인강사이트, 유머사이트 로그인 보안 문제 속속 드러나

[보안뉴스 김지언] 많은 인터넷 사용자들이 방문하는 대표적인 국내 인터넷 강의 사이트와 유머사이트에서 로그인 정보를 암호화하지 않고 서버에 전송해 문제가 되고 있다.

▲로그인 보안 문제가 제기된 이투스 홈페이지(좌), 오늘의 유머 홈페이지(우)

이번 취약점을 발견하고 보안뉴스에 제보한 용인백현고 인정환 군은 “학생들이 주로 이용하는 인터넷 강의 사이트 이투스(www.etoos.co.kr)와 많은 네티즌들이 이용하는 인터넷 커뮤니티 사이트 오늘의 유머(www.todayhumor.co.kr)에서 아이디, 비밀번호 등 로그인 정보를 암호화 하지 않고 서버에 전송해 제보하게 됐다”며, “두 사이트 모두 이용자 수가 어마어마함에도 불구하고 이와 같은 취약점이 발견돼 안타깝다”고 전했다.

이어 인 군은 “이러한 취약점이 발견된 홈페이지에서 로그인 시 같은 네트워크를 사용하는 사용자가 이를 지켜보고 있다면 쉽게 중요 정보를 탈취할 수 있으므로 해당 사이트에서는 로그인 시 아이디와 비밀번호를 암호화해 서버로 전송하는 등의 조치가 필요하다”며 “많은 사용자들이 대부분의 사이트에서 같은 아이디와 비밀번호를 사용하고 있기 때문에 이러한 취약점으로 아이디와 비밀번호를 갈취당한다면 추가피해로 이어질 가능성도 매우 높다”고 밝혔다.

덧붙여 인 군은 “각 사이트 별로 비밀번호를 달리하고 주기적으로 비밀번호를 변경하는 등 사용자 입장에서의 예방대책도 필요하다”고 당부했다.

인 군이 발견한 취약점과 관련해 KISA 관계자는 “아이디와 비밀번호를 암호화 하지 않고 서버로 전송할 경우 정보통신망법 제28조(기술적·관리적 조치를 아니한 자)에 의해 법 위반”이라며, “정보통신망법 제76조 1항에 의해 3000만 원 이하의 과태료 등 행정처분을 받을 수 있다”고 밝혔다.

이에 해당 홈페이지 관리자들을 비롯한 다른 사이트 관리자들 역시도 로그인 보안에 더욱 신경써야 한다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>