코레일 설 연휴 열차표 예매사이트, 멤버십번호·패스워드 평문전송
코레일 측 “설 연휴 임시 페이지에서만 한시적으로 해당”

[보안뉴스 민세아] 설 연휴 열차표 예매를 위한 코레일 예매 사이트에서 코레일멤버십번호와 비밀번호가 암호화되지 않은 채 평문으로 전송되고 있는 사실이 드러났다.


▲설 연휴 열차표 예매를 위한 레츠코레일 홈페이지(letskorail.com)


코레일은 우리나라 최대의 명절인 설을 앞두고 13일, 14일 양일간에 걸쳐  설 연휴 열차표 예매기간을 따로 마련했다. 이를 위한 열차표 예매 사이트인 레츠코레일닷컴(letskorail.com)에서 로그인시 필요한 코레일멤버십번호와 비밀번호가 암호화되지 않은 채 평문으로 전송된다는 사실이 밝혀졌다.

코레일멤버십번호는 코레일 홈페이지 로그인 시 필요한 10자리의 고유회원번호로 열차표를 예매할 때 필수적으로 요구되는 번호다. 코레일멤버십번호와 비밀번호로 로그인하게 되면 결제까지는 아니더라도 기존 예매 발권 취소나 변경이 가능하다.


▲로그인 시 코레일멤버십번호와 비밀번호가 평문으로 전송되는 것을 확인할 수 있다.


해당 취약점을 제보한 성균관대 컴퓨터공학과 정보보안동아리 HIT의 박상민 씨는 이 문제를 한국인터넷진흥원(이하 KISA)에 제보했지만, 별로 대수롭지 않게 대응했다고 아쉬움을 나타냈다.  

이와 관련 박 씨는 “KISA 측에서는 같은 네트워크 안에서 패킷을 가로채는 게 쉬운 일이 아니므로 그렇게 급한 이슈사항은 아니라고 말했다”며, “해당 이슈는 몇 시간 만에 해결될 문제가 아니기 때문에 바로 시정하는 것은 힘들다는 답변이 돌아왔다”고 말했다.
이번 취약점에 대해 코레일 측에서는 “대역폭이 한정돼 있는 상황에서 패킷을 암호화 시키게 되면 패킷사이즈가 4배 가량 증가하게 되어 더 많은 사용자들이 접속하지 못하는 문제가 발생한다”며, “한시적으로 명절 승차권 예매 페이지에서만 평문으로 전송되도록 조치를 취한 것으로, 평상시 승차권 예매 페이지는 그대로 암호화된 패킷이 전송된다”고 해명했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>