울지않는벌새 : Security, Movie & Society

Google Chrome 웹 브라우저의 11번가 회원 정보 비밀번호 검증 문제 (2011.8.3)

벌새::Security
국내 인터넷 쇼핑몰 11번가 사이트에서 1차적으로 회원 로그인을 정상적으로 한 후, 회원 정보 수정을 위하여 비밀번호를 재입력시 구글 크롬(Google Chrome) 웹 브라우저에서 비밀번호 검증을 정상적으로 하지 않는 문제를 발견하였습니다.

해당 문제는 블로그를 방문하신 어느 분의 이메일 제보로 확인을 한 내용임을 밝히며, 추가적으로 국내 인터넷 사용자들이 이용하는 타 웹 브라우저도 모두 점검해 보았습니다.

테스트 조건은 11번가 로그인을 정상적으로 한 상태에서, 회원 정보 버튼 클릭을 통해 회원 정보란에 접근시 비밀번호를 재입력하는 단계에서의 문제입니다.

그러므로 해당 문제는 11번가 비밀번호 검증 자체의 문제는 아니며, 회원 아이디(ID)와 비밀번호를 알고 있다는 전제 조건이 반드시 필요합니다.

1. Internet Explorer 9

Internet Explorer 9 웹 브라우저에서 비밀번호를 입력시 잘못된 비밀번호를 입력할 경우에는 비밀번호가 일치하지 않는다는 메시지를 생성합니다.

2. Google Chrome 13.0.782.107

구글 크롬(Google Chrome) 13 정식 버전을 이용하여 잘못된 비밀번호를 입력하고 확인 버튼을 클릭해 보았습니다.

잘못된 비밀번호임에도 불구하고 정상적으로 해당 회원 정보란으로 접근이 가능한 문제를 발견할 수 있습니다.

3. Mozilla Firefox 5.0.1

모질라 파이어폭스(Mozilla Firefox) 웹 브라우저를 이용하여 잘못된 비밀번호를 입력시 Internet Explorer 웹 브라우저와 동일하게 접근이 불가능한 것을 확인할 수 있습니다.

4. Opera 11.5

오페라(Opera) 웹 브라우저를 이용하여 잘못된 비밀번호를 입력시 마찬가지로 접근이 불가능한 것을 확인할 수 있습니다.

현재 외부에 알려진 정보에 따르면 Google Chrome 이외에 Chrome Plus 제품에서도 동일한 비밀번호 검증이 되지 않는 문제로 인하여 잘못된 비밀번호로 회원 정보에 접근할 수 있는 문제가 있다고 하므로 업체에서는 수정이 필요합니다.

또한 Google Chrome 웹 브라우저를 이용하여 11번가 접속을 통한 이용시 스크롤바가 제대로 이동되지 않는 등의 호환성에 문제가 있는 것으로 보이므로 점검을 해야 할 것으로 생각됩니다.