오랜만에 잡소리 하나 써보자...LG텔레콤 개인 정보 유출 관련
요즘 재미난 뉴스꺼리는 많아서 좋은 듯...
그중 뉴스 중 내 눈에 걸려 든 'LG텔레콤 개인 정보 유출'과 관련된 뉴스였다.
대충 본 상태에선 뭔 내용인지...ㅡ.ㅡ
원래 뉴스는 정확성이 좋아야 되거늘 항상 주어,목적어,동사가 뒤 바뀌는 짓거리를 많이 해서...ㅡ.ㅡ
그래서....링크의 파도에 실려....여기 저기 둘러본 결과....
보안과 관련된 포인트는 총 3곳
1. char.ez-i.co.kr : LG텔레콤에서 CP업체와 인터페이스 하는 곳이라고 봐야 하나?
2. mshop.or.kr : or.kr 이니 어느 대학 학연에서 만든 사이트 정도라고 해야 하나?
3. fguy.com : fguy님의 개인 사이트
정리해보면...
1. CP 인증과 관련된 정보를 html 소스상에 공개
2. 정확한 CP인증 처리 하지 않음(요청하는 Url도 check를 해야 함.)
3. 제공되는 정보를 암호화 시키지 않고 단순 문자열로 제공
이 세가지 정도가 눈에 보인다....
결국 fguy님은 이 부분을 이용하여 개인 사이트에 웹프로그램을 만들어 공개했다라는 결론이다.
그러나 좀 거슬리는 부분은...
1. 제공되는 정보에서 가입일을 추출한 점 => 뭐 전화번호로 확인해 보면 나올 듯 함.
2. fguy.tistory.com의 이전 글에서 전화번호(?)와 관련된 글이 있음.(직접적인 관련이 없는 사항)
3. javascript상에서 telecom의 값으로 3개 통신사로 분류처리
4. phpschool.com에서 문자전송 페이지 공개함. ==> 추가 : 무료SMS로 유추됨, 또한 덧글중 일부 문제되는 듯한 글이 삭제됨. ==> 현재 내용 삭제됨 - fguy.com/SMS.html 이라는 페이지로 기억
==>5. 제공화면의 URL정보와 소스상 취약점 URL정보가 다른 점(취약점이 두군데인가?==>send,get page인듯)
위 네가지 정도로 fguy님은 어떤 다른 CP업체에 근무하는 것으로 유추가 된다.(현재는 포털업체에서 근무하신다고 나오네요.)
결국 문제는 모두 갖춰져 있다.
1. 정보제공업체(LG텔레콤과 mshop.or.kr을 만든 단체)
2. 개발자....ㅡ.ㅡ
당연히 정보제공업체는 정보유출에 대한 책임을 벗어날 수 없다라고 생각된다...ㅡ.ㅡ
(그런데 우리나라는 유전무죄라는 점이 특징이긴 하다...)
fguy님 또한 정보유출에 대한 책임을 벗어날 수 있을까? 이것도 아닌 듯...
개발자라고 한다면 자신이 가지고 있는 정보를 공개하고 싶은 욕구가 있다. 하지만 공개는 보안과 관련된 정보를 제외하고 공개를 해야 한다고 생각된다.
==> 거슬리는 부분을 참조(사실 더 자세히 적고 싶지만 문제가 될 듯해서 제외)
==> 정말로 request url상에서 CP id,password를 인지 못한 상태에서 response string을 parsing 처리하여 친절하게 화면에 뿌려주는 script 를 작성했을까?
(궁금하다....ㅡ.ㅡ)
적다보니 결론이 없네....
사실 더 자세히 적어 놓고 보니 내가 정보 유출하는 듯한 느낌이 들어....지웠다....ㅡ.ㅡ++
더 결론 없는 얘기를 할까 한다.
어떤 행동을 하기 전에 한번 더 생각하자.....(나도 마찬가지 인듯)
관련 URL 1: http://fguy.tistory.com
관련 URL 2: http://www.phpschool.com(무료SMS관련)
관련 URL 3: http://anony.tistory.com(fguy님의 주장 : LG 텔레콤 관계자)
(0) 
(0)
댓글