오늘 메일을 확인하는데, "타인의 명의도용시도 차단 알림메일" 이 두 통 왔다.


실명인증을 차단해주는 서비스를 유료로 이용하고 있다. 요즘같은 시대에는 이런게 하나쯤 필요하다고 생각하여 꾸준히 사용중이다. 효과가 어느정도 되는지는 모르겠다.

이 메일을 보자마자 든 생각은, '암호화된 네이트 주민번호가 복호화 됐군.' 이었다. (물론 다른 경로로 유출된 민번이 정말 우연찮게도 갑자기 오늘 사용되었을 수도 있지만)


미투데이에 관련 글을 올렸더니 비번 푸는데 30초가 걸렸다고 하는 뉴스가 나왔다고 한다.
어떤 내용인지 예상은 가지만 그래도 한번 찾아봤다.

링크 : http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000960683

요약하자면 SBS에서는 brute force 방식의 강제 대입식으로 비밀번호를 추출해낸 것이었다. 네이트의 정확한 암호화방식은 모르는 듯 하고 그냥 시청율을 위한 쇼라고 생각되지만 그나마 사람들에게 이번 사태의 위험성을 알리는데 일조했다고 생각하기에 까지는 않겠다.

웃긴건 뉴스 중간에 보안최고책임자라는 사람이 하는 말이다.

[강은성/SK커뮤니케이션즈 보안담당 이사 : 현재 기술로 보았을 때 이것은 안전합니다.]

이해는 한다. 정보를 주면 줄 수록 크래커에게도 힌트를 주는 것이니까. 하지만 현재 기술로 보았을 때, 안전한 영역은 없다. 털린쪽에서 안전하고 싶을 뿐이겠지.

개인정보 유출에서 최대 쟁점은 두가지 이다. 비밀번호와 주민등록번호.

주민번호야 여러가지 부서에서 사용해야 하기 때문에 복호화가 가능한 양방향 암호화를 했을 것이고, 비밀번호는 단방향 암호화를 사용했을 것 이다.

양방향이면 암호화 방식과 암호화에 사용된 key만 찾으면 풀 수 있다는 소리이다. 이미 언론등을 통해서 네이트가 주민번호에 128비트의 AES 암호화를 사용했다고 알려졌다. 게다가 주민번호는 숫자로만 구성되어 있다. 여기서 중요한건 AES 알고리즘으로 만들어진 문자열을 해독할 수 있는 iv와 key 가 함께 노출되었는가 아닌가인데, 노출되었을 가능성이 적다고 해도 안심할 수 없다. 운이 좋으면 짧은 시간내에 복호화가 가능하기 때문이다.

누가 주도하든 자꾸만 비밀번호 쪽으로만 이슈를 몰아가는것 같아 안타깝다. 바꾸면 그만인 비밀번호 보다는 바꿀 수도 없는 주민번호가 더 문제라고 생각된다. 대한민국 웹서비스의 대부분에는 아이디/비밀번호찾기 서비스가 있기 때문이다.

이름과 주민번호만 알 수 있다면 웬만한 사이트의 비밀번호 또는 비밀번호 변경권을 손쉽게 얻어낼 수 있고, 아이디를 다르게 사용하는 사용자의 아이디도 노출되게 된다. 크래커들도 바보가 아닌 이상 얻기 어려운 곳에 투자 하기 보다는 좀 더 똑똑한 방식을 통해서 자신들이 원하는 것을 얻어낼 것이다.

안타깝다. 언론과 SK컴즈 모두 올바른 시각으로, 올바른 방향으로 문제를 해결하려는 모습을 보여줬으면 좋겠다. 옥션도 잘 넘겼고 심지어는 우리 돈과 가장 밀접한 연관이 있는 농협조차 은근슬쩍 잘 넘어갔는데 네이트라고 다르겠냐만. 
신고
Posted by onionmen

댓글을 달아 주세요

  1. Favicon of http://karma21.tistoryl.com BlogIcon 까모야 2011.07.31 15:14 신고  댓글주소  수정/삭제  댓글쓰기

    저같은 경우 오늘 점심에 네이트에서 온 사과 메일을 보다가 화가 났습니다. 그냥 사과뿐...하아 이래저래 개인정보 유출 차단이 쉬운 세상이 아닌데.. 트랙백 하나 걸고 가겠습니다!

    • Favicon of http://onionmen.kr BlogIcon onionmen 2011.07.31 15:35 신고  댓글주소  수정/삭제

      뉴스에서 고개숙이는 모습을 보니, 아 이제 저러고 끝나겠군 이라는 생각이 들어 씁쓸하더군요. 네이트에 대한 문제는 그렇다쳐도 이번 사태로 인해서 정부도 아이핀같은 눈가리고아웅 말고 정말 대안이 될 수 있는 대안을 내놓았으면 하네요. 실명인증 폐지같은.

  2. Favicon of http://appbay.co.kr BlogIcon appbay 2011.08.01 19:51 신고  댓글주소  수정/삭제  댓글쓰기

    문제는 암호가 빨리 풀린것보다 더 중요한게...

    어떻게 해서 유저DB를 통째로 뜯겼는가가 문제인데 그걸 인식하는 사람이 거의 없어요...

    이건 사실 심각한 보안문제입니다.

    • Favicon of http://onionmen.kr BlogIcon onionmen 2011.08.03 10:11 신고  댓글주소  수정/삭제

      저도 그게 궁금했는데, 이런 기사가 떴네요
      http://news.naver.com/main/ranking/read.nhn?mid=etc&sid1=111&rankingType=popular_day&oid=005&aid=0000472045&date=20110803&type=0&rankingSectionId=105&rankingSeq=1&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+naver_news_popular+%28NAVER+POPULAR+NEWS%29

      3대 포탈의 전산망이 어떻게 그리 쉽게 뚫렸을까 의아하긴해요.

얼마 전 네이트가 오픈을 표방하고 오픈소셜을 도입하여 새로운 시도를 하고 있다. 만년 3위를 탈출하여 2위, 1위로 올라가려고 힘쓰고 있다.
자사의 데이터를 오픈한다. 개발자들을 끌어들이고, 이들로 하여금 새로운 컨텐츠들을 생산하게 하여 새로운 도약을 시도하려 하고있다.

이런 시도를 하여 성공한 케이스가 미국의 페이스북이다. 적절한 시기에 서비스를 오픈하고, 데이터를 개방하여 마이스페이스를 누르고 미국 최대 SNS 시장점유율을 기록하였다. 여기서 중요한 점은 바로 적절한 시기 이다.

SK컴즈는 싸이월드의 데이터까지 오픈한 마당에 왜 네이트온은 그냥 두는것인가. 떡밥은 상대방이 관심있어 하는 떡밥을 던져야 덥썩 물게 마련이다. 싸이월드 만으로는 너무 식상하다. OpenAPI, 매쉬업 등을 외치는 개발자들은 많다. 그런데 정작 이런 개발자들은 이미 싸이월드를 안한다. 한다 해도 열정적으로 하지 않는다. 이미 시들해졌다. 그런데 이런 개발자들도 네이트온은 한다. 친구랑 온라인으로 대화를 하려면 (정말) 많은 대한민국 사람들이 사용하는 네이트온을 써야 하기 때문에 어쩔수 없이라도 해야 한다.

개발자가 뭔가를 만들려는 이유는 만드는게 재미있어서, 내가 불편해서, 소중한 누군가를 위해서, 그리고 마지막으로 자랑하기 위해서 이다.
네가지 이유중 세가지는 모두 내가 그 서비스를 잘 사용하고 있을 때 나타날 수 있는 이유이다. 그런데 싸이월드는 그 세가지를 제외한 "소중한 누군가를 위해서" 라는 이유 하나만으로 개발자를 끌어들이려고 하고 있다.

네이트온은 과거 MSN의 오픈된 프로토콜을 사용하여 MSN사용자들을 네이트온으로 자연스럽게 옮겨오게 했다. 여기에 문자 메시지를 공짜로 보낼 수 있게 해주는 서비스를 더했다. 이 두가지는 엄청난 시너지 효과를 발했다. 덕분에 대한민국 1등 메신저로 탄생할 수 있었다.

물론 네이트온 API를 공개할 경우 자신들이 MSN에게 썼던 방법 그대로 당할 위험도 있다. 뭐 그래도 긍정적으로 생각해 약관만 적절하게 수정하여 들이대고, 정말 핵심적인 API는 제한을 둔다든지 하는 방식을 취한다면 그런 상황은 충분히 막을 수도 있지 않을까. 오히려 네이트온 API 오픈 이라는 무리수를 던지게 되면서 발생할 수 있는 Side effect가 득이될 수도 있을거라 생각한다. 양날의 검이겠지.

지금처럼만 하면 네이버가 정말정말정말 큰 실수를 하지 않거나, 다음이 정말 큰 실수를 하지 않는 이상 따라잡기 힘들듯 하다.



 덧. 실은.. 네이트온 문자대화 API만이라도 오픈해줬으면... 하는 마음에서 한번 생각해봤다. 문자대화 API만으로도 할 수 있는게 얼마나 많은데.. ㅠㅠ
신고
Posted by onionmen

댓글을 달아 주세요

  1. Favicon of http://cain007.tistory.com BlogIcon 쿡하셈 2009.11.26 01:06 신고  댓글주소  수정/삭제  댓글쓰기

    앗..저도 같은 비슷한 생각을 가지고 있었는데 .. 각종 포털api찾는도중 여기까지 왔습니다
    오늘 어떤 쇼핑몰에서 네이트커넥터를 이용하고 있더라구요 중소규모에 사이트이구
    네이커 커넥트 자체에는 소개가 되어있지 않은데 사용되어지는거보니
    저는 오픈api인지 알았는데 아무리 살펴봐도 제휴인것 같아 아쉬운마음에 돌아섰습니다..

    아쉬운점을 더 말해보자면.. 네이트온을 좀더 구글스럽게 사용했으면 좋겠습니다
    지금 현재 싸이월드나 네이트 서비스는 커넥터로 어떻게 되어 있는지는 모르겠지만
    변경사항이 있을때마다 밑에 알림차이 뜨던군여..

    이걸 개발자분들이 각종 홈페이지에 이용하여 게시물을 등록하는등 변경사항이 있을때
    네이트온에 알림창이 뜨면 어떨까...전 사실 이서비스가 있는지 알았거든여..
    아무래도 자체 블로그나 미니홈피에 스크랩기능은 있던데..

    국내기업 특유의 폐쇄성인듯합니다..

    만약 위처럼 개인 개발자들도 커넥트 api를 사용한다면 네이트온 사용자가 좀더 늘어나지
    않을까 생각해보았답니다...

    마지막으로..다음이나 네이버와 같이...오픈 api제공하는 사이트 아시나여~?
    지금 검색중인데 혹시 많은곳을 알고 계시다면 답글 부탁합니다 ~~

    • Favicon of http://onionmen.kr BlogIcon onionmen 2009.11.26 11:54 신고  댓글주소  수정/삭제

      안녕하세요 ^^ 오픈API로 뭔가를 준비하시려는가봅니다. API목록은 블로그에 들어가보니 이미 찾으신듯 한데, 제가 보기에도 추가될만한 것들이 별로 안보이네요.

      변동시 네이트온에 알리미 형식으로 뜨는건 네이트가 수익모델로 새우고 있는 듯 하여, 공개하지 않는것 같습니다.

      네이트는 정말 네이트온 관련해서는 꽁꽁 닫고 오픈하지 않을 생각같아요. 나름대로의 최후의 보루일 수도 있겠지요. ㅎㅎ

해외여행 가시나요?

전 왠만하면 여행갈 때 "전화기는 두고가자" 라는 주의입니다만, 얼마전 다녀온 여행에서 우연찮게도 로밍을 해가고 난 다음, 그 편리함에 반해서 주변인들에게 꼭 로밍해가라고 이야기 한답니다. ㅋㅋ

아마도 로밍을 꺼려하는 가장 큰 이유는 바로 이.용.요.금. 이 아닐까 싶습니다.
친구에게 "야 로밍해가. 엄청편해. 내가 가끔 전화해줄게." 라고 하면 돌아오는 대답은, "핸드폰요금 니가 땡겨줄래?" 입니다.

그래서 로밍 요금이 얼마인지 아냐고 물어보면 뭐 그냥 비싸지 않나? 라고 말꼬리를 흐리기 일수였습니다.

뭐든 그렇지요. 아는놈이 이기는 세상입니다. 잘알고, 잘쓰면 다 내돈되는 요즘 세상. 우리 로밍 요금제에 대해서 한번 알아볼까요?

로밍국가


CDMA
자동로밍

WCDMA/GSM

자동로밍

중국

1,500/

2,000원/ 분 (GSM)

미국

1,000/

2,200원/분 (GSM)

일본

X

1,600/

태국

1,300/

1,600웝/분 (GSM)

홍콩

X

1,850/

마카오

1,350/

1,250/

/사이판

1,200/

1,400원/분 (GSM)

대만

850/

1,350/

캐나다

2,300/

2,100원/분 (GSM)

호주

X

2,200/

뉴질랜드

1,450/

X

베트남

1,050/

900원/분 (GSM)

영국

X

2,650/

독일

X

2,000/

이탈리아

X

3,000/






























출처 (http://troaming.tistory.com) 2007년 12월 기준

자 어때요? 표로 정리되니까 한눈에 쏙 들어오고 좋지 않습니까? 앞으로도 갈 일 별로 없을 것만 같은 이탈리아가 제일 비싼게 다행입니다. ㅎㅎ


위에 보시면 CDMA방식과 WCDMA방식으로 나뉘는걸 볼 수 있는데요, CDMA방식은 많이 들어보셨죠? 이전까지 우리나라에서 사용되던 방식입니다. 하지만 세계적으로 많이 사용하는 방식이 아니기 때문에 CDMA만 지원하는 핸드폰을 갖고 계신 경우엔 사용범위가 조금 제한 적이지요. 아시아권을 제외하고 서양권에서는 GSM방식을 사용하기 때문이에요!

이러한 단점을 극복하기 위해서 도입된 기술이 바로 WCDMA방식 입니다. 쉽게 생각해서 GSM 방식의 확장이라고 생각하시면 되는데, 요즘 많은 핸드폰들이 WCDMA방식과 GSM방식을 모두 지원하는 방식으로 내놓고 있습니다. 이런 휴대폰을 사용하시는 경우에는 세계 여러나라에서 쉽게 로밍서비스를 받을 수 있습니다. 휴대폰을 임대하지 않아도 말이죠!(임대할경우 하루 2천원의 임대료를 내야해요.) 하지만 GSM방식을 지원하지않고 WCDMA방식만 지원하는 휴대폰의 경우에는 외국의 지방소도시에서는 서비스받을 수 없을지도 모르니 유의하세요.

로밍 요금이 조금 비싸다고 생각되시나요? 내 번호를 그대로 쓰는 편리함과 어디서든지 통화 할 수 있다는 장점에 대한 가치로는 충분하다고 생각해요.
간혹 안부전화를 할 때, 위급한 상황에서 저 처럼 공중전화를 사용하지 못해 난감할때.

혹시 해외여행 가신다면 로밍서비스 받아보세요. 제대로만 사용하면 해외여행 필수코스가 될 것이라고 확신합니다.
신고
Posted by onionmen

댓글을 달아 주세요

  1. Favicon of http://blog.naver.com/ BlogIcon @.@ 2008.02.20 02:15 신고  댓글주소  수정/삭제  댓글쓰기

    앗 동남아 여행 계획중인데 동남아는 비교적 요금이 참아줄만 하군요
    저거 1분당 요금이죠?

    • Favicon of http://onionmen.kr BlogIcon onionmen 2008.02.20 09:44 신고  댓글주소  수정/삭제

      네 동남아는 비교적 저렴하죠. 전화카드 같은거 가지고 다니시는 것 보다는 잠깐잠깐 하실거라면 로밍해가시는것도 나쁘지 않을 것 같아요. 그리고 1분당 요금입니다. ^^

  2. Favicon of http://breathe77777.tistory.com BlogIcon 브리드 2008.02.20 02:25 신고  댓글주소  수정/삭제  댓글쓰기

    정말 표로보니 깔끔하게 이해되네요 ㅎ
    덕분에 cdma랑 wcdma의 차이도 알구요^^

  3. Favicon of http://echo7995.tistory.com/ BlogIcon 에코 2008.02.20 10:32 신고  댓글주소  수정/삭제  댓글쓰기

    요금이 이탈리아가 후덜되긴 하는데요?ㅋㅋ

    저도 한번 로밍해본이후로는 꼭 꼭 챙겨가고있습니다 ㅋㅋ

  4. Favicon of http://bitter-sweet.tistory.com/ BlogIcon bs 2008.02.20 12:43 신고  댓글주소  수정/삭제  댓글쓰기

    요금표를 아주 보기 쉽게 정리해 주셨군요~
    로밍방식에 대해 서도 쉽게 알게되었습니다. 좋은 정보 감사합니다.

  5. Favicon of http://www.tistory.com/ BlogIcon 방랑자 2008.02.20 19:58 신고  댓글주소  수정/삭제  댓글쓰기

    CDMA방식과 WCDMA의 차이가 이런거군요.
    여기저기 많이 다니는데 로밍요금 정리가 잘 되어있어서 보기 편하네요

이전버튼 1 이전버튼

블로그 이미지
손을 따뜻하게 만들어 주고 싶은 애인이 있습니다.
onionmen

달력

 « |  » 2017.12
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            
DNS Powered by DNSEver.com

최근에 올라온 글

Yesterday115
Today33
Total1,625,205

티스토리 툴바