울지않는벌새 : Security, Movie & Society

KBS 콩 플레이어 삭제 문제로 인한 계정 정보 노출 문제 (2015.4.24)

벌새::Security

KBS 방송국에서 제공하는 라디오 방송을 PC에서 감상할 수 있도록 KBS 콩 플레이어를 제공하고 있으며, 서비스 이용을 위해서는 KBS 회원 가입을 통한 로그인을 해야합니다.(※ 웹 또는 모바일 방식으로 무료 시청도 가능합니다.)  

그런데 KBS 콩 플레이어를 설치하는 과정에서 특정 권한으로 설치한 경우 "KBS Kong v3" 프로그램 삭제시 다음과 같은 메시지를 경험할 수 있습니다.

\SOFTWARE\miniKBS을(를) 삭제할 수 없습니다. 그 키에 대한 액세스 권한이 있는지 확인하거나, 소속된 부서의 기술 지원 담당자에게 문의하십시오.

위와 같은 메시지가 생성되어 "HKEY_LOCAL_MACHINE\SOFTWARE\miniKBS" 레지스트리 값을 삭제하지 못한 상태로 "무시" 버튼을 클릭할 경우 설치된 KBS 콩 플레이어 삭제가 진행됩니다.

문제는 프로그램 삭제시 제거되지 않은 "HKEY_LOCAL_MACHINE\SOFTWARE\miniKBS" 레지스트리 값에는 KBS 콩 서비스 이용시 사용된 KBS 회원 정보(아이디(ID), 암호화된 비밀번호)가 노출되고 있습니다.(※ 요즘 시대에 레지스트리 값에 계정 정보를 저장하는 프로그램이 있었군요. 헉)

 

이런 문제로 인하여 비록 비밀번호가 암호화 되어 있어도 저장된 키 값을 이용하여 다른 PC 환경에서도 로그인이 가능할 수 있습니다.

 

그러므로 공용 PC에서 KBS 콩 플레이어를 설치하여 사용할 경우에는 프로그램 삭제 후 반드시 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\miniKBS" 레지스트리 값이 삭제되어 있는지 점검하여 존재할 경우 삭제하시기 바랍니다.