2013. 5. 27. 12:59

국내 소프트웨어(SW) 기술자 이력과 경력이 등록된 사이트에서 개인정보가 허술하게 취급되고 있는 것으로 확인됐다. 이 사이트는 SW 업계를 대표하는 한국소프트웨어산업협회가 관리하고 있는 곳이다.

소프트웨어 기술자 경력 관리 사이트에서 입력한 ID, 비밀번호가 암호화되지 않아 제3자가 쉽게 엿볼 수 있다.<소프트웨어 기술자 경력 관리 사이트에서 입력한 ID, 비밀번호가 암호화되지 않아 제3자가 쉽게 엿볼 수 있다.>

정보화사회실천연합(이하 정실련)은 한국소프트웨어산업협회가 운영 중인 `소프트웨어기술자경력관리` 사이트를 분석한 결과 회원 가입이나 회원 정보 변경, 조회, 출력 등의 과정에서 개인정보 유출 가능성이 높은 것으로 나타났다고 26일 밝혔다.

정실련에 따르면 회원 가입 시 필수 입력하는 주민번호가 암호화되지 않은 채 송수신되고 있었다. 또 로그인 후 접속하는 회원정보 변경 시에는 아이디와 비밀번호가 암호화되지 않았다.

본지가 다른 보안 전문가와 함께 한 분석에서도 아이디·패스워드·주민번호는 물론이고 이메일·전화번호 등도 암호화되지 않는 것으로 확인됐다. 대부분의 개인정보가 암호화에서 제외된 셈이다.

암호화는 제3자로부터 개인정보를 보호하는 데 중요한 역할을 한다. 데이터가 암호화돼 있지 않으면 `스니핑(네트워크 상의 데이터를 훔쳐보는 행위)`에 의해 ID·비밀번호 등이 바로바로 노출되기 때문이다.

보안 업체 관계자는 “PC방과 같이 동일 네트워크 상에서는 패킷(데이터) 분석 프로그램만으로 개인정보를 확인할 수 있다”며 “스니핑은 빈번한 해킹 기법이기 때문에 패킷 암호화가 필요하다”고 말했다. 아이디와 비밀번호를 손에 넣으면 경력관리 사이트에 정상 로그인 해 학력, 경력, 근무지 등을 모두 들여다 볼 수 있게 된다.

정실련은 소프트웨어산업협회가 기본적인 보안 원칙도 지키지 않고 있다고 지적했다. 정실련 관계자는 “SW 기술자의 신상정보가 언제라도 유출될 수 있는 상황”이라며 “보안에 대해 누구보다 잘 알고 있는 단체가 개인정보법
을 어기고 있다”고 강조했다.

소프트웨어산업협회는 취재가 시작되자 보안 점검에 나섰다. 협회 측은 “PC에서 경력관리서버로 데이터를 송수신하는 도중 일부 페이지에서 개인정보가 유출될 수 있다는 사실을 확인했다”면서 “해당 취약점에 대해 조치하고 혹시 모를 다른 보안 문제에 대해서도 점검하겠다”고 밝혔다.


출처:etnews.com , 윤건일 기자님

개발의 마지막끝인 보안 문제...저모습은 와이어 샤크 패킷분석을 통한 id/pw 해킹이네여...보안문제는 끝없이 생각하고 보안해야 될 숙제 네요 허허..



Posted by 광스

댓글을 달아 주세요