현재 위치

›› Forums ›› 재미 ›› 자유 게시판

조선일보가 가입자 이메일을 몰래 열어볼 수도 있습니다

cleansugar의 이미지
글쓴이: cleansugar / 작성시간: 금, 2010/07/09 - 3:22오전

조선일보는 고객 비밀번호를 암호화하지 않고 있는 것 같습니다.

2010년 7월 9일 3시경 현재 암호찾기 기능으로 암호를 찾으면 원문이 그대로 나타납니다.

조선일보에 가입하면 아이디, 아이피, 암호, 주소, 실명, 주민번호 등 모든 걸 갖다 바치게 되는 셈입니다.

이메일이나 쇼핑 사이트에 같은 아이디와 암호를 쓴다면 조선일보도 그걸 볼 수 있다는 말입니다.

당신의 개인정보가 좆선일보의 재산이 되는 것이지요.

법적으로 해시함수를 붙이게 되어있는 걸로 알고 있는데 그렇다면 위법 언론사인가요?

역시 조선일보는 이기적이고 나쁜 길이 있다면 기꺼이 그쪽으로 갑니다.

다른 언론사도 그런 경우 있다면 사례를 모아봅시다.

예전에는 엘지텔레콤이 주민번호만 알면 암호를 알려주게 된 적도 있었습니다.

Affero GPL류의 라이센스가 사이트에도 적용되어서 소스를 공개해야 자신의 비번이 진정 안전한 알고리듬으로 암호화되어 안전한지 알 수 있습니다.

같은날 4시 30경 현재, 문화일보도 조선일보처럼 원문을 그대로 보관하는 것으로 보입니다.

최소한 앞의 5자리는 그대로 보관하고 있습니다.

한국일보와 경향신문도 원문을 그대로 보관하고 있습니다.

동아, 중앙, 한겨레, KBS, MBC는 바뀐 암호를 입력하게 되어 있습니다만 원문이 저장되지 않는다는 보장은 없습니다.

한국경제, 서울신문, 세계일보, 와이티엔, SBS는 여러분이 해주셨으면 합니다.

SBS는 암호분실 접속하면 잘못된 접속이라고 에러가 납니다.

Forums: 
자유 게시판
cjh의 이미지

글쓴이: cjh / 작성시간: 금, 2010/07/09 - 8:24오전

> 2010년 7월 9일 3시경 현재 암호찾기 기능으로 암호를 찾으면 원문이 그대로 나타납니다.

물론 고객DB에 암호는 암호화 또는 해시로 저장해야 겠지만 가입시 HTML 폼에 입력하는 정보는 평문으로
서버에 전달되기 때문에 가입시에 별도로 저장해 두고자 마음먹으면 얼마든지 빼돌릴 수 있습니다.

그러니 그런 걱정이 있으면 아예 가입을 하지 마셔야죠. 아님 매 사이트마다 암호를 달리 쓰거나...

--
익스펙토 페트로눔

--
익스펙토 페트로눔

warpdory의 이미지

글쓴이: warpdory / 작성시간: 금, 2010/07/09 - 8:47오전

cjh 님께서 말씀하신대로, 각 싸이트마다 암호를 다르게 하는 게 ... 속 편하더군요.

저는 싸이트 이름에다가 저만 아는 규칙을 부여해서, 그 싸이트 이름이 비밀번호가 됩니다.
자연스럽게 비밀번호는 저말고는 아무도 모르는 것이 되고, 또한 유출되어도 다른 곳에서는 쓸 수가 없고(저 규칙을 알리는 없으니..), 또 비밀번호를 까먹지도 않습니다. 기억나지 않으면 싸이트 주소만 보면 되거든요.

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.net
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

lordmiss의 이미지

글쓴이: lordmiss / 작성시간: 월, 2010/07/12 - 10:09오전

오래 전에 warpdory님의 이 내용을 다른 곳에서 보고, 저도 그런 방식으로 비밀번호를 사용하고 있습니다.

그런데, 그 규칙이라는게 한 두세개의 패턴만 보면 잘 알 수 있는 그런 방식이 될 수 밖에 없지 않나요? 싸이트 주소를 보고 만드는 규칙이 있는건 참 좋은데, 그 규칙이 아무래도 쉬운 녀석이다보니, 이런 종류의 불안감도 생기더라구요.


http://lordmiss.com
MCP, NUS, Singapore

warpdory의 이미지

글쓴이: warpdory / 작성시간: 월, 2010/07/12 - 10:31오전

규칙을 좀 복잡하게 하면 될 것 같습니다.
kldp.org 라는 8자 짜리 주소라고 해서 비밀번호가 8 자는 아니거든요 ^^;

---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.
http://akpil.net
http://akpil.egloos.com


---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도

즐겁게 놀아보자.

emptynote의 이미지

글쓴이: emptynote / 작성시간: 금, 2010/07/09 - 8:50오전

울나라 금융권 제외하면 거의 보안 없는데요.

조선일보 싫어하시는듯하는데요. 그래도 사실을 왜곡하시면 안되죠.

snowall의 이미지

글쓴이: snowall / 작성시간: 금, 2010/07/09 - 9:09오전

좀 더 정확히 표현하면, 거의 모든 웹 사이트의 관리자는 가입자 이메일을 원하는 대로 몰래 열어볼 수도 있습니다.

이메일 비밀번호가 웹 사이트 비밀번호와 동일하거나 충분히 유사하다면 말이죠.

--------------------------
피할 수 있을때 즐겨라!
http://snowall.tistory.com

피할 수 있을때 즐겨라! http://melotopia.net/b

MasterQ의 이미지

글쓴이: MasterQ / 작성시간: 토, 2010/07/10 - 7:54오전

사실인가요?

비밀번호 찾기 한 결과 새로 작성하거나 임시비밀번호를 보내주는군요. 원문이 사실이라면 단 하루만에 비번 찾기 기능을 엎어친거네요.

cleansugar의 이미지

글쓴이: cleansugar / 작성시간: 토, 2010/07/10 - 3:56오후

7월 10일 15시경 확인해본 결과 숫자로 된 임시번호를 이메일로 보내주는군요.

하루만에 디비 구조가 암호화된 걸로 바뀌었을까요?

조선일보의 본인 확인 질문은 다음과 같습니다.

비밀번호 힌트:

나의 인상깊었던 여행지는

나의 보물 1호는

아버지 성함은

어머니 성함은

어릴적 별명은

나의 애완동물 이름은

좋아하는 동물은

좋아하는 색깔은

태어난 곳은

직접 입력

뭔가 느낌이 오지 않습니까?

그런데 비밀번호 힌트 기능은 자기 정보 수정 란에는 있는데 실제 사용은 안되는 걸로 바뀐 것 같습니다.

___________________

http://blog.aaidee.com

재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.

아이디의 아이디어 무한도전
http://blog.aaidee.com

귀태닷컴
http://www.gwitae.com

emptynote의 이미지

글쓴이: emptynote / 작성시간: 토, 2010/07/10 - 4:32오후

대부분 사이트 비밀번호 관리는 MD5등 역방향 추적 불가능한 해쉬함수한테

사용자가 입력한 비밀번호를 입력값으로한 해쉬값을 최종 DB에 넣습니다.

때문에 관리자가 DB에 있는 비밀번호 읽어봐야 사용자가 입력한 비밀번호의 해쉬값인데

역추적이 어렵다는 점때문에 일반적으로 어떤 비밀번호인지 알수가 없습니다.

로그인시 입력한 비밀번호는 MD5등으로 변환된 해쉬값 데이타와 DB에 저장된 해쉬값 데이타를 비교하므로써 이루어 집니다.

그래서 흔히 말하는 이 "비밀번호 찾기"는 새로운 비밀번호 예를 들면 숫자나 알파뱃 랜덤 생성후

그거로 패스워드를 삼아 이메일 전송해주고 최종 DB에는 MD5등으 이용한값으로 저장합니다.

보안 자체가 허술한 사이트에서 갑자기 암호화로 바꾸었네 의심하실 하등의 이유 없습니다.

비밀번호 찾기에서는 보안 이슈가 될만한 것이 몇가지 있습니다.

(1) 개인 PC가 안전하여 form submit하기전에 아이디와 비밀번호 가로채기가 가능한가?
(2) form submit시 비밀번호는 MD5로 미리 변환되는가?
서버 로그에서 비밀번호 찍어도 알수없어야 합니다.
(3) form 내용 전체가 암호화 되는가?
네트워크 구간에서 가로채도 알 수 없어야 합니다.
(4) 비밀번호가 담긴 이메일도 비밀번호를 지켜줄 적절할 보안 대책이 있는가?

이쯤에서 그러면 다른 사이트 왜 이리 허술하게 비밀번호 관리하냐고 하신다면,
보안에는 비용이 들며 사용자 편의성이 떨어지는 문제가 있다고 말씀드리고 싶네요.
만찬가지로 자신이 사장님 혹은 회장님 되어서 회사 웹사이트 운영한다고 쳐도,
다소 보안이 희생되어도 비용및 사용자 편의성때문에 허접하다는 사이트처럼 운영하실 가능성이 높다고 생각합니다.
나는 안 그래야지 하기가 참 어렵습니다.
보안 담당자는 마치 경계병 같습니다. 크래커는 저격수 같구요.
경계병도 사람인지라 약간 군기 빠질때도 있는데, 저격수(?)들은 그거 안 놓치거든요.

결론적으로 보안 신경안쓰는 사이트에서
비밀번호 알아내서 악용하네 마네 의심하지 마시구요.
가입하신곳의 관리자가 악용할수도 있지만 그 악덕 관리자 말고도 악용할 놈들은 널려있으니 스스로 지키시기 바랍니다.

참고 : http://kldp.org/node/116117

개인후기) MD5로 패스워드 저장할려고 프로그램 다 짰는데.. 어캐깨는지 잘 이해가 안가지만
간단히 깨지는것 같아서 한숨만 나와요....ㅠ.ㅠ

cleansugar의 이미지

글쓴이: cleansugar / 작성시간: 토, 2010/07/10 - 5:07오후

논조가 참 교묘하게 이상하군요.

지금 보안 헛점을 지적했는데 선량한 관리자들이니 스스로나 지키라니요.

그리고 저는 구조적으로 악행을 할 수도 있다고 했지 한다고는 안했습니다.

k9200544은 지금 비밀번호를 암호화하지 않아도 좋다는 생각이신가요?

저 선량하니까 cleansugar@hotmail.com으로 k9200544님 아이디, 비번, 주민번호 보내주세요.

___________________

http://blog.aaidee.com

재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.

아이디의 아이디어 무한도전
http://blog.aaidee.com

귀태닷컴
http://www.gwitae.com

emptynote의 이미지

글쓴이: emptynote / 작성시간: 토, 2010/07/10 - 5:25오후

그들이 선량하다는것이 아니구요.

암호화 적용할려면 비용이 드는데 순수한 맘으로 해줄리 없구,

아마도 법제화가 되어야 움직일듯합니다.

하지만 정말로 나라에서 법을 정해져서 나라에서 지정하는 보안 점검팀이 해당 웹사이트 보안 점검하기를 원하시는지요?

보안 헛점이 있고 그것을 지적하시는거 잘 알겠지만요.

그 보안 헛점을 막기위해서 하나의 정책을 제안할때 과연 그 정책이 수행될때

정말로 법안을 만들때의 순수한 의도록 움직여 줄까 고민이 필요할듯합니다.

어째든 보안 헛점을 지적하여 수정해 주는곳이 있으면 좋지요. 건투를 빌겠습니다.

cleansugar의 이미지

글쓴이: cleansugar / 작성시간: 토, 2010/07/10 - 5:59오후

이미 법률로 강제된 사항입니다.

개인정보의 기술적,관리적 보호조치 기준(090807 개정)
http://www.eprivacy.or.kr/bbs/bbsView.php?id=58&page=1&code=pds_guide

개인정보보호조치 의무불이행, 정보유출업체 최초 입건
http://www.boannews.com/media/view.asp?idx=19916&kind=1#

___________________

http://blog.aaidee.com

재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.

아이디의 아이디어 무한도전
http://blog.aaidee.com

귀태닷컴
http://www.gwitae.com

snowall의 이미지

글쓴이: snowall / 작성시간: 일, 2010/07/11 - 8:09오전

그런데 이 경우는 유출 사고가 있어야 보안 담당자가 처벌 받는 형태 아닌가요?

개인정보보호조치를 취하지 않았더라도 사고가 일어나지 않는다면 처벌이 없는 것 같은데요...

그리고 우리나라는 위에서 보안에 비용투자를 안했다가 사고가 터지면 보안 담당자만 당하는 시스템인것 같기도 해서 위의 법적 기준들이 큰 의미가 없다는 생각도 듭니다.

--------------------------
피할 수 있을때 즐겨라!
http://snowall.tistory.com

피할 수 있을때 즐겨라! http://melotopia.net/b

cleansugar의 이미지

글쓴이: cleansugar / 작성시간: 토, 2010/07/10 - 5:39오후

7월 10일 16시경 확인 결과, 문화일보, 한국일보, 경향신문은 그대로입니다.

16시 30분경 확인 결과, 서울신문, 한국경제, YTN, SBS, CBS는 변경된 비번을 알려줍니다.

단, CBS는 가입시 입력된 암호를 에코해주고 이메일로 첫 2자리와 전체 자릿수를 별표로 알려줍니다.

세계일보는 최악입니다. 이메일을 아무거나 입력하면 그 이메일로 원문을 전송해줍니다.

누구나 대상의 아이디와 이름, 주민번호만 알면 비밀번호를 알아낼 수 있습니다.

___________________

http://blog.aaidee.com

재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.

아이디의 아이디어 무한도전
http://blog.aaidee.com

귀태닷컴
http://www.gwitae.com

syuae의 이미지

글쓴이: syuae / 작성시간: 일, 2010/07/11 - 3:04오후

당연히 보안적용 해야 합니다. 영리적 목적의 사이트는 개인정보를 외부로 전송할 때 (클라이언트와의 통신도 포함) 암호화하도록 규정하고 있습니다. 저장할 때도 암호화가 필요하고요. 유권해석에 따르면 'ID와 비밀번호' 달랑 두개만 입력받아도 개인정보입니다. 당연히 회원가입 폼에서도 암호화 해야 합니다.

쇼핑몰 해보시면 알겠지만, SSL 안해두면 KISA에서 메일 날아옵니다. 안하면 벌금맞는다고.. -_-

둘러보기