상당수 P2P 사이트, 아이디와 패스워드 암호화되지 않아
패킷 분석 프로그램을 특정 기능을 이용해 로그인을 할 때 컴퓨터에서 서버로 전송되는 패킷을 분석해 보면 로그인 할 때 입력했던 아이디와 패스워드가 암호화되지 않은 채 그대로 드러나는 취약점이 국내 상당수 파일공유 사이트들에서 발견됐다.이용자가 많은 P2P 사이트들을 대상으로 로그인 보안 취약점에 대해 테스트를 해 본 결과, 거의 대부분의 사이트에서 발견되었다.
해당 취약점을 데일리시큐에 제보한 방준식(야탑고등학교) 학생은 “이 취약점은 로그인 정보를 서버로 전송할 때 암호화를 하지 않아서 발생한다”며 “암호화를 하지 않으면 간단한 패킷 분석 프로그램으로도 회원들의 개인정보가 노출될 수 있어 위험하다”고 경고했다.
취약점 분석 과정은 패킷 분석을 시작한 뒤, 로그인을 시도하고 이때 입력한 패스워드를 분석기필터를 통해 검색하는 과정으로 진행되었다. 그 결과 암호화를 하지 않아 로그인 정보가 그대로 드러나는 사이트의 경우 대부분 아이디와 패스워드를 알아낼 수 있다.
.
제보자는 “로그인 정보를 암호화하기 위하여 SSL을 사용하면 된다. 또한 이용자도 PC방, 개방된 와이파이 등과 같이 여러 사람이 함께 사용하는 네트워크에서는 보안이 확실하지 않은 사이트에 함부로 로그인하지 않는 등의 주의가 필요하다”고 강조했다.
한편 조사 결과, P2P 사이트 중에서 보안접속 표시가 있는 사이트도 존재했지만 여전히 아이디와패스워드가 그대로 드러나는 사이트도 있는 것으로 확인됐다. 즉 무늬만 보안접속이지 실제로는 암호화를 하지 않은 것으로 드러났다.
P2P 사이트는 포인트 제도가 있어서 계정 정보 유출뿐만 아니라 금전적인 피해까지 발생할 수 있어 대부분의 P2P 사이트들의 SSL 구축이 요구되는 상황이다.
'정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따르면, 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송수신할 때에는 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지