태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
노무현 대통령 배너

일상로그 - DayLog

Admin | Post | Trofish |
요즘 쇠고기정국으로 인해 여러가지 일들은 소홀해지는 경향이 조금 있습니다.


옥션의 개인정보유출 사건이 발생한지, 얼마지나지도 않았죠.
옥션이야기를 꺼낸것은 그와 관련된 이야기.

그 대상은 KT 입니다.
메가패스를 이용하고 있습니다.
그런데, 인터넷이 안되서 고장신고를 했습니다.

KT 라인과 공유기가 궁합이 안 맞는지, 공유기를 리셋하니 작동하네요.(공유기는 상황봐서 A/S)
그래서 A/S 건은 그냥 별 상황없이 마무리 되었습니다.

그런데, 왜 개인정보 관리를 이야기 하느냐.
바로 이것.
사용자 삽입 이미지사용자 삽입 이미지
무엇이냐?
바로 아이디/암호를 적어주더군요.(두번째 이미지)
헉! 저 아이디는 메가패스 신인증에 필요한 아이디/암호 입니다.
그리고, KT 의 웹서비스 통합회원 아이디/암호 입니다.
그것을 A/S 기사 의 PDA 에서 확인해서, 버젓이 적어줍니다.(기사의 문제가 아닙니다. 정책적인 문제)

어떤 문제점이 있느냐?
1. KT 가 기본적으로 암호를 암호화하지 않고, 평문으로 저장한다는 것입니다.
  회원 수백,수만명의 중소사이트도 아니고, 회원 천만(?이상)넘게 관리하는 대기업이라는 것이죠.
  아마 옥션보다 더 클것으로 생각됩니다.
  메가패스 신인증 때문에 고객에게 아이디/암호를 알려줘야하는데, 매번 알려줄때마다 암호를 재설정하려면
  사용자들이 불편해 하겠죠.
  즉, 영업상의 편리성을 위해 보안성을 무시한 것입니다.(사실 이런 경우를 흔히 볼 수 있습니다.)
  그렇지만, 정책상 그렇게 해서는 안됩니다.
  암호를 재설정하게 되어 있어야 합니다. 저장된 암호는 당연히 평문이 아니라, 암호화해야 합니다.

2. A/S 기사에 의해 회원정보가 누출될 수 있다는 것입니다.
  A/S 기사의 도덕성을 전제로 위험한 줄타기를 하고 있습니다.
  얼마전에는 회원정보를 무단으로 텔레마케팅에 사용한 하나로통신이 제재를 받았죠.
  정책적으로 그런 위험성을 최소화해야 하는데, 너무 노골적으로 노출되고 있었습니다.
  관리의 편리성을 위해 A/S 기사에게 과도한 권한을 주는 경우가 많습니다.
  (예전에 LGT 의 CP 관리가 그런 허점때문에 유출되었죠. LGT 는 핑계를 대지만, 그 책음은 LGT 입니다.)

3. 또한 의도된 해킹에 노출될 위험이 너무 큽니다.
  보통 A/S 기사들이 사용하는  현장요원용 사이트가 있습니다.(http://support.kornet.net)
  그것을 현장요원(A/S기사) 전용노트북을 이용하지 않고(PDA는 가지고 다니는 듯 합니다만...)
  사용자의 PC 를 이용해서 접속해서 관리하면, 관리자 아이디/암호가 누출될 수 있죠.
  그 사용자가 의도적인 해킹툴을 자신의 PC에 설치할 수도 있고, 제3자에 의해 감염되어 있을 수도 있죠.
  아무래도 후자가 많겠죠. 그런 감염된 PC 를 사용해서 관리자 사이트에 로그인하면 유출될 가능성이 많죠.
  그 관리자 아이디유출로 인해 사용자의 정보가 누출될 수 있죠.(그 사이트의 정보열람 권한에 따라)
  그 관리자 아이디로 얻을 수 있는 정보가 별로 없길 바랍니다.

이런 KT 의 정책상의 문제로 인한 개인정보 유출 가능성을 드러내고 있습니다.
사실 해킹, 정보유출은 저런 사소해(?)보이는 부분에서 발생합니다.
제 아무리 튼튼한 보안 솔루션, 방화벽으로 막아놔도, 뒷문으로 들어오면 별 수 없는 것이거든요.

위의 이야기는 어쩌면 지역적으로 다르게 관리되었을 수도 있습니다.
즉, 다른 지역은 그렇게 관리하지 않을 수도 있습니다.(암호 재설정등, 전용 노트북을 가지고 다니거나..)
혹시 KT, 메가패스 등을 이용한다면, 고장신고를 해보시기 바랍니다.
메가패스 이용한다면, 신인증을 위한 아이디/암호를 적어줄 것입니다.
암호를 잊었다고 알려달라고 해보십시오.(암호를 재설정 해주는지, 그대로 암호를 알려주는지)

지역의 차이로 인한 문제가 아니라, 전국적인 문제라면 정말 심각하죠.
(물론 지역적인 문제라고 해도 문제입니다.)

예전에는 그렇지 않았는데, 메가패스 신인증 시스템을 도입하면서 새롭게 정책이 변했을 수도 있습니다.
신인증 시스템 시작한지 꽤 오래된 것으로 알고 있는데 그동안 대처하지 않은 것도 책임을 피할 수 없죠
어떤 이유가 있건 현재의 문제점은 명확합니다.

KT 는 공유기 체크 같은 돈벌이에만 궁리하지말고, 사용자들에게 안전한 서비스를 제공하는데 신경써주시기 바랍니다.
쇠고기등 먹거리만 안전을 따지는 것이 아닙니다.  개인정보관리도 안전을 요하는 부분인 것입니다.

한국은 안전불감증이라는 병이 모든 부분에 걸쳐 광범위하게 퍼져 있는 듯 합니다.


ps. KT 의 서비스를 이용하면서 저와 같은 경험을 가진 분의 경험을 공유해주세요.
 혹시 없다고 해도 메가패스를 이용하신다면, 고장신고(A/S)를 해보시기 바랍니다.

신고
당신만이 가지고 있는 컨텐츠(지식)를 다른이와 나누세요. 그것이 블로그를 하는 재미라 생각합니다.

댓글을 달아 주세요

  1. kt기사  댓글주소  수정/삭제  댓글쓰기

    예전엔 아이디비번 적어주기도했는데 신인증되면서 기사pda로 조회 안됩니다. 고객님이 직접 100센타에서 알아야하고 그것도 고객님 헨폰으로 비번 바뀌어서 알려주죠 ^^
    요즘엔 개인정보 신경많이 씀니다.그리고 support.kornet.net (현장기사속도측정사이트)로 원래 고객님 컴퓨터에서 속도측정하게되있습니다.부득이한상황 (고객컴이상 속도측정오류)에서만 노트북으로 하지요 혹시라도 해킹되서 기사아이디가 유출됬더라도 그걸로 알수있는 정보는 그날 기사가한일 정도지용

    2010.10.04 09:58 신고
  2. ㅉㅉ  댓글주소  수정/삭제  댓글쓰기

    QT인증 제대로해주네 ㅋㅋ 그러고사니 잼납니까? ㅋㅋ 한심하긴..

    2011.06.13 17:52 신고

일상로그 - DayLog
태미's 일상
by 태미(taemy)

카테고리

분류 전체보기 (937)
일상 (733)
음악 (11)
영화 (36)
서비스,개발 (83)
열대어 (35)
건강,민간요법 (1)
안전교육 (1)
잡담 (28)
포스팅꺼리 (0)

달력

«   2017/11   »
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    

티스토리 툴바