2021-10-18 07:40 (월)
에버그린모바일, 심각한 로그인 취약점...개인정보 대량 유출 위험
상태바
에버그린모바일, 심각한 로그인 취약점...개인정보 대량 유출 위험
  • 길민권
  • 승인 2014.03.17 04:55
이 기사를 공유합니다

“아이디만 알면 로그인 가능...계정정보 및 개인정보 위험한 상황”
지난 3월 6일, 인천경찰청 광역수사대는 KT 홈페이지를 해킹해 개인정보를 빼낸 뒤, 휴대전화 개통·판매 영업에 사용한 혐의로 김모(29)씨와 정모(38)씨 등 2명을 구속했다. 이때 해킹사건으로 에버그린모바일 개인정보도 함께 유출된 것이 확인된 바 있다.

 
에버그린모바일은 홈페이지에 사과 공지를 올리고 “에버그린모바일은 알뜰폰 사업자로서 KT에 개인정보 취급업무를 위탁하고 있으며 KT에서는 이번 사건과 관련해 개인정보가 더 이상 유통되거나 악용되지 않도록 관련 부처와 협력해 최우선 조치를 하고 있다”고 공지했다.
 
하지만 최근 유명 커뮤니티 ‘뽐뿌’를 비롯한 여러 커뮤니티에서 에버그린모바일 사이트에서 “가입 아이디만 알면 비밀번호를 몰라도 로그인이 가능하다. 비밀번호를 아무거나 입력해도 그냥 로그인이 된다. 로그인 시스템에 취약점이 있는 것이 확실하다. 에버그린 가입자는 탈퇴하길 바란다”고 게시글들이 올라왔다.

또 “에버그린 홈페이지에 가입한 사용자들에게 해당되는 내용으로 아이디만 알면 어떠한 방법(악용의 소지가 있어 공개하지 않음)을 이용해 비밀번호 없이 로그인이 가능하고 개인정보가 쉽게 유출될 수 있으니 탈퇴하기 바란다”고 구체적으로 게시하고 있다.
(-관련 게시글: www.ppomppu.co.kr/zboard/view.php?id=phone&no=2441323)
 
더불어 한 사용자는 이 사실을 알고 홈페이지를 탈퇴하려고 로그인 하던 도중 자신의 비밀번호와 이메일 조소까지 변경돼 탈퇴를 못하고 있다며 누군가 이 취약점을 악용하고 있는 것 같다고 주의를 당부하기도 했다.
 
또 다른 사용자는 게시글 댓글에 이렇게 게시하고 있다. “이 문제가 심각한 이유는 보통 로그인시 아이디와 비번이 맞아야 하는데, 현재 에버그린모바일의 경우 아이디만 알아도 로그인이 가능하기 때문에 임의로 아이디를 수집하거나 생성시켜 무차별로 대입해 로그인시도하는 것도 가능하다는 의미가 된다”며 “그리고 XXXX님 글 외에도 방금전 다른 곳에서 올라온 글을 보니 더 심각한 문제가 대두되었다. 오늘(3월 16일) 아침까지만 해도 틀린 비밀번호를 일단 입력해야 되는 것으로 알고 있었는데, 아예 비밀번호를 입력 하지 않아도 로그인할 수 있는 방법이 있다”고 밝히고 있다.

특히 많은 인터넷 이용자들이 하나의 아이디와 비밀번호로 여러 사이트를 가입하기 때문에 다른 사이트 계정도 위험할 수 있다는 의견도 있었다.
 
에버그린 홈페이지 관리자는 신속히 해당 사실을 확인하고 문제가 있다면 보안조치를 해야 개인정보 유출을 막을 수 있을 것이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com