울지않는벌새 : Security, Movie & Society

Google Chrome을 이용한 네이버 로그인 보안 문제점

벌새::Security
국내 포털 사이트 네이버(Naver) 서비스를 이용하기 위해 로그인을 하는 위치는 메인 화면을 비롯한 각 서비스별로 위치가 다양하게 분포되어 있습니다.

우리나라 인터넷 환경이 Internet Explorer에 최적화 되어 있는 관계로 인해 해당 사이트에서 제공하는 서비스가 웹 브라우저가 무엇이냐에 따라 다르게 동작한다는 점에서 웹표준을 준수하지 못하는 점은 매우 안타깝습니다.

먼저, 네이버 서비스에 대한 문제를 언급하기 이전에 국내 최대 사용자층을 보유한 네이트온(NateOn) 메신저에서 쉽게 확인할 수 있는 부분이 하나가 있습니다.


네이트온 메신저 환경 설정에서 기본 브라우저 설정을 기본값 [IE를 기본 브라우저로 설정]에서 [윈도우 기본 브라우저로 설정]을 선택한 경우 다음과 같은 경고 메시지를 확인할 수 있습니다.


내용인 즉, Internet Explorer에 최적화된 상태로 개발되어 타 웹 브라우저를 사용할 경우 보안상 문제가 발생할 수 있다는 내용을 통해 쉽게 국내 인터넷 환경을 엿볼 수 있습니다.

다시 네이버 서비스로 돌아와 최근 구글 크롬(Google Chrome) 웹 브라우저를 통해 인터넷을 사용하던 중 네이버에서 제공하는 로그인 보안의 일관성 없는 정책이 있는 점을 확인하였습니다.

네이버 로그인 보안은 3단계로 구성되어 있으며, 보안 3단계에서는 ActiveX 설치를 통한 방식으로 로그인이 이루어지므로 ActiveX를 지원하지 않는 웹 브라우저는 사용할 수 없는 것으로 알고 있습니다.


그런데, Google Chrome 웹 브라우저를 통해 네이버 카페에서 로그인을 시도할 경우(카페 가입 회원만 볼 수 있는 게시물 클릭시) 다음과 같이 2단계 로그인에서도 해당 웹 브라우저를 지원하지 않는 관계로 로그인을 할 수 없도록 구성된 것을 확인할 수 있습니다.


하지만 네이버 지식인 서비스에서 제공하는 로그인 창에서는 단계별로 확인해 본 결과 2단계에서도 Google Chrome 웹 브라우저를 통해 정상적으로 로그인이 가능한 상태임을 확인할 수 있습니다.

다른 서비스(메인 화면, 이메일 등)에서 제공하는 로그인시 적용 단계는 추가적으로 확인해 보지 않았지만, 이처럼 로그인 위치에 따라 다르게 적용되는 로그인 보안은 정말 제대로 동작을 하고 있는지 의문이 듭니다.

이왕 타 웹 브라우저를 제대로 지원하지 못하는 수준이라면 최소한 통일성 있는 로그인 단계를 제시하거나 또는 타 웹 브라우저를 위한 추가적인 로그인 보안 환경을 구성해 주는 것이 국내 최대 사이트의 책임이 아닐까 싶습니다.