사소한 부분에서도 보안의식 부재...인터파크, 해당 부분 암호화 조치 완료

[보안뉴스 김태형] 최근 대규모 개인정보 유출사고가 발생한 인터파크가 회원들에게 정보유출 여부 확인을 위한 서비스를 제공하고 있다. 본인의 정보가 유출된 것을 확인한 회원들은 회원 탈퇴를 하고 있는데, 이 부분에서 SSL을 적용하지 않아 회원 ID와 비밀번호가 암호화처리 없이 전송되고 있는 것으로 밝혀졌다.


▲ 인터파크 회원 탈퇴 시, 아이디와 비밀번호 입력 데이터 암호화 적용되지 않고 노출

보안 컨설팅 분야에 종사하고 있는 A씨는 “인터파크 개인정보 유출사고와 관련해서 회원 탈퇴를 진행하던 중에 SSL이 적용되지 않은 것을 확인했다. 인터파크는 회원 탈퇴 시 아이디와 패스워드를 입력하고 탈퇴 사유를 기재한 후 탈퇴 신청이 처리되고 있다”면서 “이러한 탈퇴 처리 과정에서 아이디와 패스워드가 암호화 되지 않고 평문으로 전송되고 있다”고 말했다.

이어서 그는 “현재 인터파크에서 제공하는 개인정보 유출 여부 서비스를 통해 정보가 유출된 사실을 확인했고, 회원 탈퇴를 수행하는 도중 발견했다. 일반적인 다른 사이트의 경우에는 처음 로그인 한 후에 회원탈퇴 메뉴에 접근 시에 패스워드만 입력하도록 하는 것이 보통인데 인터파크는 회원 탈퇴를 위해서 아이디와 패스워드를 모두 입력해야 하는 상황에서 SSL 통신 여부를 확인해보니 적용되지 않았다”고 덧붙였다.

회원 탈퇴를 했다면 이미 유출된 정보이며 탈퇴 회원의 정보라고 하더라도 인터파크에서만 해당 계정으로 로그인할 수 없을 뿐, 다른 사이트에서도 인터파크와 같은 아이디와 패스워드를 사용하는 회원들은 공격자가 스니핑을 통해 정보를 획득할 경우 추가적인 피해로 이어질 수 있다는 것. 이에 대응하기 위해서는 SSL을 적용해 전송 데이터에 암호화를 적용하면 된다.

이에 대해 인터파크 측은 해당 문제점을 현재 확인했으며 29일 오전부터 SSL을 적용해 회원 탈퇴 시 입력하는 아이디와 비밀번호를 암호화해서 전송하고 있다고 밝혔다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>