비밀번호 바꾸라고 매번 물어보면 뭐하나? XSS 해킹은 버젓이 동작하는데... 블록

이글루스도 그렇고 다나와 같은 포탈도 그렇고 보면 로그인 할 때 매번 귀찮게 비밀번호를 바꾸라고 나오는 걸 잘 아실 겁니다. 문제는 그 사이트에서만 사용하는 복잡한 비밀번호 조차도 자꾸 바꾸라고 나와서 사람을 귀찮게 만들고 마땅히 바꿔 사용할 비밀번호 조합이 생각나지 않으면서 고민이 될 때가 한두번이 아니란 점입니다. 그래서 필자 같은 경우는 이런 때를 대비해서 진작에 비밀번호를 바꿔 사용하는 규칙을 만들었는데 문제는 최근에 포탈 사이트들에서 비밀번호를 만드는 규칙이 특수문자나 숫자를 요구하는 경우도 있어서 비밀번호를 만들기가 더욱 까다로와졌다는 점입니다.

그래서 최근에 전 또하나의 방법론을 만들었는데 이 방법론이 무엇인지는 보안상 밝힐 수는 없지만 네티즌 여러분들도 조금만 고민해보면 쉽게 만들어 사용할 수 있습니다.

근데 필자가 오늘 말하려고 하는 진짜 중요한 문제는 그게 아닙니다. 포탈에선 이렇게 보안상 이유로 불편하게 이용자들로 하여금 비밀번호를 바꿔 사용하라고 운영 편의주의적인 행태를 보이고 있지만 정작 해킹은 이런 비밀번호 해킹 때문에 발생하는 게 아니라는 점입니다. 즉 사용자가 웹사이트의 특정 페이지를 열어볼 때 세션정보가 들어있는 쿠키가 빼돌려지고 해커가 그걸 이용 아주 쉽게 특정 사용자의 로그인 권한을 취득할 수 있다는 점입니다.

이건 제가 며칠전 제 계정을 이용해 해킹 테스트를 하면서 명백히 알게 된 사실인데요 아주 쉽게 제 로그인 권한이 탈취됩니다. 이건 IT 개발직에 종사하는 내공있는 분들이라면 잘 알고 있는 사실이겠지만요 결국은 보안 취약점이 이런 복잡한 비밀번호의 취약성에 있는 게 아니라 웹(Web) 기술이 생겨나면서부터 원천적으로 내재될 수밖에 없었던 보안 취약성에 있었던 것입니다.

하루빨리 각종 웹사이트 개발자 분들은 이같은 문제점을 바로 인식하시어 비밀번호 바꾸기 등 사용자 불편에 매달리지 말고 웹사이트 보안에 있어 진짜 중요한 문제인 세션 탈취 취약점 문제를 보완해 주실것을 당부드립니다.

더욱이나 문제는 이 세션 탈취에 대한 근본적인 대비책이 없다는 데에 문제의 심각성이 있습니다. 방송에서도 들어보셨지만 메일을 열기만 해도(or 특정 사이트를 열기만 해도) 해킹을 당할 수 있다는 말은 이 보안 취약점에 근거한 보도인데요 우리 개발자들이 비밀번호 바꾸기 등 엉뚱한 부분에 너무나 집착을 하는 나머지 정작 이렇게 매우 중대한 보안 이슈엔 둔감해진 것 아니냐는 우려가 드는 대목입니다. 물론 비밀번호는 길수록 암호화를 풀기가 어렵기 때문에 보안상 좋은 것은 사실입니다. 하지만 이것은 암호화된 비밀번호가 해킹됐을 때의 상황이고 설사 암호화 비번이 유출이 됐다고 하더라도 8자리 이상의 비밀번호는 아무리 슈퍼컴을 동원하더라도 암호화된 텍스트를 풀어서 복호화하기가 쉽지 않다는 것이죠.

이젠 해킹에 관해 제대로 대비하기 위해서 개발자들 뿐만 아니라 이용자들도 어느 정도 이런 해킹 원리를 이해할 필요가 있다고 봅니다. 이번 포스트는 그런 취지로 쓰여졌습니다. 감사합니다.

덧글

  • PFN 2014/06/09 21:46 # 답글

    10년도 넘은 제로보드 쓰니 그런거에 털리지
  • 희망의빛™ 2014/06/09 22:09 #

    일반 포탈들은 그런 취약점이 존재하지 않나요? 악의적인 목적을 가진다면 얼마든지 탈취 가능하다고 알고 있는데요... 그래서 제 제로보드 수정 증보판도 그런 미비점을 보완 개선한 거구요.
  • 제로보드는 2014/06/09 22:38 # 삭제

    완벽하지만 xp 이후의 os는 쓰레깁니다.
    하지만 난 xp조차도 안사죠
    ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
    그저 웃지요
  • 저기요 2014/06/09 22:39 # 삭제 답글

    그렇게 머리 좋으면 보안 강연이나 열어서 보안 담당자들 데려다 강의하시던가 ㅋㅋㅋ
    맨날 입이나 키보드는 다들 만렙에 금두꺼비들인데 ㅋㅋㅋㅋㅋ
  • 래칫 2014/06/09 23:18 # 답글

    안랩이랑 이스트소프트에선 뭐한답니까?
    이분 스카웃 안하고
  • 다져써스피릿 2014/06/09 23:42 # 답글

    일단 XP를 그만 쓰세요. 올 나간 스타킹보다 구멍이 많은게 XP 보안이에요.
    비유를 해보자면, 다른 사용자도 그렇고 악성코드 만드는 넘들도 그렇고 다들 철로 만든 창과 방패를 갖고 노는데
    혼자서 석기시대 나무방패 들고서 "이거 보안성이 꽝이네요" 하는거랑 다를바 없어요.
  • k 2014/06/09 23:46 # 삭제 답글

    Xp쓰면서 보안을 떠들다니
  • 발로 한다 2014/06/09 23:57 # 답글

    여기 엑스피와 제로보드를 쓰면서 보안을 논하는 사람이 있다길래 와봤습니다.
  • 아 진짜 2014/06/10 00:12 # 삭제 답글

    솔직히 자기 블로그에 무식하건 뭐하건 멋대로 떠드는거야 블로그 주인 마음인데 말입니다.

    상식도 개념도 없이 피해망상이나 음모론에 빠져서 혼자 허송세월 하는 것도 인생은 지맘이니 맘대로 해도 되는 거니까 남이 오지랖 떨 일도 아니고 말입니다.

    그런데 그런 무지와 편견과 현실감각 없는 고집으로 남들 컴퓨터 만들어주고 고쳐준답시고 XP에 크랙 넣어 깔아주고 목에 힘주며 고맙다는 소리 듣거나

    수고비씩이나 받거나 말도 안되는 보안 어쩌고 주장하면서 남들에게 잘못된 지식을 설파하는 거 그건요 범죄라구요 범죄.

    혼자 인생 망치는 건 상관없지만 남들한테 민폐끼치지 마시라고.

    그래놓고 진보적 어쩌고 소리하면 진짜 민폐넘어서 매국에 반민주라고 알아요 엉?
  • 디트 2014/06/10 00:28 # 답글

    XP랑 제로보드 같은 거 안 쓰는 제정신 박힌 웹 개발자라면 XSS 해킹은 기본적으로 대비해요 답 없는 분앜ㅋㅋㅋㅋㅋㅋㅋ
  • 총통 R 레이퍼 2014/06/10 00:31 # 답글

    그런 불법 프로그램을 막고 방어해주는 기능을 하는게 백신이고
    쿠키 빼돌리는 프로그램이 몰래 숨어들어오면 잡아주는게 백신인데 쥔장은 백신이 해킹툴 잡으면 '내 권한 침해'라며?
    그리고 쿠키 빼돌리는게 그렇게 쉬우면 함 해보시던가...

    그리고 XSS 대비는 웹 개발자 기본 아닌가?
  • ㅇㅇ 2014/06/10 00:30 # 삭제 답글

    윈도XP 정품인증툴 팝니다. 알약도 팔아요
  • 다져써스피릿 2014/06/10 00:34 #

    팝콘은 안 파나요?
  • 총통 R 레이퍼 2014/06/10 00:36 #

    콜라도 팔아주세요.
  • qwerty 2014/06/10 01:40 # 삭제 답글

    인신공격성 댓글이 너무 많네요
    주인장분은 거의 보살이신듯
  • WeissBlut 2014/06/10 03:31 #

    ????
    이 사람이 그동안 뭔짓했는지 모르면 그냥 가만히 계세요
  • add 2014/06/10 06:27 # 삭제

    로각좁.
    뒷글 두개만 읽어도 이런소리 안나옴
  • PFN 2014/06/10 09:33 #

    쉴드치고싶으면 로긴해서 쉴드쳐봐
  • qwerty 2014/06/10 10:25 # 삭제

    표현이 인신공격에 가까울 정도로 공격적적이라는 거죠
    이런 걸 일일히 설명해야 하나 에휴
  • WeissBlut 2014/06/10 10:32 #

    ?? 지금 여기 희빛씨 개인의 인격을 공격하는 사람은 하나도 안보이는데요. 희빛씨가 그동안 해온 언동의 문제를 짚는거지.
  • ㅁㄴㅇㄹ 2014/06/10 11:06 # 삭제

    인신공격이 뭐가 있는지 지적좀 해주셈. 전글 전전글 해서 IT밸에 어그로 잔뜩 싸지른건 새글 쌀때마다 초기화돼서 존중해줘야 하는듯. ㅋㅋㅋㅋㅋㅋㅋㅋ
  • 희망의빛™ 2014/06/10 13:07 #

    보살? ㅋㅋ 고맙습니다 qwerty 님. 다른 분들도 아마 다 그렇게 생각할 거라고 봅니다. 보살은 아니더라도 이곳 분위기...
  • 달세뇨 2014/06/10 13:37 #

    다른 댓글 싹 다 씹고 본인 옹호글에만 답하시면서 자위하시는 모습이 안타깝네요
  • 센프 2014/06/10 14:00 #

    인신 공격의 정의부터 다시 아셔야 겠네요.
  • 손님 2014/06/10 02:14 # 삭제 답글

    다른 분께서 밸리에 글을 올려 주셨지만, 귀찮은 건 알겠는데 그렇다고 비번 바꾸기 뜬다고 이런 글을 쓰는 건 좀 아니지 않나요......
  • 샛별 2014/06/10 11:06 # 답글

    님 글쓴거 두번째문단의
    '그래서 최근에 전 또하나의 방법론을 만들었는데 이 방법론이 무엇인지는 보안상 밝힐 수는 없지만 네티즌 여러분들도 조금만 고민해보면 쉽게 만들어 사용할 수 있습니다.'

    이거랑

    안철수가 간볼때 쓰는말이랑 차이가 뭔가요?
  • 달세뇨 2014/06/10 13:30 # 답글

    대체 어떤 포털에XSS 취약점이 존재한다는 겁니까?
  • 달세뇨 2014/06/10 13:32 # 답글

    그렇게 치면 100%안전한 웹사이트는 없으니까 그냥 비밀번호 1234로 해놓고 사세요
  • しズく 2014/06/10 13:32 # 답글

    자기만이 절대적인 정의이고 자기가 쓴 글만 숭고한 논문이신 쇼카쿠는 숨었다가 뭐하냐 이런 글 안찾아내고.
  • 센프 2014/06/10 14:04 # 답글

    이분 최소 스티브 잡스.
  • 나인테일 2014/06/10 15:30 # 답글

    http://www.xpressengine.com/index.php?mid=download&package_id=18325662&detail=release

    패치가 이렇게 자주 나오는 신버전을 쓰시라고 해도 보안 타령을 하시니 할 말이 업ㅂ음....
  • 아이비스 2014/06/10 18:20 # 답글

    이젠 남기시는 글마다 성지가 되는군요. -_-;; 허허......
  • 윤소정 2014/06/11 09:28 # 답글

    요약 : 매번 비번 바꾸라고 하는데 바꾸기 귀찮고 그렇다고 그냥 그렇게 쓰면 안될 것 같으니 어차피 바꿔봤자 XSS 해킹으로 털린다는 핑계를 대겠습니다.

    1. 그렇게 보안 강조하시는 분께서 10년 이상 사용되어 털릴대로 털린 XP는 왜 계속, 그것도 인증크랙을 써가면서 사용하고 있으며,
    2. 또 그렇게 보안 강조하시는 분께서 이미 관뚜껑 열고 지구 내핵까지 파묻힌 제로보드 4는 왜 계속 죽은자식 고추 붙잡는 것 마냥 붙잡고 계시는지,
    3. 그리고 그 제로보드4 수정증보판(풉) 이라는 건 보안성을 얼마나 완벽하게 담보하고 계시길래 이미 한참전에 나와 계속해서 발전해가는 신버전 쓰지 말고 ZB4를 쓰라는건지,

    몇 번이나 다들 물어보지만 여기에 대한 설명은 하나도 없음. 오직 근거는 자신 개인의 경험이 그러하니 너희도 따라라.

    뇌가 얼마나 청정하시길래 계속 이러고 계세요?
    아 그리고 SQL Injection이나 XSS는 이미 5년전에 유행 지난거 알고 계세요? 당신 레베루가 이따위니 다른 프로그래머도 다 그따위인줄 아심?
  • 희망의빛™ 2014/06/11 12:03 #

    그렇게 잘 아시면 제가 배포하는 소스 보시고 문제점 좀 지적해 주세요. 제가 함 수정해 보겠습니다. XSS 해킹 방지 부분이요. 일단 소스를 보고 판단을 하셔야 하는것 아니겠습니까?
  • 윤소정 2014/06/11 13:03 #

    제가 할일 없습니까, "인젝션과 XSS에 대처하고 멀쩡히 배포중인 공식 최신버전" 놔두고 뭐하러 "이미 지원 끊긴지 10년을 향해 달려가는 쓰지도 않을 당신의 ZB4"를 뜯어봐야 합니까?
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.


웹로그 검색