OJJ's TALKs

'비밀번호'에 해당되는 글 1건

  1. 개인정보 보호에 소홀한 제주항공 (1)

개인정보 보호에 소홀한 제주항공

IT Talks

최근에 유명 인터넷 사이트들의 개인정보 유출 사건으로 시끄럽다.
한 두 사이트에서 끝나지 않고 계속해서 유사 사건이 발생하고 있다.


이런 분위기 때문에 개인정보 보호에 대한 관심이 높아지고 있는 가운데 내가 자주 사용하던 사이트도 개인정보 보호에 신경쓰지 않는 사이트가 있어서 한마디 하려고 한다.

제주 항공 (http://www.jejuair.net) 사이트에 보면 어느 사이트에나 있는 아이디 찾기와 비밀번호 찾기 메뉴가 있다. 이중에서 비밀번호 찾기 메뉴에 아이디/이름/주민번호를 누르면
"고객님의 비밀번호가 이메일과 SMS로 발송되었습니다" 라는 문구가 출력된다.


그리고는 내가 가입했던 이메일로 아래와 같은 내용의 메일이 수신된다.


친절하게도 내 비밀번호를 그대로 메일과 문자로 보내준다.

뭔가 좀 이상하지 않은가 ?

아래 그림과 비교해 보자. 모 포털의 비밀번호 찾기 메뉴이다.


일반적으로 비밀번호를 분실했을 경우에는 본인 확인을 거친 후 재발급을 해주도록 되어 있다.
왜 ? 해당 사이트(관리자)도 사용자의 비밀번호를 모르기 때문이다. 
사이트에 회원가입을 하면서 입력한 암호는 누구도 알아볼 수 없도록 암호화 해서 저장해야 한다.
사이트 관리자/개발자라고 해도 비밀번호를 알아볼 수 있어서는 안된다.

그래야 해당 정보가 유출 되었다 하더라도 2차 피해를 막을 수 있다.
일반적으로 사람들은 같은 ID와 비밀번호를 사용해서 여러 사이트를 가입하기 때문에 한곳의 ID/비밀번호를 알게 되면 다른 사이트도 쉽게 들어갈 수 있다.

정보 유출이 되지 않게 하면 되지 않느냐고 말할 수도 있겠지만 보안에 완벽이란건 없다.
언제든 신기술이 나와서 뚫릴 수 있고, 내부 관리자에 의해 정보는 얼마든지 유출될 수 있다.
그렇기 때문에 정보를 암호화 해서 보관해야 한다.

일반적으로 비밀번호는 복호화(decryption)할 수 없도록 암호화(encryption) 해야 한다.
사용자가 로그인을 위해 비밀번호를 입력하는 경우에 그 값을 암호화 해서 기존에 암호화 해서 저장해둔 비밀번호와 비교를 하고 그 값이 일치 하면 로그인이 성공한 것으로 처리 한다.

물론 제주항공만 비밀번호를 암호화 하지 않고  운영중인 것은 아니다.
(다른 사이트 예 : http://ypshin.com/2690669)

예전에는 그렇게 사이트를 운영해도 문제가 없었겠지만 요즘은 다르다.

 

현행법(정보통신망법)에 따르면, 개인정보를 보유한 웹사이트들은 이용자의 비밀번호는 쉽게 추측되지 못하도록 숫자와 문자를 조합하여 8-10자리 이상을 지정해야 하고 설령 유출되더라도 알아볼 수 없도록 암호화해야한다. 그러나 이 같은 기본적인 규정도 준수하지 않은 곳이 대부분인 것으로 파악됐다. 설사 비밀번호가 암호화 되더라도 비밀번호 분실시 이를 찾기 위한 2차 ‘질문 답변 글’이 암호화되지 않고 평문으로 저장돼 사실상 비밀번호가 노출되는 결과를 야기했다.

개인정보가 유출되더라도 피해최소화를 위해 주민등록번호를 포함 모든 개인정보를 암호화하여 보관하도록 한 개정 방송통신위원회 고시(’10.1.28.시행, 개인정보의 기술적·관리적 보호조치 기준)의 내용을 업체들 대부분이 모르고 있고, 알더라도 정보처리시스템의 속도가 느려지고 비용이 많이 든다는 이유로 시행을 하지 않고 있는 것으로 조사됐다.

출처 : 보안뉴스 (http://www.boannews.com/media/view.asp?idx=20346&kind=1)


암호화 하지 않고 있는 것을 인지하자 마자 사이트에 있는 "당근과 채찍"이라는 메뉴를 통해 이 사실을 알리고 개선을 요구했지만 답이 없다.
그냥 씹힌걸까 ? 아니면 개선을 준비중인걸까 ?
나중에 개인정보 유출되고 나서 경찰서 들락날락 해봐야 정신을 차릴까 ?

소잃고 외양간 고치는 일이 더이상 생기지 않았으면 좋겠다.