Wednesday, July 27, 2016

인터파크 해킹 사건, 그런데 아직도 정신을 차린 걸로 보이지 않는 이유

항상 느끼는 것이지만, 국내 웹 IT 환경은 뭔가 외국의 메인 스트림의 그것과 다르다. 다른 게, 국내 사이트마다 제각각인 게 아니라, 국내 사이트들끼리 서로서로 베낀 것처럼, 같은 방식으로 다르다. 마치 한 명의 한국인 마스터마인드가 있고 다른 한국인 엔지니어들이 그 사람으로부터 배워서 따라하는 게 아닌가 하는 생각이 들 정도이다.

Gmail을 보다가 심심해서 스팸 디렉터리를 클릭해 보았다. 목록에 보낸이 [인터파크] 제목 [개인정보 침해 사고 관련 안내드립니다.]라는 항목이 있었다. Gmail은 목록에서 본문의 앞 부분을 보여 주기 때문에 본문이 좀 보여야 하는데 제목만 있었다. 뭔가 싶어 열어 보았다. 외국의 대부분의 메일 서비스들은 보안을 위해 메일 본문에 들어가 있는 외부 이미지를 막는다. 이 메일은 달랑 외부 이미지 하나로만 구성되어서, 본문이 텅 비어 아무 것도 보이지 않았다. 스팸이 이런 짓거리를 많이 하는데, 아마 그래서 Gmail 필터가 스팸으로 분류한 게 아닌가 한다.

이미지 표시 버튼을 누르면 표시가 되는데, 스팸일 경우를 대비해, 실제 인터파크 해킹 사고가 있었나 구글을 검색해 보니 정말 있었다. 그래서 이미지를 표시 버튼을 눌러 보았다.

뭐 단순한 것이었다. 그냥 큰 제목으로 유출 안내 드린다고 적혀 있고, 플레인 텍스트로 몇 문단의 설명이 있었으며, 아래에는 유출 여부 조회한다는 큰 텍스트 버튼이 있었다. 이 정도면 텍스트로 해도 충분히 가능한 것인데, 액세서빌리티 무시하고, 보안도 무시하고, 본문을 통짜로 이미지로 만들어 외부 링크로 넣어 보냈다. 물론 보낸이를 증명할 수 있는 디지털 서명된 메일도 아니다.

본문 내용은 변명으로  보였다. 멍청한 직원 한 명의 실수로 악성 코드 첨부 파일을 실행해 개인 정보가 유출되었으면 그냥 그 사실을 전달할 것이지, "인터파크는 .. 개인정보관리체계 인증을 획득한 바 있고, 개인 정보 보호 및 보안에 많은 노력을 기울여 왔는데도..." 해킹을 당했다고 변명조로 설명하고 있었다. 개인정보관리체계 인증도 별 거 아닌 게 분명하군, 직원 한 명만 속이면 1000만 건이 뚫리는 시스템인데.

자, 그러면 이 메일의 핵심 문제는 뭔가... 개인정보 유출 조회 버튼이다. 누르면 HTTPS도 아니고 HTTP인 사이트로 연결되며, 유출 상태를 확인하기 위해 인터파크 ID/비밀 번호를 입력하라고 한다. 초대형 쇼핑몰 사이트이고, 아마 수 백 억 원 돈을 벌고 있을 텐데, 로그인하는 페이지에 몇 십 만 원 밖에 안 하는 EV 인증서도 못 다나? 해커들이 이런 식으로 메일을 보내 인터파크 계정 털기에 딱 좋다. 메일 주소를 admin@interpark.com으로 적어 보내는 것은 식은 죽 먹기이며 (실제 우편을 보낼 때 보내는 사람 주소를 아무렇게나 적을 수 있는 것과 똑같다), 본문에 버튼 추가해서, 인터파크 로그인 페이지처럼 생긴 사이트 만들어 주소는 대강 interparrk.com 뭐 이렇게 해 두면, 분명히 속아 넘어 가서 자신의 인터파크 ID/비밀 번호 넣는 사람이 나올 거다. 한국 대기업들이 전부 이런 식으로 메일을 보내니 사용자들이 이런 것에 익숙해져서 별 의심 없이 그렇게 행동하는 습관이 조장되는 것인데, 피해자가 나오면 사용자의 탓으로 돌리겠지.

요약하자면 인터파크 메일의 문제는

  • 본문을 통짜 이미지로 만들어 외부 링크로 넣어 보냄 (액세서빌리티 무시. 스팸으로 오인될 확률 증가. 많은 국내 대기업들도 똑같은 짓거리를 함).
  • 본문에 쓸데 없는 변명.
  • 본문에 사이트 로그인하는 버튼을 추가해 보냄 (피싱에 아주 좋음)
  • 버튼을 눌러 열린 로그인 페이지가 HTTP임 (피싱에 좋음)

외국 사이트들은 안 그런데, 정말 한국 사이트들은 왜 이럴까? 언제 쯤 빌어 먹을 ActiveX 보안 메일이 사라질까?


No comments: