'네이트'에 해당되는 글 2건

  1. 2011.07.31 네이트 사태, 비밀번호 30초만에 뚫림이 중요한가? (4)
  2. 2010.05.14 네이트 오픈
오늘 메일을 확인하는데, "타인의 명의도용시도 차단 알림메일" 이 두 통 왔다.


실명인증을 차단해주는 서비스를 유료로 이용하고 있다. 요즘같은 시대에는 이런게 하나쯤 필요하다고 생각하여 꾸준히 사용중이다. 효과가 어느정도 되는지는 모르겠다.

이 메일을 보자마자 든 생각은, '암호화된 네이트 주민번호가 복호화 됐군.' 이었다. (물론 다른 경로로 유출된 민번이 정말 우연찮게도 갑자기 오늘 사용되었을 수도 있지만)


미투데이에 관련 글을 올렸더니 비번 푸는데 30초가 걸렸다고 하는 뉴스가 나왔다고 한다.
어떤 내용인지 예상은 가지만 그래도 한번 찾아봤다.

링크 : http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000960683

요약하자면 SBS에서는 brute force 방식의 강제 대입식으로 비밀번호를 추출해낸 것이었다. 네이트의 정확한 암호화방식은 모르는 듯 하고 그냥 시청율을 위한 쇼라고 생각되지만 그나마 사람들에게 이번 사태의 위험성을 알리는데 일조했다고 생각하기에 까지는 않겠다.

웃긴건 뉴스 중간에 보안최고책임자라는 사람이 하는 말이다.

[강은성/SK커뮤니케이션즈 보안담당 이사 : 현재 기술로 보았을 때 이것은 안전합니다.]

이해는 한다. 정보를 주면 줄 수록 크래커에게도 힌트를 주는 것이니까. 하지만 현재 기술로 보았을 때, 안전한 영역은 없다. 털린쪽에서 안전하고 싶을 뿐이겠지.

개인정보 유출에서 최대 쟁점은 두가지 이다. 비밀번호와 주민등록번호.

주민번호야 여러가지 부서에서 사용해야 하기 때문에 복호화가 가능한 양방향 암호화를 했을 것이고, 비밀번호는 단방향 암호화를 사용했을 것 이다.

양방향이면 암호화 방식과 암호화에 사용된 key만 찾으면 풀 수 있다는 소리이다. 이미 언론등을 통해서 네이트가 주민번호에 128비트의 AES 암호화를 사용했다고 알려졌다. 게다가 주민번호는 숫자로만 구성되어 있다. 여기서 중요한건 AES 알고리즘으로 만들어진 문자열을 해독할 수 있는 iv와 key 가 함께 노출되었는가 아닌가인데, 노출되었을 가능성이 적다고 해도 안심할 수 없다. 운이 좋으면 짧은 시간내에 복호화가 가능하기 때문이다.

누가 주도하든 자꾸만 비밀번호 쪽으로만 이슈를 몰아가는것 같아 안타깝다. 바꾸면 그만인 비밀번호 보다는 바꿀 수도 없는 주민번호가 더 문제라고 생각된다. 대한민국 웹서비스의 대부분에는 아이디/비밀번호찾기 서비스가 있기 때문이다.

이름과 주민번호만 알 수 있다면 웬만한 사이트의 비밀번호 또는 비밀번호 변경권을 손쉽게 얻어낼 수 있고, 아이디를 다르게 사용하는 사용자의 아이디도 노출되게 된다. 크래커들도 바보가 아닌 이상 얻기 어려운 곳에 투자 하기 보다는 좀 더 똑똑한 방식을 통해서 자신들이 원하는 것을 얻어낼 것이다.

안타깝다. 언론과 SK컴즈 모두 올바른 시각으로, 올바른 방향으로 문제를 해결하려는 모습을 보여줬으면 좋겠다. 옥션도 잘 넘겼고 심지어는 우리 돈과 가장 밀접한 연관이 있는 농협조차 은근슬쩍 잘 넘어갔는데 네이트라고 다르겠냐만. 
신고
Posted by onionmen

댓글을 달아 주세요

  1. Favicon of http://karma21.tistoryl.com BlogIcon 까모야 2011.07.31 15:14 신고  댓글주소  수정/삭제  댓글쓰기

    저같은 경우 오늘 점심에 네이트에서 온 사과 메일을 보다가 화가 났습니다. 그냥 사과뿐...하아 이래저래 개인정보 유출 차단이 쉬운 세상이 아닌데.. 트랙백 하나 걸고 가겠습니다!

    • Favicon of http://onionmen.kr BlogIcon onionmen 2011.07.31 15:35 신고  댓글주소  수정/삭제

      뉴스에서 고개숙이는 모습을 보니, 아 이제 저러고 끝나겠군 이라는 생각이 들어 씁쓸하더군요. 네이트에 대한 문제는 그렇다쳐도 이번 사태로 인해서 정부도 아이핀같은 눈가리고아웅 말고 정말 대안이 될 수 있는 대안을 내놓았으면 하네요. 실명인증 폐지같은.

  2. Favicon of http://appbay.co.kr BlogIcon appbay 2011.08.01 19:51 신고  댓글주소  수정/삭제  댓글쓰기

    문제는 암호가 빨리 풀린것보다 더 중요한게...

    어떻게 해서 유저DB를 통째로 뜯겼는가가 문제인데 그걸 인식하는 사람이 거의 없어요...

    이건 사실 심각한 보안문제입니다.

    • Favicon of http://onionmen.kr BlogIcon onionmen 2011.08.03 10:11 신고  댓글주소  수정/삭제

      저도 그게 궁금했는데, 이런 기사가 떴네요
      http://news.naver.com/main/ranking/read.nhn?mid=etc&sid1=111&rankingType=popular_day&oid=005&aid=0000472045&date=20110803&type=0&rankingSectionId=105&rankingSeq=1&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+naver_news_popular+%28NAVER+POPULAR+NEWS%29

      3대 포탈의 전산망이 어떻게 그리 쉽게 뚫렸을까 의아하긴해요.

2010.05.14 12:35 Review/IT

네이트 오픈

네이트오픈2010 행사에 다녀왔습니다.

좀 늦어서 미니홈피 API 발표는 끝부분만 겨우 들었습니다.
별로 관심이 없던 부분이라 크게 신경은 안쓰이지만, 추후에 동영상이 공개되면 한번 다시 보긴 해야 할듯 합니다.

이번 행사에서 크게 느꼈던 점은, 너무 BM을 찾고, 제휴를 주장한다는 점이었습니다. 너무 돈벌이를 앞에 내세우다보니까 좀 보기싫은 것도 있더군요.

전체적으로 사용자정보 보호와 공개 사이에서 갈등을 하면서 이를 해결할 방안으로 제휴를 들고 나왔습니다. 제휴를 맺어야지만 사용할 수 있는 API가 무슨 공개인지 모르겠더군요.

제휴를 통해 API를 사용하는 스패머를 막을 수 있다고 하셨는데, 스패머가 굳이 API를 쓸까요. API가 공개되지 않아도 자기 할일 다 잘 하는 스패머들인데, 너무 변명이 궁색했습니다.


제일 관심 있었던 부분은 네이트온 API 였는데요, 4시쯤 도착하여 다행이 늦지 않게 들을 수 있었습니다. 네이트온API는 거의 모든 API를 공개합니다.

프로필, 친구추가, 친구리스트, 대화, 쪽지, 메일, 토스트(알림창), 미니클럽. 등을 오픈하고, 아쉽게도 문자대화는 오픈하지 않더군요.

웹 SDK를 제공하여 블로그나 일반 사이트들에서도 연동이 가능하다고 합니다. DLL형태로 제공한다고 했는데, 그럼 ActiveX를 동반해야할지도 모르겠네요. 

네이트온에 플러그인 형식으로 내부 어플리케이션을 붙일수도 있다고 합니다. 저도 네이트온 사용자로서 많은 유용한 플러그인들이 개발될 것으로 보여 기대감이 높습니다.

가장 사용성이 높을 것으로 예상되는 API가 토스트 API인데요, 이게 뭔가 했습니다만 사용자가 로그인 했을 때 창 하단에 직사각형 박스로 뜨는 것 있잖아요? 그게 빵이 튀어나오는 것 처럼 보인다고 해서 토스트 라고 한답니다. 이름 귀엽네요.

토스트



현재도 이 알리미 API는 사용 가능합니다. 다만 제휴를 통해서만 사용할 수 있기 때문에 그림의 떡이지요. 개인개발자도 쉽게 접근할 수 있게 공개 된다면 많은 응용이 가능할 듯 합니다.

오픈된다면 개인적으로 제일 먼저 원어데이 오늘의 상품 알리미를 만들고 싶군요.


그 외에 네이트커넥트나, 빌링관련해서 발표가 있었습니다.

빌링이야 크게 관심이 있던 부분은 아니고, 커넥트는 그나마 SNS이니 조금 보긴 했는데, API소개라기 보다는 그냥 커넥트 서비스 소개에 가깝더군요.

발표자분이 커넥트를 소개할 때 다섯가지 기준을 잡고 서비스를 개발했다고 했습니다.

real-time
simple
friendly
anywhere
interactive

그리고 커넥트 서비스가 위 다섯가지를 만족한다고 설명 주셨는데, 솔직히 개인적으로는 저기에서 real-time을 제외하고는 하나도 제대로 안된 것 같습니다.

커넥트는 쓰기 어렵고, 복잡합니다. 맨 처음 커넥트 서비스가 오픈되었다고 zdnet 기사를 통해 접한 뒤 이 서비스를 찾기까지 약 15분 정도가 걸렸습니다. 그리고 찾고난 뒤에도 어떻게 쓰는건지 한참을 헤맸습니다. 게다가 네이트온친구-싸이일촌을 대상으로 모두 친구를 끌어왔기 때문에 전혀 친하지 않고 SNS로 관심을 맺고 싶지 않은 사람들까지 친구로 끌어왔습니다. 그리고 모바일 서비스나 스마트폰 어플리케이션도 없는 상태에서 언제 어디서나 네이트커넥팅에 접속할 수 없었습니다. 이런 상황에서 제대로된 상호작용이 될까요?


커넥팅은 초기 진입 장벽이 너무 높고, 원하지도 않는 글들이 너무 많이 올라옵니다. 차단 설정이 있다고 했는데 찾기도 쉽지 않습니다. 이로 인해서 오픈 당시 전혀 대화가 없었던 사람들이 보낸 토스트 대화창이 많이 떴었죠. 그걸 보고 내가 쓴 글도 저사람들에게 보여지는 것인가 에 대한 두려움(?) 으로 글을 쓰지 않았었습니다.

차라리 단독서비스를 내고 네이트온 친구와 싸이월드 친구를 사용자가 불러올 수 있게 하는게 어땠을까 합니다.

커넥트는 API가 공개 되어도 크게 쓸일이 많지는 않을 듯 합니다.

이런 API들이 10월은 되어야 쓸 수 있다고 하니, 참 길고 긴 시간 기다려야 하겠네요.
신고
Posted by onionmen

댓글을 달아 주세요

이전버튼 1 이전버튼

블로그 이미지
손을 따뜻하게 만들어 주고 싶은 애인이 있습니다.
onionmen

달력

 « |  » 2017.12
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            
DNS Powered by DNSEver.com

최근에 올라온 글

Yesterday115
Today33
Total1,625,205

티스토리 툴바