홈페이지를 통해 1200만명 상당의 개인정보(주민번호, 결제계좌 포함)가 유출되었다고 합니다.
그렇다고는 합니다만, 이번 해킹에 대해 상당히 이해 안갑니다. 9자리 사용자번호만 무작위 입력하면 개인정보를 보여주는 페이지가 있고 그 페이지를 이용해 개인정보를 빼왔다고 하는데, 이런 방법은 어이없을 정도로 간단한 방법이기 때문입니다.
해킹에 사용했다고 알려진 파로스 웹 프록시
- 그 페이지 개발할때 무작위로 입력해 우연히 맞춘 번호에 대해서는 개인정보를 보여줘도 되는줄 알았던 건지요. 게다가 사용자 번호는 이용요금 명세서에 인쇄되어있는 정보라고 하네요. 즉 어느정도 '공개된 정보'라는 겁니다.
파로스 웹 프록시는 웹 서비스로 전달되는 모든 데이터를 보고 조작할 수 있는 프로그램이다. 보안을 강화할 용도로 개발 되었다.
- 임의의 숫자로 조회했다면, 확률상 상당한 비율로 조회에 실패했을텐데, 9자리면 10^9 이고 천만이면 10^7이니 단순 계산으로 1000회중 한번꼴로 성공한 셈입니다. 정확한 계산인지는 모르겠습니다만 그건 제쳐두고요, 어쨌든 실패한 조회를 한 IP가 집중되어있었을텐데 이걸 눈치 못 챘다는게 이해 안가네요. 로그 확인 안하는 건가요. 개인정보를 조회한 경우 그 로그를 남기게 되어있는걸로 아는데요.
- 자세한견 상황을 지켜봐야겠습니다만, 좀 이해 안가는 구석이 많네요. 너무 쉽게 당했고, 상당히 허술한게 아닌가 생각해봅니다. 해킹이라고 부르기도 좀 민망한 수준입니다. 이정도면 그냥 제공해준게 아닌가 생각합니다.