정보통신망법 제28조 기술적·관리적 조치 위반...과태료 부과 가능 

[보안뉴스 김지언] 파일 공유 사이트 11곳을 비롯해 유명 블로그 서비스인 티스토리닷컴(http://www.tistory.com/)에서 로그인 시 아이디와 비밀번호를 암호화하지 않은 채 평문으로 전송하여 문제가 되고 있다.

▲티스토리에서 로그인 시 아이디, 패스워드, 보안문자가 모두 평문으로 전송되는 것을 확인할 수 있다.

이와 관련 해당 취약점을 발견하고 본지에 제보한 호원대학교 사이버수사경찰학부 박석은 씨는 “티스토리닷컴 메인 페이지에서 로그인을 시도할 때는 로그인하는 사용자의 아이디와 패스워드 정보가 노출되지 않지만 다른 사람의 블로그를 통해 로그인 시도를 할 경우에는 이러한 정보가 모두 암호화 되지 않은 채 평문으로 서버로 전달되는 것을 확인할 수 있었다”고 밝혔다.

그는 이어 “만약 해당 취약점이 패치되지 않은 상황에서 사내망이나 PC방처럼 같은 네트워크를 사용하는 곳이면 전문 해커가 아닌 일반인도 쉽게 중요 정보를 확인할 수 있으므로 이러한 정보를 암호화해 서버로 전송될 수 있도록 조속히 조치할 필요가 있다”고 밝혔다.

이 외에도 박석은 씨는 “파일공유 사이트에서 같은 취약점이 빈번히 발생하고 있다”고 전했다.

중요 정보를 암호화 하지 않은 채 평문으로 서버에 전송하는 파일 공유사이트는 △http://***disk.com △http://***kdisk.com △http://www.***ngfile.net △http://www.***edok.com △http://***ehon.com △http://www.**disk.com △http://***file.co.kr △http://www.**file.net △http://www.***ecity.co.kr △http://***etv.co.kr △http://***ei.co.kr 등 총 11곳이다.

이와 관련 KISA 관계자는 “아이디와 비밀번호를 암호화 하지 않고 서버로 전송할 경우 정보통신망법 제28조(기술적·관리적 조치를 아니한 자)에 의해 법 위반”이라며, “정보통신망법 제76조 1항에 의해 3000만 원 이하의 과태료 등 행정처분을 받을 수 있다”고 밝혔다.

이에 해당 홈페이지 관리자들을 비롯한 홈피 관리자들은 이러한 취약점이 발견되는지 한번 더 확인해 신속히 조치해야 할 것으로 보인다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>