로그인 에러창 메시지, 해커에게 계정관련 정보 줄 수 있어

[보안뉴스 김지언] 포털, SNS, 언론사, 학교 사이트 등 많은 웹사이트에서 로그인 정보를 암호화하지 않고 전송해 문제가 지적된 바 있다. 이처럼 국내 웹사이트의 로그인 보안과 관련해 또 다른 관점의 문제가 제기됐다.

아이디와 비밀번호를 잘못 입력할 때 나오는 에러창 문구에 관해서다. 대부분의 홈페이지에서는 로그인을 할 때 정보를 잘못 입력하면 ‘아이디 혹은 패스워드가 잘못 입력 되었습니다’라는 메시지창이 뜬다.

그러나 우리는 가입되지 않은 아이디를 입력했을 때는 ‘해당되는 아이디가 없습니다’, 아이디는 있으나 비밀번호를 잘못 입력된 경우에는 ‘패스워드가 잘못 입력됐습니다’라는 형식으로 에러 메시지를 출력하는 홈페이지를 종종 볼 수 있다. 이처럼 아이디가 존재하지 않을 때는 아이디가 없다, 비밀번호만 틀렸을 때는 비밀번호가 잘못 입력됐다라고 출력하는 에러창이 왜 보안을 취약하게 만들까.

예를 들어 ID와 비밀번호 모두 4자리 숫자로 입력해야 하는 홈페이지가 있다고 가정해보자. 먼저 아이디가 존재하는 지 여부를 확인할 수 있는 홈페지의 경우 계정정보를 찾을 때, 최악의 경우 20,000번의 시도를 해야 로그인에 성공할 수 있다.

 

그러나 아이디가 존재하는지, 비밀번호가 맞는지 모두를 알 수 없을 때에는 최악의 경우 100,000,000번을 시도해야 성공할 수 있다. 4자리 숫자로만 예를 들었지만 문자와 특수문자까지 추가된다면 최악의 경우 아이디와 비밀번호를 찾는데 시도해야 하는 횟수 차는 더욱 늘어나게 된다. 

이와 관련 사이버보안전문단원으로 활동하는 익명의 보안전문가는 “로그인 시도 시 ID와 비밀번호 중 어떤 정보가 잘못된 것인지 알려주는 에러창은 해커에게 중요한 정보를 제공하므로 보안을 약하게 만든다”며, “로그인 에러창을 띄울 때는 ‘ID 또는 비밀번호가 틀렸습니다’ 등과 같이 아이디와 비밀번호 중 어떤 정보가 잘못된 것인지 알 수 없도록 메시지를 출력해야 사용자들의 계정을 좀 더 안전하게 보호할 수 있다”고 경고했다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>