무료 서비스를 유료 서비스로 쉽게 바꿔 볼 수 있는 취약점
이미지 서버 수정 과정에서 발생한 버그...현재 수정조치 완료
[보안뉴스 김태형] 국내 웹툰 사이트인 ‘레진코믹스(www.lezhin.com/ko)’에 웹툰을 연재하는 작가들이 최근 논란이 되고 있는 여성 커뮤니티 ‘메갈리안(www.megalian.com)’을 옹호한다는 이유로 기존 레진코믹스 회원들의 회원 탈퇴 러시가 이루어지는 가운데 디시인사이드 웹툰 갤러리에는 레진코믹스의 유료 HD화질 결제의 보안 취약점에 대한 게시글이 올라와 이슈가 되고 있다.
▲ 디시인사이드 웹툰 갤러리에 올라온 글
‘나그네’라는 아이디를 사용하는 네티즌의 게시글에 따르면 레진코믹스는 무료독자에게는 SD화질로 웹툰을 볼 수 있도록 제공하고, 결제를 마친 독자들에게는 HD화질로 업그레이드하는 방식을 취하고 있다. 하지만 이러한 방식이 상당히 조잡해 쉽게 우회할 수 있다는 설명이다. 레진코믹스 토큰(Token)이라는 것이 존재한다. 문화상품권과 같이 랜덤한 암호로 각 사용자마다 토큰을 배포하는데 유료화 웹툰을 클릭할 때 이 토큰 값이 ‘True’면 바로 들어가서 볼 수 있는데 ‘False’면 ‘결제하라’는 메시지가 나오는 것으로 알려졌다.
해당 네티즌은 “무료 웹툰을 클릭할 때 토큰 값이 True면 HD화질로 뜨고, False값이면 SD화질로 나온다. 이러한 상황이라면 웹툰을 결제할 사람은 없으니 해당 웹툰의 구매(Purchased) 값은 모두 ‘false’일 것으로 추정된다”면서 “그런 다음 해당 웹페이지의 Html을 메모장으로 옮겨와 ‘false’로 입력된 내용을 전부 ‘true’로 치환하고 치환된 html을 복사해 붙여넣기 해서 인터넷 창으로 띄우면 HD화질로 업그레이드 해서 볼 수 있게 된다”고 덧붙였다.
이렇게 하면 3코인씩 유료 결제를 해서 소장한 사람들만 피해를 보게 되는 것이다. ‘나그네’는 이런 허술하고 조잡한 결제 시스템을 적용하고 있는 레진코믹스에 공식적으로 항의한다고 전했다.
▲ false로 입력된 내용을 전부 true 치환
이에 대해 독자들은 댓글을 통해 ‘보안이 너무 허술한 것 아니냐’면서 ‘유료 결제를 한 회원들을 바보로 만들고 있다’, ‘이게 사실이라면 매우 충격적이다’ 등과 같은 반응을 보이고 있다.
한편, 본지는 이에 대한 사실 확인과 조치를 요청했고, 레진코믹스 측으로부터 답변을 받았다.
레진코믹스 담당자는 “해당 사항은 지난 6월 14일 이미지 서버 수정 과정에서 발생한 버그이며, 이 버그는 무료로 공개된 웹툰에만 해당되고 유료로 서비스 중인 웹툰은 해당되지 않는다”며 “관련 취약점은 7월 21일 15시 46분경에 수정되어 배포됐다. 이에 현재는 ‘true’로 치환을 요청해도 저화질로 전송된다. 아울러 7월 21일 17시 57분경에는 임의로 주소를 수정하는 경우 콘텐츠가 보이지 않도록 처리하는 것도 적용되어 현재는 문제가 없다”고 설명했다.
[김태형 기자(boan@boannews.com)]
이미지 서버 수정 과정에서 발생한 버그...현재 수정조치 완료
[보안뉴스 김태형] 국내 웹툰 사이트인 ‘레진코믹스(www.lezhin.com/ko)’에 웹툰을 연재하는 작가들이 최근 논란이 되고 있는 여성 커뮤니티 ‘메갈리안(www.megalian.com)’을 옹호한다는 이유로 기존 레진코믹스 회원들의 회원 탈퇴 러시가 이루어지는 가운데 디시인사이드 웹툰 갤러리에는 레진코믹스의 유료 HD화질 결제의 보안 취약점에 대한 게시글이 올라와 이슈가 되고 있다.
▲ 디시인사이드 웹툰 갤러리에 올라온 글
‘나그네’라는 아이디를 사용하는 네티즌의 게시글에 따르면 레진코믹스는 무료독자에게는 SD화질로 웹툰을 볼 수 있도록 제공하고, 결제를 마친 독자들에게는 HD화질로 업그레이드하는 방식을 취하고 있다. 하지만 이러한 방식이 상당히 조잡해 쉽게 우회할 수 있다는 설명이다. 레진코믹스 토큰(Token)이라는 것이 존재한다. 문화상품권과 같이 랜덤한 암호로 각 사용자마다 토큰을 배포하는데 유료화 웹툰을 클릭할 때 이 토큰 값이 ‘True’면 바로 들어가서 볼 수 있는데 ‘False’면 ‘결제하라’는 메시지가 나오는 것으로 알려졌다.
해당 네티즌은 “무료 웹툰을 클릭할 때 토큰 값이 True면 HD화질로 뜨고, False값이면 SD화질로 나온다. 이러한 상황이라면 웹툰을 결제할 사람은 없으니 해당 웹툰의 구매(Purchased) 값은 모두 ‘false’일 것으로 추정된다”면서 “그런 다음 해당 웹페이지의 Html을 메모장으로 옮겨와 ‘false’로 입력된 내용을 전부 ‘true’로 치환하고 치환된 html을 복사해 붙여넣기 해서 인터넷 창으로 띄우면 HD화질로 업그레이드 해서 볼 수 있게 된다”고 덧붙였다.
이렇게 하면 3코인씩 유료 결제를 해서 소장한 사람들만 피해를 보게 되는 것이다. ‘나그네’는 이런 허술하고 조잡한 결제 시스템을 적용하고 있는 레진코믹스에 공식적으로 항의한다고 전했다.
▲ false로 입력된 내용을 전부 true 치환
이에 대해 독자들은 댓글을 통해 ‘보안이 너무 허술한 것 아니냐’면서 ‘유료 결제를 한 회원들을 바보로 만들고 있다’, ‘이게 사실이라면 매우 충격적이다’ 등과 같은 반응을 보이고 있다.
한편, 본지는 이에 대한 사실 확인과 조치를 요청했고, 레진코믹스 측으로부터 답변을 받았다.
레진코믹스 담당자는 “해당 사항은 지난 6월 14일 이미지 서버 수정 과정에서 발생한 버그이며, 이 버그는 무료로 공개된 웹툰에만 해당되고 유료로 서비스 중인 웹툰은 해당되지 않는다”며 “관련 취약점은 7월 21일 15시 46분경에 수정되어 배포됐다. 이에 현재는 ‘true’로 치환을 요청해도 저화질로 전송된다. 아울러 7월 21일 17시 57분경에는 임의로 주소를 수정하는 경우 콘텐츠가 보이지 않도록 처리하는 것도 적용되어 현재는 문제가 없다”고 설명했다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
