인터넷 뉴스·파일공유 사이트 대부분 로그인 보안 무방비  

정보통신망법 위반으로 최대 3000만원까지 과태료 부과 가능  

[보안뉴스 민세아] 최근 개인정보 유출사고가 증가하고 있으나 아직까지 파일 공유 사이트를 비롯한 많은 웹사이트에서 로그인 시 중요 정보가 암호화되지 않은 상태로 전송되는 문제점이 제기되고 있다.

제보 받은 취약점을 본지에서 확인한 결과 인터넷 뉴스 사이트 7곳을 비롯해 파일공유 사이트 4곳, 유명 피겨스케이터 팬사이트, S통신사의 모바일 TV채널 신청 사이트 등 총 19개의 웹사이트가 취약한 것으로 드러났다.

이와 관련하여 파일공유 사이트 취약점을 발견한 이재승 군과 인터넷 뉴스 및 구인구직 사이트 등의 취약점을 발견한 박석은 씨는 “최근 이슈화 되고 있는 개인정보 유출사건 기사를 읽던 중 각종 기관사이트나 웹사이트에서 중요 정보를 암호화하지 않은 채 서버로 전송하는 사례가 많다는 사실을 알게 됐다”고 말했다.  

특히, 박석은 씨는 “구인구직 사이트 구인구직닷컴(http://www.onjob.co.kr/)의 로그인 과정을 캡쳐해 본 결과 아이디와 패스워드가 암호화되지 않은 채 서버로 전달되는 것을 확인할 수 있었다”고 밝혔다.

이어 그는 “해당 취약점이 패치되지 않은 상황에서 같은 네트워크를 사용하는 다른 사용자가 로그인 과정을 스니핑할 경우, 로그인하는 사용자 계정을 탈취해 2차 피해가 발생할 수 있다”며, “로그인 정보를 암호화하여 서버로 전송할 수 있도록 신속한 조치가 필요하다”고 전했다.

▲구인구직닷컴(http://www.onjob.co.kr/)에서 로그인 시 아이디와 패스워드 평문 전송

이와 관련 박석은 씨는 “구인구직닷컴 사이트는 ‘보안접속’ 체크를 통해 안전하게 로그인 할 수 있는 것처럼 사용자들을 안심시키고 있지만 체크를 하나마나 똑같은 평문 전송”이라고 밝혔다.

보안접속은 로그인 시 아이디와 패스워드를 암호화시켜 전송하는 방법으로, 일반접속보다 비교적 안전하게 로그인 할 수 있다. 하지만 해당 웹사이트의 보안접속은 제대로 이루어지지 않고 있다. 이는 눈 가리고 아웅하는 격으로 사용자들을 기만하는 행위나 다름없다.

▲구인구직닷컴(http://www.onjob.co.kr/)에서 실명확인 시 주민등록번호 평문 전송

또한, 본지 확인 결과 구인구직 사이트에서 회원가입을 할 때 실명확인 과정을 거치는데 이때 이용되는 주민등록번호도 암호화되지 않은 채 전송되고 있었다. 취업시즌을 맞아 사용자들이 많이 찾게 되는 구인구직 사이트의 경우 중요 정보 노출 피해는 더욱 심각할 것으로 추정된다.

이와 유사하게 중요 정보를 암호화하지 않은 상태로 서버에 전송하는 웹사이트는 △http://www.sk***.co.kr/btvmobile △www.gamem***.com △www.yuna***.com △soo***.com △www.slrc***.com △www.yres***.co.kr △www.dong***fnb.com △www.***nueq.co.kr가 있다. 이와 함께 인터넷 뉴스 사이트로 △www.***sq.kr △www.daejeonn***.kr △www.mediawa***.kr △www.spor***.co.kr △http://www.ccnn***.co.kr △www.c***s041.com △ystar.cu-me***.co.kr가 있다.  마지막으로 파일공유 사이트는 △www.***na.com △www.***ecity.co.kr △www.sh***box.co.kr △www.***disk.com 등 총 19곳이다.

이처럼 아이디와 비밀번호 같은 중요 정보를 암호화하지 않고 서버로 전송할 경우  ‘정보통신망법 제28조(기술적·관리적 조치를 아니한 자)’에 의거 법률을 위반한 것이라 할 수 있다. 이에 ‘정보통신망법 제76조 1항’에 의거해 최대 3000만원의 과태료 등 행정처분을 받을 수 있다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>