모바일 멜론앱 MP3에 유료 다운로드 음원을 무료로 사용할 수 있는 취약점이 발견됐다. 해당 업체의 피해가 발생할 수 있어 신속한 보안조치가 요구되는 사안이다.
 

이번 취약점을 발견하고 데일리시큐에 제보해 온 정태환(경희대 컴퓨터공학과) 제보자는 “모바일 기기에서 멜론앱으로 구매한 MP3 파일을 받아올 때 특정 주소를 거친다. 이때 사용자의 고유 ID인 UKEY와 음악의 고유 ID인 CID를 보내는데 UKEY와 사용자의 ID가 같은지 체크해 주는 시스템이 없다”며 “이 때문에 다른 사람이 구매한 음원도 구매한 사람의 UKEY를 알아내면 불법으로 MP3 파일을 가져올 수 있는 상황이다. 제보를 통해 취약점이 조치되길 바란다”고 전해왔다.
 
이에 대한 대응 방안으로 제보자는 보통 UKEY는 찾기 쉬워도 유저 아이디는 찾기 어렵기 때문에 UKEY와 UID가 같은 사용자 인지 확인해주는 체계가 필요하다고 조언했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com