현재 위치

›› Forums ›› 이슈 ›› 토론, 토의

ID·비밀번호·주민번호까지…개인정보 600만개 유출

red10won의 이미지
글쓴이: red10won / 작성시간: 화, 2010/03/09 - 4:58오후

http://www.cbs.co.kr/nocut/show.asp?idx=1412678

볼때마다 대책이 과연없을까 하는 의문점만 생기네요.

왜 우리나라는 스타크래프트 베틀넷처럼 가입해서 쇼핑몰 물건 못사나요?
물건 살때마다 주소와 연락처는 DB에 기록하지 않고 일일이 입력하라고 하면 될것인데.

그리고 관리자도 웃긴데 주민번호나 패스워드는 왜 암호화 안하고 저장한데요?
암호화도 역함수 없는거 MD5이런거 쓰면 될껀데.

제도적으론 왜 주민번호를 받게하고 그 뒤에 대한 대책은 없죠?
DB에 저장도 꼭 단방향으로만 해싱된걸 저장하게하고,

https 쓰고 쓰잘때기 없는 엑티브 x좀 없세고,
모든 싸이트가 우분투에서 파이어폭스로 다 보이고 로그인도 되게
제도화 했으면 좋겠습니다.

웹표준이든 모든 OS에서 다 테스트 할거 없이 우분투에서 파이어폭스에서만 잘보이면
윈도우에서 무리없이 돌아갈거라고 생각듭니다.

Forums: 
토론, 토의
academic의 이미지

글쓴이: academic / 작성시간: 화, 2010/03/09 - 6:10오후

1.

주민번호와 패스워드는 암호화해서 저장하게끔 법이 바뀐 걸로 알고 있습니다.

암호화했다고 하더라도 주민번호는 형식이 정해져 있어서 비교적 쉽게 알아낼 수 있으므로

주민등록번호도 저장할 수 없도록 법이 개정되면 더 좋겠네요.

2.

저런 게 겁나 모든 사이트마다 패스워드를 달리 하고 있습니다.

그러다보니 패스워드를 다 기억하지 못해 특정 파일에 적어놓고 있죠.

그 특정 파일(물론 암호화했습니다)이 유출될 가능성이

제가 가입한 사이트에서 개인 정보 유출될 가능성보다 적으리라 생각하면서요.

--
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

----
academic은 제 고등학교 때 동아리 이름입니다.
academic, 아주 가끔은 저도 이랬으면 좋겠습니다.

speed-racer의 이미지

글쓴이: speed-racer / 작성시간: 화, 2010/03/09 - 8:48오후

사이트이름으로부터 패스워드를 생성하는 간단한 함수를 하나 만들어서 머리속으로 계산하는 것도 하나의 방법이죠.

javaxer의 이미지

글쓴이: javaxer / 작성시간: 화, 2010/03/09 - 6:04오후

공무원들은 그게 뭔지 모를테니까요...

달리 공무원일까.

@의 뜻으로 모일 날이 올까?
->아니, 흩어지는게 @이야.

@의 뜻으로 모일 날이 올까?
->아니, 흩어지는게 @이야.

freestyle의 이미지

글쓴이: freestyle / 작성시간: 화, 2010/03/09 - 6:07오후

유교 사상 속에 비교적 문서화를 잘한 조선시대 때의 습관과 통치를 위해 하나하나 장부에 적혀 관리되던 일제강점기 때의 사고방식이 아직도 남아 있는 것이지요.

관리의 편의성을 위해서, 또 개인 인증을 통한 범법자(언론악법 포함)를 잡기 위해
모두를 잠재적 범죄자로 치부하고, 개개인의 프라이버시 존중은 그 후순위로 삼아 일단 개인정보란 정보는 다 때려 넣고 보는 것입니다.

정부는 개인 정보 남기라고 하고, 기업은 편의를 위해 일단 쌓아두고 비용도 절약할 겸 관리를 소홀히 하다보니 계속해서 이런 일이 발생하는 것이지요.

전송이나 보관의 암호화에 대해서 논의하기 전에 붉은10원님 말씀처럼 과연 이렇게 쌓아두는 게 올바른가에 대한 논의를 해야 할 것 같습니다.

'미녀들의 수다'란 프로그램에서 서구권 출신의 처자가 한 말이 기억에 남습니다.
"만약 우리나라에서 그런 걸 만드려고 하면 안 돼요. 끝장이에요."

----------------------
Go to the U-City

----------------------------------------------------------------------------------------
Don't Feed the Trolls!
----------------------------------------------------------------------------------------

lacovnk의 이미지

글쓴이: lacovnk / 작성시간: 화, 2010/03/09 - 8:35오후

md5가 유출되도 큰일인데... http://kldp.org/node/109911

speed-racer의 이미지

글쓴이: speed-racer / 작성시간: 화, 2010/03/09 - 9:03오후

아라에서도 주민등록번호얘기가 최근 나왔었는데요 법으로 강제하기 때문이기도 하고, 악플러(빨갱이 2.0)을 단속하며 중복가입을 막아야 한다는 생각에 기초한 것 같습니다. 과거에는 빨갱이 타령으로 입단속했듯, 요즘은 악플러, 명예훼손, "정치적 중립성"이라는 명목으로 입단속합니다. 신상정보를 저장하도록 강제하는 제도를 철폐하지 않고 주민등록번호 대신 다른 번호로 대체하거나 반드시 암호화해서 저장하도록 하겠다는 최근의 흐름은 중복가입방지와 입단속을 포기하지 않으려는 정부의 의지를 보여줍니다.

아라에 올렸던 답글을 올려봅니다.

Quote:

중복가입은 특수한 경우를 제외하고는 허용을 해주는 게 좋습니다. 중복가입을 금지하는 X게시판에서 익명으로 활동하는 다수의 유저 중 한 사람인 김철수(아이디: keke)는 어느날 아침 심심해서 X게시판에 접속합니다. 들어가보니 중력을 열역학적 개념으로 설명한다는 논문에 대한 얘기로 게시판이 떠들썩합니다. 김씨는 그 분야에서 한 번 논문을 낸 적이 있는 포닥으로서 "나는 사실 저 사람의 논문이 무슨 얘긴지 안다. 나도 그걸 연구한다. 그의 연구결과는 비유로 설명하자면 ......... 내가 연구했던 ABC결과에서 더 나아가서 XYZ..." 이런 내용의 댓글을 올려야겠다고 생각하다가 머뭇거립니다.

왜냐면 그런 댓글을 올리는 순간 그의 계정은 익명에서 실명으로 변신하기 때문입니다. 이 계정이 언젠가 실명이 될 거라고 생각하면서 자기검열 충실히 하면서 지금까지 글을 써왔을 리가 없지요. 중복가입을 신경쓰지 않는 게시판이었다면 신상공개를 어느정도 하게 되는 내용의 글을 올리는 계정(아이디: physicistKim)을 따로 만들어서 그 계정에서 해당 댓글을 쓰면 됩니다.

그렇다면 중복가입을 방치하면서도 스패머를 막는 기술적인 문제에 대해서는, Gmail의 스팸 식별 감지 기능처럼 자동으로 감지해서 해당 사용자(스패머로 걸렸거나 아님 오인이거나)가 다음 글을 올릴 때 몇 시간을 더 기다리도록 제한하거나 한시적으로 Captcha Test를 통과한 후에만 글을 등록할 수 있게 하는 시스템이면 충분합니다.

ID가 많아지면 오랫동안 사용이 안된 계정을 정기적으로 처리하면 됩니다. "답신 없음 계정 삭제한다"는 메일을 한 달 전에 미리 보내면 괜찮을 겁니다. (근데 유럽 직장에서는 노동자를 해고할 때 한 달 전에 미리 알려준다고 하더군요. 그 사이에 일 정리하고 다른 직장 알아볼 시간을 가지라는 의미. 우리나라는?)

외국에서는 중복가입을 별로 신경안쓰고 사실 Wordpress는 중복가입을 추천하기까지합니다:
http://en.forums.wordpress.com/topic/different-author-poster-names-for-different-blogs

둘러보기