수정/삭제  댓글쓰기

    정말어이없어서. 비번좀바꾸려니까 특수문자를넣으라는데 별을넣고 느낌표넣고 하려는데도 안되고. 짜증지대로네요. 특수문자막넣으면 왜우기이만저만힘든게아닌대.


옥션 소송참여? 또다른 피해 부를수도...
주민번호 등 모든 자료를 제공해야 하는만큼 신중해야
카페 중심 보다는 시민단체 중심이 되어야..



옥션, 해킹 피해가 천만명이 넘는다는데...

옥션이 해킹당했다. 이미 다 알고 있는 사실이다. 그런데, 이번에는 자신이 해킹당했는지 여부까지 친절히 알려주고 있다.

사용자 삽입 이미지
▲ 옥션의 공지사항 (아래 링크에서 자신의 해킹여부를 알 수 있다)
http://member.auction.co.kr/announce/view.aspx?no=2184 

나는 다행히 비켜갔다. 하지만, 아내와 처형은 어김없이 해킹당했다. 옥션을 자주 이용해서 그런가보다. 그래서 우리집도 피해자 가족이 되었다.

그리고 집단 소송을 준비중이라는 이야기를 들었다. 카페도 많이 생겼다고 한다. 앞으로도 더 많이 생길것이다.


카페 중심의 집단소송 -개인정보 모두 내놓아야 해.. 추가 피해는 없나?


그런데, 정말 궁금한 것이 있었다. 집단소송을 하려면 결국 자신의 주민번호부터 시작해서 "누군가"에게 알려야 한다. 그리고, 보상액이 얼마가 될지도 모르는 현재 상황에서 "몇백만원" 운운하면서 유혹하는 문구도 보인다. 그러면서 참가비(소송비)를 1만원에서 3만원까지 받고 있다.

카페 자체가 부도덕하거나 그렇다는 이야기가 아니다. 단지, 여태까지 인터넷 카페에서 일어났던 많은 불미스러운 사건들을 기억하면, 이번 옥션 소송을 다루는 카페중 몇몇은 참가비만 받고서 사라지는 일이 없으리란 보장은 없다. 그 액수가 1인당 3만원이면 1000명만 모여도 상당한 액수니까, 얼마든지 "장사된다!"

그리고, 더 큰 문제는... 주민등록 번호가 유출되어서 소송한다면서, 누군지도 모르는 사람에게 자신의 주민등록번호를 적어서 보내야 한다는 아이러니다. 사실, 더 확실한 정보가 갈 것이다. 그러면, 이 확실한 정보들을 누군가 악의를 가지고 해킹집단에 팔지 않으리라는 보장도 없다.

이런 위험성을 가지고 있는데, "몇백만원" 로또 잡으러 자신을 모두 내던질 것인가?

나로서는 정말 이상한 생각만든다.


참여연대 등의 공인된 시민단체 중심이 되어야

소송을 하지 말라는 이야기는 아니다. 무조건 옥션을 두둔하고픈 생각도 없다. 이는 상당히 중요한 일대 사건이며, 아주 좋은 본보기가 될 수 있다. 옥션측도 그렇다. 사실을 사실대로 털어놓고 사용자들의 심판을 달게 받겠다고 했다. 숨기다가 곪아 터졌던, 새우깡 사태보다 백배 낫다. 전화위복이 될 수 있다.

하지만, 이런 소송이 일부 변호사들의 "대박 용돈벌이"에 사용되서는 안된다. 내 생각에는 이정도의 공익적 소송이라면, 참여연대 등에서 나서서 공인된 통로를 제시하는 것이 좋을듯하다.

소송비에 대해서는 여러가지 방안이 있겠지만, 사람들의 돈을 받기보다는 일단, 시민단체의 자체 비용으로 충당하거나 하는 방법도 생각해볼 일이다. 그리고 몇년이 걸릴 소송인지 모르지만, 그 소송 결과로 나온 수익금은 개인들의 의견을 미리 받아서 "불우이웃 돕기" 등의 공익사업에 사용하는 것도 좋은 방법이다. 물론, 앞서 미리 충당한 소송비용을 뺀 금액을 말이다.

이번 옥션 사건의 소송은 단순히 개인의 피해를 보상하는 차원에서 끝나선 안된다. 그 액수도 가늠하기 어렵다. 그런데도 이상하게 이 사건을 돈벌이로 이용하려는 듯한 무리들이 신나게 날뛰고 있다.

정말 원하는 것이 무엇인가? 재발 방지인가, 아니면 언제 있을지 모르는 피해에 대한 선보상인가? 그럼 언제 있을지 모르는 피해에 대해서 백만원을 받으면 모든 것이 해결되는가? 궁금한 일이다.

나는 재발 방지를 위해서 다른 기업들과 옥션에 경종을 울리는 것이 목적이라고 생각한다. 보상 금액이 얼마가 되었든, 기업들은 개인의 정보를 보호하기 위한 노력을 더 많이 쏟을 것이다. 그리고, 오래전부터 주장해 온 것인데, "패스워드"를 원 패스워드 그대로 저장하고 있는 수많은 정부사이트, 공기업, 일반기업 등에 대해 "암호화 한 것만" 저장하도록 법을 제정해야 한다. (관련글 : 당신의 패스워드는 안전하십니까? - 패스워드 암호화 시급하다 ) 물론, 그 방법이 100% 안전하다고 할 수 없다. 하지만, 적어도 지금은 대문을 활짝 열어놓은 상태라면, 암호화라도 해 놓으면 자물쇠라도 하나 채워놓은 상태 정도가 되니 말이다.

좀 더 신중한 대응을 했으면 좋겠다. 무슨 복권처럼 3만원 내고 200만원 받는 식의 광고에 현혹되어선 안된다. 당신이 지금 주려는 그것, 그것이 도둑맞아서 소송내는 것이다. 정신차리자.

참여연대 등의 시민단체의 발빠른 대응도 부탁드린다.


미디어 한글로
2008.4.18.
media.hangulo.net







제대로 된 링크드인 활용서
LinkedIn 링크드인으로 취업하고 채용하자
정광현 저
예스24 | 애드온2
 
★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. joy 2008.04.18 14:52  댓글주소  수정/삭제  댓글쓰기

    너무 괜찮은 글이네요

    옥션편드는 느낌이 들지 않았으니 글쓴님 너무 걱정하지 마세요 ㅋㅋ

    무슨말씀 하려하시는 건지 잘 알겠습니다.

    좋은글 감사합니다.

  3. 에스 2008.04.18 15:09  댓글주소  수정/삭제  댓글쓰기

    저도 이번에 계좌번호까지 싸그리 유출된 사람중 한명입니다.
    소송이 어떻게 돌아가나 궁금해서 카페 가입은 해 보았는데,
    음 뭐랄까요 언급하신 부분이 꽤나 거슬리더군요.
    위임장의 형식을 취하고 있긴 한데..
    어쨌든 해킹당한것에 준하는 정보를 다른사람에게 재대로 알려주는게 되어버리니까요.
    그래서 어떻게 해야 좋을지 고민중입니다.
    어떻게 하는게 좋은건지..ㅋ

  4. BlogIcon 점프컷 2008.04.18 15:24  댓글주소  수정/삭제  댓글쓰기

    완전 공감가는 내용이네요. 이글을 제글에다 링크 좀 걸겠습니다.

  5. BlogIcon 플라토필로 2008.04.18 16:16  댓글주소  수정/삭제  댓글쓰기

    저희 가족 중에서도 저를 포함해서 3명이나 유출되었더군요.(옥션 가입자 전원이 유출된 셈)
    그래서 저도 해당 카페를 가입하고 유심히 살펴보고 있는 중입니다.
    여기서 직접적으로 특정 카페들을 평하는 건 좀 무리가 있으니 에둘러 말하자면
    문제가 보이는 카페들이 있어서 최소한 며칠은 더 지켜보고 천천히 결정해야 할 필요를
    느낄 수 있었습니다.
    한글로님 글과 같은 문제 제기들이 크게 이슈화되어서 빠른 시일 안에
    문제점들이 보완된다거나 좀 더 믿을만한 방법으로 보상을 받을 수 있는 길이
    열렸으면 합니다.

  6. tendertree 2008.04.18 17:19  댓글주소  수정/삭제  댓글쓰기

    좋은글 잘봤습니다. 공감가는 내용이 많네요 ^^ 트랙백 해갑니다

  7. nell 2008.04.18 17:25  댓글주소  수정/삭제  댓글쓰기

    불우이웃돕기성금도 좀...
    그 돈이 어디에 쓰일지.. 각자 받아서.. 각자 기부하는게 좋을것 같아요...
    워낙 믿을 수 없으니..

  8. BlogIcon 바보천사 2008.04.18 17:33  댓글주소  수정/삭제  댓글쓰기

    저도 개인정보 유출 대상입니다.
    그러나 소송을 하기 위해서 모르는 사람에게 내 개인정보를 아라려줘야 하고 현금을 지불 해야 한다는게 굉장히 꺼림직합니다.
    시민 단체가 아닌 변호사 개인이 주축이 되는 것도 석연치 않습니다.
    이번 옥션 사태로 가장 큰 수혜자는 변호사가 아닌가 싶습니다.

  9. 서글픈구름 2008.04.18 17:44  댓글주소  수정/삭제  댓글쓰기

    저도 당했습니다..
    황당하다던가 당황한건는 없지만.
    어차피 국내 사이트들 대부분이 보안문제에대해 형편없는 방어력을 가지고 있다는것을
    모르는바가 아니니 ...
    정부사이트조차 해킹당하는판에 . 뭐 할말이 있겠습니까..
    보상 이런거는 안받아도 그만인데.
    제발 범인들이나 제대로 잡아서 확실하게 처벌했으면 좋겠습니다.
    그냥 콱 무기징역X1000이정도 년도로 처벌주면 ...
    좀 다른놈들이 겁을 먹을려나 모르겠군요..
    잡혀봐야 벌금조금에 그냥 풀어줄듯한 이나라 법규에서 .
    다른사고가 안발생할리가 없다는 생각이 드는게 참..

  10. BlogIcon 푸우오빠 2008.04.18 18:26  댓글주소  수정/삭제  댓글쓰기

    이번 소송을 1만원(소송 참가비)내면 20만원 되돌려 받을 수 있는 '현금교환권'처럼
    생각하는 분도 계시더군요..

    그분도 소송을 위해서 자신의 정보를 고스란히 넘겨야 한다는건 생각 못한것 같던데
    정말 도움되는 내용이니 이글을 보여줘야 겠네요

  11. 문제는 2008.04.18 19:17  댓글주소  수정/삭제  댓글쓰기

    문제는 그 까페에 대상 회사의 정확한 소재와 전화번호등도 기재가 안되어 있고, 오프라인상에서 만나서 설명을 하는등의 그런 부분 전혀 없이 달랑 돈 입금하라는 계좌번호랑 정보담은 파일을 보내라고 하니..정말 위험합니다. 상대가 누구인지도 모르고 대포통장에 입금해주게 되는꼴이 날지 누가압니까.. 잘못하면 1만명이면 3만원씩이면 3억원이고, 5만명이면 15억원인데 정말 위험한 일이 될것입니다. 무조건 1인당 3만원이라는거도 이상하구요.. 신청부터 받고 몇명 이상이면 얼마가 아니고 왜 소송하는데 무조건 1인당 3만원이 드는지도 의문입니다. 회사명,연락처,오프라인상의 모임시간등이 있어도 될까말까인데, 단순히 까페에 계좌번호 송금이라....위험할 확률 개인적으로는 90%넘게 봅니다...또 한번의 피해자가 양산될수 잇으니 조심을...

  12. 이 글을... 2008.04.18 19:55  댓글주소  수정/삭제  댓글쓰기

    트랙백이라 그런거는 할 줄 모르고 추천하고 싶은데 어디에서 추천하는지 모르겠네요...

    저도 계좌번호까지 유출된 사람으로서 매우 공감가는 글입니다...

    상황이 좀 다르긴 합니다만, 예전에 김완섭이 자신에게 악의적 댓글을 단 사람들을 상대로 명예훼손으로 고소 했을 때 무료 변론을 해줬던 원희룡 의원이 많은 지지와 칭찬을 받았었죠...

    사실 시민 단체가 실질적으로 국민에게 좋은 인식을 심어주고 있느냐에 대해서는 매우 회의적이라고 생각합니다. 이번 기회에 이미지 쇄신도 하고, 어쨌든 서로에게 이익이 될 기회로 삼는게 어떨지요...

  13. 빨리 2008.04.18 20:01  댓글주소  수정/삭제  댓글쓰기

    시민단체 차원의 뭔가 소송이 나오면 좋겠어요
    솔직히 저는 돈이 문제가 아니라 정말 기분이 너무 나뻐서 옥션이라는 대표적인 인터넷 상거래 사이트가 회원정보 관리를 그렇게밖에 못 했다는 사실에 기분이 나뻐서 IT 업계 자체에도 경종을 울려야 한다는 생각에 소송을 하고 싶은데 솔직히 소송보상금에는 관심이 없는데 뭔가.. 카페에 들어서 소송을 하자니 계속 기분이 찜찜해서 못하고 있습니다
    얼른 뭔가 다른 이번일에 대한 다른 대안적인 참여방식이 생겼으면 좋겠습니다

  14. 옥션회떠버려 2008.04.19 00:34  댓글주소  수정/삭제  댓글쓰기

    어차피 개인정보가 유출된건 소비자로써 서비스를 받고 있는 고객으로써 기분 나쁜건 맞습니다.
    단순히 돈을 워해서 소송을 하는것이 아니라.. 돈을 받음으로써 이 정말 엿같은 기분을 전환하고 싶네요 ㅋ 님 글도 좋지만 너무 도덕적인 부분도 들어있는 것 같습니다.
    소송은 물론 카페 같은 곳에서 해서는 절대 안 되겠습니다...
    믿을만한 시민단체나 아니면 자기 개인이 스스로 소송을 걸어야겠죠. 소송문제는 저도 글쓰인님의 읜견과 동일 합니다.
    하지만 돈벌이 수단??? 모든 사람들이 그렇게만 생각하는 것이 아닙니다.
    저는 보안에 대해 상당히 민감 합니다...
    단순히 이번 해킹 사건을 돈벌이 목적으로 생각하지 않고 있다는 겁니다.
    우리나라만큼 웹사이트 보안이 허술한 곳도 없을 겁니다..!
    무X스트, 투니X스, 등등의 많은 메이저 사이트들이 악성코드를 내포한 채 운영되고 있더군요...ㅋ;;
    거의 매일 해킹 당하다 싶이요... ㅡㅡ;; 참 어이가 없습니다..
    탈퇴회원도 해킹확인을 하라니...;; 어이가 없습니다..
    그렇다면 옥션측에선 탈퇴회원의 개인정보도 소유하고 있었던 것 아닙니까??
    이건 명백히 자신들의 약관에 있는 개인정보 취급방안에도 어긋나는 것이고 고객을 완전히 우롱하는 것이 되겠죠...
    정신적 충격과 심한 짜증감을 어떻게 극복할 수가 있겠습니까?
    보상을 받아야만 하죠...;; 거기서 물론 뜻이 있는 사람이야 불우이웃돕기 같은 것을 한다 치지만..
    매일 보이스피싱이나 사기전화, 스펨메일등에 시달리는 해킹피해자로써 보상을 받는 것은 당연하다고 생각 합니다. 정신적인 피해보상은 확실히 받아야 겠어요 !
    그리고 다른 기업에서도 뼈저리게 느끼겠죠..
    짜증나는 대한민국의 기업 정신들...직업윤리라고는 눈꼽만치도 없는 놈들....
    외국의 탄탄한 기업들 좀 본 받았으면...돈벌이에만 혈안이지...
    어쨌든 돈으로 소송받고 싶다는 것은 개인의 자유입니다. 전혀 비판적인 시각으로 볼 필요 조차 없다는 겁니다. "카페를 통한 소송문제는 저도 문제가 있다고 생각 합니다. 구 부분 만큼은 동참

  15. BlogIcon 실비단안개 2008.04.19 08:22  댓글주소  수정/삭제  댓글쓰기

    주번을 도용당한 저는 해킹에서 비켜갔는데, 큰아이가 해킹을 당했다네요. 하여 어제 집단소송에 참여할 것인가를 두고 이야기를 주고 받았는데, 한글로님의 글을 읽으니 또 다른 피해가 충분히 가능할 것 같아 말리고 싶습니다. 해킹으로 아직 별다른 피해 징조는 없구요. 에휴~ ;

    좋은 주말 만드세요.^^

  16. 네티즌 2008.04.19 10:56  댓글주소  수정/삭제  댓글쓰기

    공감입니다.
    저도 유출되었다 해서 한번 카페에 가봤더니
    가자마자 바로 기분 짜증.

    박모변호사란 사람이 소송을 준비중이니 3만원씩 그것도 자기계좌를 직접 내걸고 앉아있더군요.
    참 한심해서 스스로 정체성도 없이 그저 돈만 벌어보잔건가. 참
    진짜 참여연대나 시민단체가 중심이 되어야 합니다. 그래서 어느정도 보상을 받아서 피해자들 모두에게
    조금씩이라도 돌려주던지, 아니면 불우이웃돕기에 전원 성금하던지 해야 한다고 생각합니다.

  17. 이걸로 2008.04.20 13:13  댓글주소  수정/삭제  댓글쓰기

    한몫 잡겠다는 도둑놈 심보인 인간들이 문제져;;
    많이 받아야 10만원일테고.... 기간은 1년~4년 아무도 알수없음 ㅋㅋㅋ

  18. 음. 2008.04.20 15:06  댓글주소  수정/삭제  댓글쓰기

    좋은글 감사합니다 ^^ 저도 피해자인데.. ㅠㅡㅠ 참고할게요!

  19. BlogIcon 퍼니 2008.04.22 16:20  댓글주소  수정/삭제  댓글쓰기

    만약 사기로 결론나면 옥션은 삼중고를 당하는건가...

  20. d 2008.05.30 16:35  댓글주소  수정/삭제  댓글쓰기

    믿을만한 옥션 해킹피해자 소송원고 모집 사이트를 알려드립니다.
    공증인가 법무법인 21세기에서 모집 중이고 소송비용 1만원에 추가비용 없습니다.
    http://cafe.naver.com/lawfirm21c
    곧 1차 소송을 제기할 것으로 보입니다.서류는 팩스나 이메일로 접수하시면 됩니다.
    소송관련 정보통신법에 대한 해설도 되있네요.

  21. 에라이 2008.07.21 10:35  댓글주소  수정/삭제  댓글쓰기

    참여욘대 자체가 사기꾼이란거 모르시오?

실종아동 사이트 해킹 무방비

2년 가까이 무방비 상태로 운영에 신고 받고도 4일 이상 고치지 않아


* 이 글은 지난 2007년 7월 31일경 "기관의 명예를 훼손했다"는 이유로 "게시물 중단 요청(권리 침해 신고)"을 해서 한 달간 임시 삭제 조치 되었던 글입니다.

하지만, 그 명예를 훼손당했다던 기관은 명예훼손으로 저에게 어떠한 조치도 취하지 않았습니다. 그래서한 달이 지난 시점에 자동으로 되살아났습니다.

이제 이 글은 안전합니다. 같은 글에 대해서는 두 번 중단 요청을 할 수 없기 때문입니다.

하지만, 저는 "국가로부터 위탁 받아, 국가의 일을 하는 기관"이
자신들의 일을 제대로 하지 못함을 꾸짖는 국민에게
명예훼손 운운한다는 사실이 정말 우스울 따름입니다.

실종아동 기관은 즉시, 명예훼손 고소를 하시기 바랍니다.
모든 시민 단체들이 아마 저를 도와주리라 믿습니다.
(이미 도와주겠다고 밝힌 곳도 여럿 있지요)


실종 아동을 제대로 찾자는데,

그에 대해서 토를 다는 것은

누구입니까?


(이 글을 올린 이후로 실종아동 전문기관의 홈페이지는 아무런 공지없이 1주일 가량 다운되어서 썰렁한 첫화면만 보여주었습니다. 그리고 며칠전에도 약 1일간 다운되었지만, 아무 공지가 없었습니다.

국가의 사이트가 이렇게 불안한데, 보건복지부는 무엇을 하고 있을까요?

아하, 실종아동 전문기관에 문의하라구요? ^^

한글로. 2007.8.31



혹시나 해서 점검해보니


이미 앞의 글에서 밝혔듯이, 나는 웹기획자로서 보건복지부가 위탁한 어떤 서비스를 관리하고 있다. 내가 하는 일은 전반적인 웹사이트의 기획, 업무적인 기획 등등 여러가지 일이다. 웹사이트의 보안 테스트나 VISTA 호환성 테스트 등등도 진행한다.

실종아동 전문기관의 사이트 (http://missingchild.or.kr )의 공지사항에는 아래와 같은 내용이 들어있다.

또한, 지속적인 나의 캠페인으로 인해 압박을 받자, 아래와 같은 공지문을 올린다.  (2007.6.4)

ActiveX 설치에 대하여 

실종아동 찾기에 관심 가져 주셔서 감사합니다.

  실종아동전문기관에서는 실종아동 및 장애인의 실종신고접수 자료를 경찰청과 공유하고 있으며, 또한 전국 시설보호 아동 및 장애인 중 보호자가 확인되지 아니한 대상의 신상카드를 접수받아 DB화하여 홈페이지에 공개하고 있습니다.  

  실종아동등의 관련 정보의 보호조치 및 공개,열람에 대한 내용은 “실종아동등의 보호 및 지원에 관한 법”률(‘05. 12. 1시행) 시행령 제4조제1항 규정하고 있는데, 그 내용은 “전문기관의 장은 법 제8조의 규정에 의하여 신상카드를 활용한 데이터베이스를 구축,운영함에 있어서 정보 또는 자료를 안전하게 보호하기 위한 정보복구 체계의 구축 및 외부침입 방지장치의 설치 등 정보 또는 자료보호에 필요한 조치를 하여야 한다”. 라고 규정하고 있습니다.

  이에 따라 우리 기관에서는 내부 주전산 프로그램을 사용하고 있으며 내부전산 프로그램의 데이터를 웹 인터페이스 통해 홈페이지에 구현되고 있습니다.  따라서 구현하는 개발Tool 자체로서 보안등의 사유로 ActiveX 프로그램을 첫 방문 시에 설치하도록 하고 있습니다.

  그러므로 여러분들께서 다소 불편함이 있으시더라도 홈페이지 첫 방문시에만 ActiveX를 설치해 주시면 이후로는 모든 정보를 확인하실 수 있으므로 양해하여 주시기 바랍니다.  

  다시 한번 여러분들의 넓은 이해 부탁드리며, 실종아동에도 많은 관심 부탁드립니다.
 감사합니다.  


즉, 정보보호에 대한 조치를 강구해야 한다고 되어 있다. 덕분에 전혀 보안과 관련없는 리포팅 툴을 설치해 놓는 헤프닝이 몇년째 계속되고 있다. (그 액티브X가 보안과 상관없음은 여러 글을 통해서 밝혔다.)


그래서, 얼마나 제대로 웹사이트를 방어하는가를 알아보기 위해서, 아주 간단한 테스트를 해보았다. 내가 담당하는 시스템의 보안을 점검할 때하는 가장 간단한 테스트로, 상용 웹사이트의 프로그래머라면 당연히 막아야 할 부분이었다.


그런데, 어이없게도 아래와 같은 운영자 모드로 접근이 가능했다. 나는 암호도 모르는데 말이다!


사용자 삽입 이미지


▲ 보안이 전혀 안된 실종아동 전문 웹사이트
http://missingchild.or.kr 의 관리자 화면
(알려준지 나흘이 지나서야 보안을 적용하였음)


실종아동 기관과 보건복지부에 알려도 느릿느릿 나흘 걸려

나는 악의적인 해커가 아니기때문에, 이러한 사실을 실종아동 전문기관에 이메일을 보냈고(2007.7.26. 13:53), 혹시 이메일이 도착하지 않으면 어쩔까싶어서 보건복지부에 민원을 넣어서 알려드렸다. 보건복지부에서는 "조치하겠다"는 답변도 받았다. 이것이 엊그제 저녁의 일이다. (2007.7.26일 저녁)


그렇지만, 오늘(2007.7.30) 아침에도 전혀 조치되어 있지 않았다. 계속해서 관리자 페이지는 열리고 있었다. 그래서 아침에 다시 보건복지부에 "예제 와 정답"도 알려주었다. 하지만.. 그것이 처리된 것은 그로부터도 몇시간이 지난 오후 4시경이다. 진짜 해커가 경고를 했더라도 이렇게 더뎠을까? 자그마치 나흘이 걸렸다. 해커는 아마 기다리다가 지쳤을지도 모르겠다.

이 웹사이트는 이 디자인으로 무려 2년이상을 운영한 곳으로 알고 있는데, 그럼 그동안 누군가가 들어왔을 수도 있지 않은가?

그 기관의 주장대로라면 Active-X로 보안을 했는데 왜 이런일이 일어났을까? 다시 말하거니와 그들이 설치를 강요하는 Active-X는 보안툴이 아닐뿐더러, 보안툴을 아무리 깔아도, 프로그램에서 체크하지 않으면 안되는 부분이기 때문이다.


큰 대문 열어놓고 창문만 닫은데다 해결 의지도 없어


이 경우를 일컬어 "대문을 활짝 열어놓고" 창문을 꼭꼭 닫고, 창문을 열때마다 비밀번호를 눌러야 하는 장치를 닫고서 "우리집은 안전하다"고 하는 격과 같다. 또한, 그러한 사실을 알려주고, 내 전화번호도 남기면서 "문의사항이 있으면 하라"고까지 해주었지만... 역시... 아무런 문의도 오지 않았다. 의지 자체도 없는 것으로 판단할 수 밖에 없다.

그래서 어쩔 수 없이 며칠이 지난 오늘, 다시 직접 해결책까지 알려준 것이다.

그런데, 이게 무척이나 어려운 부분은 아니었다.

프로그래머가 수정해야 할 부분은 단 몇 줄. 그것도 걸리는 시간은 30분을 넘지 않을 간단한 작업이었다. 사실, 이런 기초적인 부분은 당연히 막혀 있어야 하며, 만약 내가 두리뭉실하게 지적을 했다고 하더라도 금방 알아채야 정상이다. 하지만, 이 곳은 그렇지 못했다.

해킹 경고에도 이렇게 느긋한 곳이, 과연 아이들을 찾는데는 얼마나 적극적일까?


이런 기관이 한두개일까?

솔직히, 담당 공무원도 별 관심이 없는 부분인데다가, 위탁 기관의 숫자와 웹사이트의 숫자가 어마어마한 상태이므로 이런 일은 어디나 벌어질 수 있다. 복지부 산하 기관 뿐만 아니라 많은 사이트가 "대문을 활짝 열고" 있는 실정일 것이다.

앞으로 시간이 날때마다 체크를 해서 국가에 알려주겠지만, 누군가가 마음만 먹으면... 어떤 사태가 벌어질지 뻔하다.

국가는 키보드 보안 Active-X를 도입하라고 강요할 뿐이지, 이런 간단한 체크는 하지 않고 있다. 그리고, 위탁운영기관은 그냥 "그들의 문제"라고 치부하고 관심을 끊고 있는 것은 아닌가? 위탁 운영되고 있는 중요한 곳이 얼마나 많은지 아는가?

제발.. 돈이 없어서 못한다는 소리는 하지말자. 앞서 예로 든 기관의 한 해 예산은 자그마치 8억원이다.

국가의 예산이 헛되게 사용되지 않았으면 하는 바램이다.

그리고, 실종아동기관의 각성을 바란다. 만약 이 사태로 키보드 보안등의 Acive-X를 도입하는 식의 이상한 대책을 세운다면... 나는 너무 화가 날 것만 같다.

* 이 글은 실종아동기관이 내가 지적한  보안문제를 수정하였음을 확인하고 올림을 밝혀둔다. 수정 전에 올렸더라면, 마음씨가 좋지 않은 해커들로 인해, 아마 그 홈페이지는 고난을 겪었으리라. (하지만, 2년 이상 그렇게 운영되었다)



세상을 바꾸는 작은 외침
미디어 한글로
media.hangulo.net


2007.7.27.최초 작성.(비공개) 7.30 최종 작성(공개로 전환)

* 이 글은 제 옛날 블로그에 있던 글을 옮겨온 것입니다. (http://blog.daum.net/wwwhangulo/7451854)





제대로 된 링크드인 활용서
LinkedIn 링크드인으로 취업하고 채용하자
정광현 저
예스24 | 애드온2
 
★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로

댓글을 달아 주세요

 
 당신의 패스워드는 안전하십니까?
패스워드 암호화 시급하다

며느리도 안가르쳐줘! 하지만 상담원은 다 알고 있다!

요즘 이메일의 재미에 푹 빠진 '아무개'씨는 자신의 계정 패스워드를 아무에게도 알려주지 않는다. 그 누구에게도 알려주지 않았으므로 안전하다고 생각한 '아무개'씨. 하지만, 어느 날... 패스워드를 잠시 잊어버린 그는 그 사이트의 고객상담실에 전화를 해보고는 깜짝 놀라게된다.

    네.. '아무개 회원님이 맞으시네요. 회원님의 패스워드는.. 1234입니다'

아무에게도 안가르쳐준 패스워드를, 상담원들은 손쉽게 알 수 있단 말인가!

아무개씨는 혼란에 빠진다. 저 패스워드로 거의 모든 사이트들을 접속하고 있으며, 심지어 인터넷 뱅킹의 암호도 모두 통일해 놓았으니 말이다.


패스워드는 어떻게 저장되는가?

정답은 '안전이 보장된 큰 포털 사이트와 제로보드 등의 이름난 공개 게시판 시스템, 안전이 보장된 쇼핑몰 등을 제외하고는' "그냥 아무런 대책없이, 내가 입력한 그대로 저장된다"이다.

게시판 시스템으로 간단히 사이트를 운영하는 수많은 곳에서도 사용자의 패스워드는 운영자 권한이면 쉽게 열람이 가능하다. (글쓴이의 경험으로는 윈도우즈쪽의 시스템을 사용하는 웹사이트에서는 대부분 그대로 저장하고 있었다)

'패스워드 찾기' 기능을 사용해서 이메일로 패스워드를 그대로 보내주는 곳은 모두 '암호화'가 안되어 있는 곳이고, 누군가 나쁜 사람이 마음만 먹으면 얼마든지 유출이 가능하다는 뜻이된다. (암호화가 되어 있으면 임시 패스워드를 발급하는 방법으로 알려준다.)

주민등록번호 도용으로 온나라가 떠들썩한게 얼마전이다. 그래서 주민번호에 대한 대책으로 '가상 주민번호'제도를 도입하는 등, 업체 등에서도 신속히 대응하고 있다. (물론, 아직도 첫걸음 수준이지만...)

     [관련기사] 개인정보 노출 걱정 사라진다 (2006년 10월 4일 디지털타임즈)
     http://news.media.daum.net/digital/computer/200610/04/dt/v14246001.html

하지만,  더 중요한 패스워드에 대한 보안에 대해서는 이슈화되지 못하고 있다.

피싱을 아십니까?

개인정보(Private data)를 낚는다(Fishing)는 뜻의 피싱(Phising)은 쉽게 말하면,"가짜 사이트"를 만들어서 사람들의 개인 정보를 빼내는 범죄를 말한다.

즉, daum.net을 치려다가 오타를 내게 되면, 보통은 다른 사이트로 이동해야 하는데,

'다음'과 똑같은 페이지를 디자인해 놓는 방식이다.

접속한 사람은 아무 생각없이 로그인을 하게 되고, 그 정보는 고스란히 피싱 사이트를 만든 시스템에 저장이 된다.

당연히, 그 자료는 악용이 되는데, 최근에는 이메일이나 여러가지 기법을 사용한 피싱 기법이 개발되어 많은 피해자를 낳고 있다.

하지만, 우리가 우려해야 할 것은 피싱만은 아니다. 우리가 무심코 가입하는 수많은 사이트들.. 주민번호를 넣지 앟아서 안심하고 있는 수많은 사이트들 조차도, 가장 중요한 정보인 'ID'와 '패스워드'를 고스란히 가지고 있다는 뜻이다.

물론, 그 많은 사이트들을 모두 '범죄자'로 몰고 갈 생각은 전혀 없다. 단지, 범죄자들이 그 방법을 사용함으로써 선량한 사이트 운영자마저 철퇴를 맞을 수 있다는 뜻이다.


패스워드는 암호화 되어야 한다

말 그대로 '암호'인 패스워드는 암호화 시켜서 저장해야 한다.

'그러면 어떻게 패스워드가 맞는지 검사하느냐?'는 질문이 나올법한데, 이미 유닉스 기반의 운영체제에서 수십년간 사용한 방법이 있다. (유닉스, 리눅스 시스템에서 계정의 암호는 운영자도 알 수 없도록 암호화 되어 있다)

또한, 제로보드 등의 공개 게시판 시스템은 이미 오래전부터 패스워드와 주민번호에 대해서 암호화 기법을 사용하고 있다. (물론, 코드를 수정해서 사용하는 게시판도 있으므로 100% 믿을 수는 없다)

간단히 설명하자면...

단방향 암호화 함수 (이 단어가 학술적이지 않을지는 몰라도 이해에는 큰 도움이 되므로 사용함)란 것을 사용하는데, '1234'를 넣으면 '36ff78fd0cf7ee31'와 같은 고유한 문자열을 결과값으로 내주는 함수다. 물론, 다른 문자열에 대해서는 절대로 같은 문자열이 나오지 않는 함수이다.

이렇게, 사용자가 가입시 1234를 넣더라도 DB에는 36ff78fd0cf7ee31 로 저장을 하고,

나중에 로그인 할때도, 사용자가 입력하는 값을 암호화 함수에 넣은 결과값을 저장된 36ff78fd0cf7ee31와 비교만 하면 된다.

좀 복잡한 것 같지만, 이미 널리 이용되고 있는 방법이며, 리눅스 계열에서는 쉽게 구현이 가능하다. 하지만 윈도우즈 계열에서는 그렇게 널리 사용하지 않은 듯 보이며, 글쓴이의 지식으로는 많은 사이트들이 패스워드 암호화에는 큰 관심을 두고 있지 않다고 알고 있다.


누가 고양이 목에 방울을 달까?


인터넷 서비스 업체와 개발자, 사이트 운영자들이 패스워드 암호화를 자발적으로 도입하고 운영해야 한다.

이때, 정부에서 단방향 암호화 관련 표준 코드들을 제시해 주면 좋다. 물론, 인터넷에는 많이 공개되어 있긴하지만, 이것을 찾고 적용하고 검증하는데는 전문가가 아니라면 좀 시간과 노력이 많이 든다.

하지만, 그러한 대책이 있기 전에 사용자들은 어떻게 해야 하는가?

정기적으로 패스워드를 바꾸라고 다들 권장하지만, 그렇게 하는 사람이 몇이나 될까?

인터넷을 사용하면서 패스워드 자주 바꾸는 것은 정말 귀찮은 일이다.

그래서 차선책으로 내세울 수 있는 것은...

대형 포털등 안심할 수 있다고 판단되는 곳에 사용하는 중요한 패스워드와
남이 알아도 크게 피해가 가지 않는 곳들에 사용하는 덜 중요한 패스워드..
이렇게 두가지를 운영하면 좀 안심이 될 수 있다. (패스워드의 이원화)

그리고 중요한 패스워드는 적어도 6개월에 한 번쯤은 바꾸는 것이
수많은 기술로 구멍이 생기고 있는 현대 인터넷 세상에서 피해를 예방하는 길이다.


세상에 완벽한 방패는 없다

'모순'이라는 말의 어원처럼, 절대로 "모든 것을 막을 수 있는 방패"나 "모든 것을 뚫을 수 있는 창"은 존재하지 않는다. 어떤 보안책이라도 뚫리기 마련이며, 그 뚫린 구멍은 또 막을 수 있다.

위에서 말한 패스워드 암호화 기법을 사용하더라도, 사용자가 사전에 있는 단어들을 기반으로 만든 암호를 사용하거나, 전화번호, 생일 등 연관 가능한 것들로 암호를 만든다면, 부지런한 범죄자들은 반드시 그 구멍을 찾아내고 말것이다.

요즘 세상에 자신의 개인 정보가 하찮다고 느끼는 사람은 없을 것이다. 그렇다면, 그 소중한 재산을 보호하기 위해서 조금 더 조심하고 문단속을 철저히 하자.

- 참고 : 글쓴이는 보안 전문가가 아니므로 위의 내용에 틀린 내용이 다수 포함될 수 있습니다. 틀린 부분을 알려주시면 바로 수정하겠습니다 -





제대로 된 링크드인 활용서
LinkedIn 링크드인으로 취업하고 채용하자
정광현 저
예스24 | 애드온2
 
★ 이 글을 트위터에 올려보세요 ☞
글쓴이 한글로

댓글을 달아 주세요

  1. BlogIcon trendon 2007.03.02 03:29  댓글주소  수정/삭제  댓글쓰기

    보안은 중요한 거죠.

  2. BlogIcon Lemon- 2007.03.02 03:37  댓글주소  수정/삭제  댓글쓰기

    왠지 무섭군요.. =_=
    저도 하나의 비밀번호로 모든 계정을 사용하고 있는데..

  3. BlogIcon 알쯔 2007.03.02 03:40  댓글주소  수정/삭제  댓글쓰기

    웹페이지 개발자로서 일해본 경험으론 대다수의 클라이언트가 패스워드 암호화를 원치않습니다.
    개발자는 돈주는사람이 시키는데로 패스워드 암호화를 시키지 않고 개발하구요
    클라이언트가 왜 암호화를 원하지않는지 정확히는 모르겠지만...

    고객왈 : 사이트 암호 잃어버렷어요
    상담원 : 저희사이트는 암호가 암호화되어 어쩌고 저쩌고
    고객왈 : 아씨 무슨말인지 모르겠으니깐 그냥 암호나 알려줘요-

    요런상황이 워낙 빈번하다보니 그런것이 아는듯 합니다.
    먼저 유저부터 보안의식을 가져야하지않을까하는...

    • BlogIcon 골빈해커 2007.03.02 09:16  댓글주소  수정/삭제

      절대동감 댓글이네요..^^

    • BlogIcon 한글로 2007.03.02 09:54  댓글주소  수정/삭제

      맞습니다. 그게 문제지요. 하지만, 비켜가는 방법이 많습니다. "회원님, 저희 사이트는 보안이 철저해서 회원님의 암호를 저희도 알 수가 없습니다. 제가 회원님의 암호를 알면 도용도 가능하겠지요. 하지만, 지금 회원님의 신원만 확인되면, 원하시는 암호로 바꾸어드릴 수 있습니다" 라는 식으로요. 오히려 더 믿음을 주기도 하더군요... 사실... 암호 다 볼 수 있으면서도 정책적으로 이런식으로 하는곳도 있습니다. ^^

    • BlogIcon 골빈해커 2007.03.02 16:53  댓글주소  수정/삭제

      너무 삐딱한 시선으로만 바라보는건지는 모르겠지만, 경험상 한글로님처럼 젊잖은 분들이 거의 없다는게 더 문제라면 문제랄까요..^^;;

    • BlogIcon 한글로 2007.03.02 18:51  댓글주소  수정/삭제

      네. 그런 삐딱선인 사람에게는 그냥 그사람 이름대로 암호 바꿔주고 "이겁니다. 원래부터 이걸로 하셨는데요?" 하지요. 저도 현업에서 그러고 있답니다. ^^ 삐딱한 사람은 대책이 없지요. ㅋㅋ

  4. 2007.03.02 06:50  댓글주소  수정/삭제  댓글쓰기

    MS 쪽이 암호화가 더 허술하다는건 말이 안되구요. 리눅스나 유닉스의 경우 기본 설정일경우 특정 폴더에서 (리눅스/유닉스) 사용자 계정의 암호를 다 볼수있습니다. 보안을 위해선 이 폴더를 없애고 다른 폴더(root만 접속가능한)에 암호를 보관해야되구요. 최신 배포판들은 기본적으로 이런 방식을 제공하는 경우가 많지만, 오래된 배포판들은 대부분 안되있습니다. 솔직히 말해서, 리눅스에 대해서 아주 잘 아는 경험많은 관리자가 관리하는 서버가 아닌이상 윈도서버보다 훨씬 더 쉽게 뚫을수 있습니다. 한 1년 정도 꾸준히 시도하면 root 권한 확보한 리눅스 서버 수천개정도 얻는건 간단합니다.

    그리고 APM 환경의 암호화라는게 전부 MySQL 인크립션을 기반으로 하는 암호화인데.. 이건 일단 데이터를 얻었다면 시간이 좀 오래걸리긴 하지만 푸는건 그리 어렵지 않습니다. 그리고 MS-SQL이나 Oracle도 암호화는 다들 기본적으로 제공합니다. MySQL보다 더 강력하구요. 다만 윗분이 말씀하셨다 시피 클라이언트 측에서 빼자고 요구하니까 애초에 개발할때 그걸 사용하지 않도록 하는것뿐입니다.

    마지막으로 제로보드는 아예 보안쪽으론 가능성이 없는 보드입니다. 최신인 pl8 버전도 어렵지 않게 방법을 찾아서 크랙할수 있습니다. 제로보드보다 훨씬 더 전세계적으로 유명한 phpBB도 마찬가지구요. PHP 자체가 근본적으로 취약합니다. 오픈소스 프로젝트들은 거의 모두 trac을 유심히 살펴보기만 해도 바로 최신버전에 대한 크랙방법을 얻을수 있습니다. 오픈소스가 아닌쪽들은 비교적 정보를 얻기 어렵기 때문에 최신 버전에 대한 크랙방법을 획득하기 어렵습니다.

    • BlogIcon 한글로 2007.03.02 10:06  댓글주소  수정/삭제

      제가 글을 잘못쓴 모양입니다. ^^ 제가 말씀드린 '암호화' 관련은 시스템 자체의, DB단의 암호화가 아닙니다. 보통 리눅스 쪽에서 기본으로 사용하는 게시판인 '제로보드'처럼 기본적으로 소스코드를 손대기 전에는 자동으로 암호화(인크립션이라고 하나요?)되어서 저장되는 것에 반해, 대부분의 윈도우 기반 게시판은 그런 개념조차 거의 없다는 것입니다. 특히, MD5인가 하는 간단한 암호화 기법도, 리눅스단에서는 쉽게 사용하던데, 윈도우쪽에서는 새로 만들거나 해야 되더군요. (제가 워낙 개발쪽에는 미천한 실력이라.. 용어가 좀 그래도 이해바랍니다.^^) 몇몇 회사들의 상태를 봤는데, 거의 다 그냥 넣어놓고 있더군요. (윈도우와 오라클을 사용하는 시스템에서도 마찬가지였습니다) 그런 면에서 문제가 있다는 뜻이었습니다.

      제로보드 등의 암호화 수준에 대해서 말씀하신 것은 "기술자"수준의 접근이지만, 제가 말씀드린 것은 "운영자"혹은 "상담원" 수준의 접근입니다. 아무리 기술자 단에서 암호화니 뭐니 해도, "상담원"이 손쉽게 남의 암호를 볼 수 있다면, 아무소용 없는 일이지요. 하지만, 그게 곳곳에서 일어나고 있는 것은 현실입니다. 그 문제를 다룬 것입니다. ^^

      좋은 의견 감사드립니다.

    • 2007.03.02 22:15  댓글주소  수정/삭제

      제로보드가 주민번호와 비밀번호를 암호화해서 저장하는 방식이 바로 MySQL 인크립션을 이용하는 것입니다. 별도의 암호화 알고리즘은 없고 그냥 MySQL 기능을 이용해서 암호화합니다. 그리고 MD5 체크섬은 암호화를 위해 사용되는 것이 아니라, 파일의 무결성 검사를 위해 사용됩니다.

      상담원이 암호를 보는 문제는, 해당 웹프로그램들이 개발될때 클라이언트가 어떤 요구를 했느냐에 전적으로 달려있습니다. MS에선 어렵고 리눅스에선 쉽고 이런 문제가 아닙니다. 똑같이 쉽습니다. 즉 OS와는 전혀 상관이 없는 문제입니다.

      MS쪽에서 그런 형태의 웹프로그램이 많은건 다음과 같은 이유라고 짐작해 볼수 있습니다. LAMP 서버는 주로 돈없는 개인이나 중소기업이 많이 쓰는 관계로, 고용된 개발자가 아예 없거나, 용역으로 개발할 예산이 아예 없는 경우도 많습니다. 이런 경우 공개 소프트웨어의 소스를 수정해서 비밀번호와 주민번호를 상담원이 볼수 있도록 만들어줄 개발자가 없으므로, 기본 세팅대로 그냥 쓰게 됩니다.

      반면 MS쪽을 쓴다는건.. 일단 OS,DB 값으로 이미 천만원 이상을 지출했다는 의미인데.. 즉 개발 외주를 줄만한 능력이 있습니다. 그럼 개발할때 요구사항을 이것저것 말하겠죠. 거기에 관리자가 비밀번호 주민번호를 볼수있게 해달라가 포함되는 경우가 많은것뿐입니다.

    • BlogIcon 한글로 2007.03.03 08:33  댓글주소  수정/삭제

      글의 핀트가 많이 빗나간 듯 합니다. 주된 주장은 "패스워드를 상담원이나 운영자가 볼 수 없도로 단방향 암호화"를 하자는 것이고, 대체로 제로보드를 수정해서 사용하는 리눅스 쪽에서는 (좋든,싫든) 제법 되고 있는데, 대부분의 윈도우 프로그램에서는 그렇게 되지 않고 있다는 것입니다. 그리고, 클라이언트의 요구라기보다는 개발자의 의식부족이 더 클 수도 있다고 생각합니다. 어쨌든, 공부 잘 했습니다. ^^

  5. 2007.03.02 07:29  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  6. BlogIcon 미디어몹 2007.03.02 09:32  댓글주소  수정/삭제  댓글쓰기

    한글로 회원님의 상기 포스트가 미디어몹에 링크가 되었습니다.

  7. BlogIcon CN 2007.03.03 12:57  댓글주소  수정/삭제  댓글쓰기

    피싱은 서버단에서 패스워드를 변형해서 저장하느냐 여부와 상관없습니다. 클라이언트에서 서버단까지 변형되지 않고 전달되면서 가짜 사이트를 검증하지 못한다면 피싱은 가능합니다. 현재의 HTTP에서는 이 부분을 해결할 방법이 마땅치 않습니다.

    그리고 보통 패스워드를 저장하기 위해 사용하는 MD5와 같은 방법들은 암호화가 아니라 "해슁"입니다. 해슁되어 나온 값이 전부 다른 경우를 완전 해슁이라 부릅니다. 이론적으로 완전 해슁은 존재하지만 MD5와 같이 일반적으로 사용되는 해슁 함수에서 완전 해슁을 기대하기 힘듭니다. 즉 MD5를 걸쳐서 나온 값, 즉 해슁 값이 동일한 경우가 존재합니다. 실제로 DB에서 MD5를 확인한 경우 그 사용자가 가입한 다른 사이트에 모두 "로그인" 하는 것이 가능합니다. 왜냐하면 사용자가 만든 패스워드와 동일하지는 않지만 같은 해슁 값을 가진 패스워드를 단순 반복 대입으로 찾아낼 수 있습니다. 게다가 이 단순 반복 대입 결과를 정리하여 DB로 제공하는 사이트들이 있습니다. 이 사이트를 이용하면 호환되는 패스워드를 5초 내로 찾아낼 수도 있습니다.

    어떻게 되었든 DB가 공개되기만 하면 어떤 방법으로도 사용자의 계정이 위험한 것입니다.

    또한 한 익명 유저는 리눅스의 보안에 대해 이야기한 분이 계신데 전 레드햇 이전의 슬랙웨어에서도 해당 문제를 경험하지 못했습니다. 대체 어느 시대를 말씀하시는 것인지 의문이 드는군요.

    함수를 mysql의 것을 이용한다는 것도 예전 이야기입니다. 제로보드나 PHPBB과 같이 낡은 애들이 아니면 최근에는 거의 PHP에 종속된 md5 함수등을 사용하고 있습니다. 사용하는 알고리즘이 md5라는 확신이 있고 mysql등의 db버전에 영향을 받지 않으며 심지어 rdbms를 바꿔서 사용하는데도 문제가 없기 때문입니다.

    • BlogIcon mithrandir 2007.03.03 13:21  댓글주소  수정/삭제

      한글로님이 피싱에 대해서 쓴것은 특별히 서버측의 암호화에 대해서 연관지어서 쓴 것은 아니라고 봅니다. 개인정보 유출의 또다른 예를 든 것이라고 봐야겠지요.

      그리고 해슁(해시? 해싱? 뭐 어쨌든.)은 단방향 암호화라고 부르기도 한답니다. 단방향 암호화의 방법으로 해쉬 알고리즘을 사용하는 것이지요.

      db가 유출되서 사용자의 계정이 위험한 것은 사실이나, 그때 유출되는것이 해쉬값인지, 혹은 평문 암호인지의 차이는 꽤 큽니다. 사용자들이 보통 같은 패스워드를 여러 사이트에 쓰는것을 생각하면, 평문암호가 유출되었을때의 파장은 더욱 더 크겠지요.

      이부분에 대해서는 sha-1 알고리즘등, 상대적으로 역추정 시간이 오래걸리는 방법을 사용하는 것으로 어느정도 막을 수 있습니다.

      다만, 역시 중요한것은 일정수준 이상의 시스템 보안이 이루어진 상태에서는 사회적 보안이 더욱더 중요하다는 점입니다. 상담원들이 정직하다면 단순히 xor암호화만 해 놓았더라도 굳이 평문 암호를 알아내려는 시도도 하지 않겠지요. 그런 점에서 볼때 단방향 암호화를 '한다'라는 점 자체가 중요한 역할을 한다고 봅니다.

    • BlogIcon 한글로 2007.03.03 13:23  댓글주소  수정/삭제

      옳으신 말씀이니다. 제가 '피싱'을 이야기 한 것은 저보다 문외한인 사람들에게 '조심하라'는 이야기를 하려고 꺼낸 것이구요. ^^ 피싱을 통해서 <아이디>와 <암호>가 노출된다는 것을 말한 것이지요. 그런데, 사실, 우리나라는 피싱 안해도, 웬만한 회사의 상담원이면 수천,수만명의 고객 ID와 암호를 한눈에 볼 수 있도록 되어 있어서 문제를 제기한 것입니다. 그게 작은회사든 큰 회사든 상관없이 말이지요. ^^ (md5가 패스워드 단방향 암호화(해쉬)에 사용되는게 맞긴 맞군요. ^^ 워낙 여기저기서 줏어들은 이야기들이라.. ^^)

      좋은 가르침 감사드립니다. 제 블로그가 갑자기 많은 분들의 방문으로 환해진 느낌이네요.

      어쨌든, 상담원들이 맘대로 제 암호를 본다는 것... 정말 찝찝한 일입니다. ^^

  8. BlogIcon 한글로 2007.03.03 13:33  댓글주소  수정/삭제  댓글쓰기

    * 2007년 3월 3일 * 올블로그 어제의 추천글에 올랐네요. ^^ 어쩐지 많이들 오시더라.. ^^ 고맙습니다.

  9. BlogIcon 점프컷 2008.04.18 14:42  댓글주소  수정/삭제  댓글쓰기

    동감합니다. 현재 가장 시급하게 보완해야 할 부분입니다. 이건 아예 제도화 시켜서 패스워드 암호화를 의무규정으로 만들어야 합니다. 그럼 모든 사이트에서 암호화를 할테니 사용자들이 단기간에 학습할 수 있구요. 아울러 주민등록번호를 요구하지 못하도록 이 문제 역시 제도화 시켜야 합니다.

    한마디로 기형적인 인터넷 문화이 한 단면입니다. 글로벌 서비스같은 경우는 주민등록번호 없이도 잘만 사용할 수 있고, 비밀번호 암호화 안시키는 곳은 찾아보기 힘들죠. 기본으로 돌아가야 합니다. 그러기에너무 멀리온듯한 느낌도 들지만 항상 편리한 것만 찾다가는 언제까지 이런 문제를 해결하지 못하죠.

한글로 정광현을 소개합니다. (2016년 4월 버전)

한글로는... 한글로 정광현 - Android Developer ( Udacity Android Developer Nanodegree 보유 [Google 공인 과정]) - SNS 컨설턴트 - 각종 기업체 특강 / SNS 마케..

중앙선거관리위원회 행사를 다녀와서 (FAIR VOTE 0424)

지난 2013년 4월 3일 저녁에 중앙 선거관리위원회에서 주최한 "SNS 오피니언 리더와 함께하는 공감 & 공유" 행사에 정말 영광스럽게 초대되어 참가했습니다. 이제는 화석이 되어버린 저를 "SNS 오피니언 리더"라고 부르..

이 사진 어느 영화의 사진인가요? - 사진으로 검색하는 구글 [이미지로 검색] 아세요?

가끔씩 이런 질문을 받습니다. "이 사진 어느 영화에 나온 사진인 줄 알아요?" 자, 여러분은 어떻게 답을 하시겠어요? 참고로 저는 그냥 영화는 잘 모르고, 인도 영화는 꽤 압니다만.. 그래도 제가 수만명의 인도 영화배우를 ..

취업, 채용, 경력관리, 사업용 SNS - 링크드인(LinkedIn).. 사용자 2억명 돌파!

링크드인 부사장 Deep Nishar씨 (http://www.linkedin.com/in/deepnishar)에 따르면, 링크드인 사용자가 드디어 2억 명을 넘어섰다고 합니다. (작년 3월에 1억명 돌파... 대단히 빠른 속도..

링크드인(LinkedIn) 사용했더니 구글 취업 문이 활짝!

(이 글의 내용은 "링크드인으로 취업하고 채용하자-구인,구직, 경력관리까지"에 실린 글을 약간 편집한 것입니다) "링크드인으로 취업하고 채용하자" 구입하러 가기 http://www.yes24.com/24/Goods/82068..

LinkedIn 링크드인으로 취업하고 채용하자 - 출간의 말

링크드인으로 취업하고 채용하자 - 구인, 구직, 경력 관리까지 정광현 지음. 성안당. 2012 링크드인(LinkedIn)으로 취업하고 채용하자 저자 정광현 지음 출판사 성안당 | 2012-12-19 출간 카테고리 경제/경영 ..

자료로 살펴본 이자스민 "인종차별" 보도 - KBS,MBC 조작 보도 처벌하라

먼저, 이 글을 읽기 전에 아래의 두 글을 읽고 오시기 바란다. 2012/04/17 - 이자스민 인종차별 글의 실체는? MBC뉴스를 고발한다. 2012/04/17 - 이자스민 인종차별 글의 실체는? - KBS뉴스를 고발한다 그..

이자스민 인종차별 글의 실체는? - KBS뉴스를 고발한다

2012/04/17 - 이자스민 인종차별 글의 실체는? MBC뉴스를 고발한다. 는 읽으셨나요? KBS와 MBC 모두 똑같습니다. 이 글은 머니투데이 2012년 4월 17일자에 두 개의 기사로 실렸습니다. 이자스민 비난 트윗은 ..

이자스민 인종차별 글의 실체는? MBC뉴스를 고발한다.

이자스민 인종차별 글의 실체는? - KBS뉴스를 고발한다 도 읽어주세요. MBC뿐 아니라 KBS도 점령당했습니다. 이 글은 머니투데이 2012년 4월 17일자에 두 개의 기사로 실렸습니다. 이자스민 비난 트윗은 어디에? 트위터..

나경원 후보 "자화자찬" 트위터 사건에 대해.. [한글로의 꼼꼼한 분석]

들어가기 전에... 나경원 ‘자화자찬’ 트위터, 누가 썼을까… [한겨레] 2011.10.17 http://www.hani.co.kr/arti/politics/politics_general/500955.html 좀 우스운 일이 ..