| NH농협카드·KB국민카드·롯데카드 아직 정신 못 차렸나? | 2014.01.19 | ||
개인정보 유출여부 조회하려다 정보유출 더 심해질 수도
최대 규모의 개인정보가 유출된 KB국민카드, NH농협카드, 롯데카드가 18일 각 사 홈페이지에서 개인정보 유출 확인 조회 서비스를 일제히 개시했다. \r\n\r\n 허술한 조회 절차로 2차 피해 우려 \r\n국민카드는 18일 오전까지 카드 사용자의 생년월일과 주민등록번호 마지막 한자리만 알면 유출 여부를 확인할 수 있도록 했다. 이 때문에 당사자가 아닌 제3자가 다른 누군가의 개인정보 유출 여부는 물론 어떤 정보가 유출됐는지 파악하는 것이 가능했다. \r\n특히 이름과 생년월일이 널리 알려진 정치인이나 연예인 등 유명 인사의 경우 제3자가 마음만 먹으면 그들의 개인정보 유출 여부 및 유출된 정보의 유형에 대해 손쉽게 알아낼 수 있었다. 심지어 국민카드 측은 입력 오류 횟수 제한조차 지정하지 않았다. \r\n국민카드 측은 18일 오전 이 사실을 알고 공인인증서, 신용카드, 휴대전화 인증을 통해서만 개인정보 유출 여부를 확인할 수 있도록 보안을 강화했다. \r\n농협카드 역시 18일 오후 2시 이후까지 이름과 주민등록번호 일부, 카드번호 일부만으로 개인정보 유출 여부를 확인할 수 있도록 했지만 현재는 신용카드 인증·휴대폰 인증 등을 해야 유출 여부를 확인할 수 있는 상태다. \r\n그러나 유출 조회를 하는 과정에서 카드의 주요 정보 등을 모두 입력해야 하는 만큼 조회서비스의 보안이 제대로 되었는지와 관련해 의문이 제기됐다. \r\n보안전문가 박성진씨는 “NH농협카드의 경우 개인정보 유출조회 이용 시 입력한 개인정보와 금융정보가 모두 평문으로 전송된다”며, “사용자들 간에 같은 무선네트워크를 쓰는 상황에서 입력 문자(평문) 그대로 주요 개인정보가 전송될 경우 해커가 전송되는 모든 데이터를 볼 수 있어 위험하다”고 전했다. \r\n덧붙여 그는 “안전행정부 소프트웨어 보안취약점 진단가이드에 패스워드, 개인정보(주민등록번호, 여권번호 등), 금융정보(카드번호, 계좌번호 등) 등을 저장할 때에는 반드시 암호화해 저장해야 하고 통신채널을 통해 전송할 때에도 암호화해야 한다고 명시돼 있다”며 “중요 정보에 대해서는 반드시 보안정책에 따른 암호화를 적용해야 한다”고 밝혔다. \r\n또한 그는 “KB국민카드의 경우 개인정보 유출 조회 시 입력 내용을 암호화해 조회하고 있었고, 롯데카드의 경우 암호화 통신은 하지 않고 있지만 입력정보가 그대로 전송되지는 않았다”고 밝혔다. \r\n[김지언 기자(boan4@boannews.com)] \r\n<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
