본문 바로가기

벌새::Security

타 서버에 저장되는 네이트닷컴 & 싸이월드 계정 정보는 안전할까?

반응형
최근에 인터넷 상에서 싸이월드 방문자 추적기를 설치해준다는 명목으로 후원(결제)을 통한 거래 방식으로 운영되는 Cy*** 서비스를 확인하게 되었습니다.

해당 서비스 소개에서는 합법적 범위 내에서 운영을 한다는 점을 강조하면서 회원 가입시 네이트닷컴 (nate.com)또는 싸이월드(CyWorld) 계정 정보로 회원 가입을 유도하고 있습니다.


서비스 공급자는 싸이월드 또는 네이트닷컴 아이디(ID), 사용자 이름, TID(?)는 자신이 수집을 하지만, 비밀번호는 암호화 처리를 하여 불법적으로 개인 정보를 이용하지 않는다고 밝히고 있습니다.

이런 내용을 토대로 추정해보면 회원 가입시 입력되는 정보는 바로 네이트닷컴 또는 싸이월드로 연결되어 계정 유효성 체크를 하는 것이 아니라 자신이 구축한 서버를 경유하여 계정 확인 절차를 거친다고 이해가 되며 이런 과정에서 서비스 공급자는 사용자가 입력한 일부 정보를 수집한다는 의미로 풀이가 됩니다.

실제 회원 가입을 위해 계정 아이디와 비밀번호를 입력해 보았습니다.

POST /?page=join_check HTTP/1.1
Accept: text/javascript, text/html, application/xml, text/xml, */*
Accept-Language: ko
x-prototype-version: 1.6.0.2
Referer: http://cy***.be/?page=join
x-requested-with: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; Maxthon 2.0)
Host: cy***.be
Content-Length: 246
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: PHPSESSID=f207ffd109727fe995f94a08d58bc36b; site_referer=(생략)

user_id=(사용자 싸이월드 ID - 평문)%40cyworld.com&passwd=&passwd_rsa=(사용자 싸이월드 Password - 암호화)&domain=&n_c=1
HTTP/1.1 200 OK
Server: apache
Date: Mon, 10 May 2010 06:59:08 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: close
P3P: CP='NOI CURa ADMa DEVa TAIa OUR DELa BUS IND PHY ONL UNI COM NAV INT DEM PRE'
X-Powered-By: PHP/5.2.9p2
P3P : CP="ALL CURa ADMa DEVa TAIa OUR BUS IND PHY ONL UNI PUR FIN COM NAV INT DEM CNT STA POL HEA PRE LOC OTC"
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
Expires: 0
 
예상대로 로그인 과정에서는 네이트닷컴 또는 싸이월드로 연결되는 것이 아닌 해당 서비스 공급자 서버를 경유하는 것을 확인할 수 있으며, 사용자 ID는 평문 처리를 통해 운영자가 쉽게 확인 가능하며 비밀번호는 공개키 기반 방식의 RSA 암호화 처리로 저장이 되는 것으로 보입니다.

해당 서비스의 이용약관에서는 다음과 같은 내용을 포함하고 있습니다.

제 5 조 (미니홈피 이용정지 제한)

 ① ㅇㅇㅇㅇ의 방문자 기록 메뉴에서 캡쳐를 해서 사진첩에 올릴 경우 SK커뮤니케이션의 싸이월드에 대하여 미니홈피 이용제한, 정지 등을 당하실 수 있습니다.
② ㅇㅇㅇㅇ의 방문자 기록 메뉴에서 캡쳐를 해서 사진첩에 올리는 경우는 본인의 의지로 인한것이므로 미니홈피 이용제한, 정지에 대한 것은 ㅇㅇㅇㅇ은 책임지지 않습니다.
③ 위와 같은 사항이 아니더라도 정지를 당할경우 SK커뮤니케이션측의 불법적인 프로그램 설치로 인한 싸이월드 정지는 책임지지 않으며 환불 또한 하지 않습니다.

앞서 해당 서비스에서 언급한 합법적 범위에서 서비스를 한다고 전제를 하면서도 실제 자신들이 공급하는 서비스가 SK Communications에 의해 확인되어 계정에 불이익이 주어졌을 때에는 책임을 지지 않는다고 명시되어 있습니다.

현재 인터넷 상에서는 해당 서비스를 이용한 판매 행위가 서비스 공급 사이트 이외에서도 발견되고 있으며, 자신의 소중한 개인정보가 담긴 ID와 비밀번호를 타인의 서버에 저장하는 행위는 아무리 암호화 처리를 하여도 과연 100% 신뢰할 수 있느냐는 문제는 남으리라 생각됩니다.

개인 소유의 싸이월드 미니홈피에 접근하는 타인의 정보를 확인하려는 인간의 은밀한 유혹을 자극하여 한 번의 호기심으로 외부에 자신의 계정 정보를 노출시키는 일은 피하시기를 권장합니다.
728x90
반응형