엄청난 롯데아이몰의 업무제휴 -_-;;

이번에 LG 디오스 광파오븐을 주문하면서 에누리 닷컴을 이용해 최저가 조회를 했습니다. 에누리닷컴상에서는 롯데아이몰이 가장 저렴하길래 방문을 해서 주문을 하려고 들렀습니다.

롯데아이몰은 거의 이용하지 않았고 앞으로도 그럴 가능성이 없어서 비회원 주문으로 들어갔는데... 이런저런 회원혜택이 다 포함되어야 최저가로 구입이 가능하더군요.

그래서 회원가입하고 주문을 한 후에 탈퇴해야지 하는 생각으로 회원가입 메뉴로 들어갔습니다.

얼마전에 있었던 수많은 개인정보도용/누출/회사 관계자의 고객정보 판매 등의 사건으로 인해서 최근에는 가능하면 약간을 꼼꼼히 읽어보는 중이라 롯데아이몰의 약관도 조금 자세히 읽어봤습니다. 예전같으면 다음->다음->다음 ... 해서 id/pass 넣고 개인정보 넣고 회원가입 끝! 했겠죠.

가입을 위해서 업무제휴 어쩌구를 동의하라고 해서 내용을 좀 읽어보았는데, 순간 내가 지금 롯데아이몰이라는 쇼핑몰에 가입을 하는건지 무슨 토탈금융서비스나 프라이빗 뱅킹에 가입하는 게 아닌가 하는 착각을 잠시 했습니다.

아래 내용은 롯데아이몰의 회원가입을 진행하는 경우 처음 보게 되는 업무제휴 관련 내용인데요, 전 이것만 읽고 곧바로 롯데아이몰 웹사이트를 닫아버리고 gmarket 가서 결재했습니다. gmarket 쪽이 몇천원 비싸긴 했지만 도저히 이런 내용에는 동의를 할 수가 없었거든요.

1. 업무 제휴 회사

롯데아이몰은 개인정보를 이용하여 텔레마케팅, 이메일, SMS 등의 방법으로 금융상품(보험, 카드 등) 안내 및 가입권유, 기타 관련 서비스 안내를 할 수 있습니다. 롯데아이몰은 다음의 보험회사(보험대리점 계약 체결) 및 카드사 등과 제휴하여 귀하께 금융상품 관련 서비스를 제공합니다.

- 생명보험사 : 금호생명, AIG생명, 라이나생명, 동양생명, 녹십자생명, MetLife생명, 신한생명, 동부생명, KB생명, 대한생명, 미래에셋 생명, 흥국생명, PCA생명, 삼성생명, 교보생명

- 손해보험사 : AIG손해보험, 롯데손해보험, 동부화재, LIG손해보험, 제일화재, 교보자동차보험, 흥국쌍용화재, 메리츠화재, 그린화재, 삼성화재, 현대해상, 에이스아메리칸화재해상보험

- 자동차 보험 가입 여부 확인 : 보험개발원

- 카 드 사 : BC 카드, 신한카드(구 엘지카드 포함), 롯데카드, 삼성카드, 외환카드, 국민카드, 현대카드

- 보험몰운영 및 보험사업/서비스 업무 위탁사 : 니즈넷닷컴

- 증권/펀드몰 운영사 : 하나대투증권

- 자산관리 상담 회사 : 리치 재테크 114

2. 개인정보 이용 업무 제휴 내용

- 보험 및 신용카드 관련 상품 안내 및 판매, 가입권유 및 서비스 안내
- 자동차보험 만기일 안내, 자동차보험 만기일 안내를 위한 사전 보험개발원 조회
- 증권/펀드 관련 상품 및 서비스 안내
- 자산관리 관련 상담 안내 및 상품 소개

3. 업무 제휴시 이용하는 개인정보 항목

- 성명, 주민등록번호, 회원아이디, 주소, 전화번호, 이메일 주소

4. 개인정보 이용 업무제휴 기간

- 회원탈퇴(동의 철회) 시 까지

온갖 생명보험사 및 손해보험사, 카드사에 개인정보가 넘어갑니다. 뿐만 아니라 쇼핑몰과 전혀 관계없는 증권/펀드/자산관리 상품 관련 상담도 날라온답니다. 제휴내용도 무려 성명/주민등록번호/회원아이디/주소/전화번호/이메일 주소 -_-;; 중요한건 다 넘겨주는군요. 이메일/SMS/우편물로 홍보물을 발송하겠다는 뜻이지요. 텔레마케팅도 하겠다는군요.

이 정도가 되면 4. 항목의 개인정보 이용 업무제휴 기간의 '회원탈퇴(동의 철회) 시 까지' 라는 것도 믿을 수 없습니다. 롯데아이몰에서 업무 제휴 회사로 자료를 넘기는 것 자체는 탈퇴를 하는 순간 중지되겠지만(정말?) 이미 넘어간 자료들은 앞으로도 두고두고 이용될 게 뻔하니까요.

쇼핑몰이면 쇼핑몰답게 제발 소비자가 수용할 수 있을 범위 내에서 업무제휴 좀 부탁드립니다. 롯데아이몰이니까 롯데 관련 계열사인 롯데카드/롯데백화점 뭐 이런데까진 이해하겠습니다만 생명보험사/손해보험사/카드사는 도대체 뭔가요?

LG텔레콤 고객정보유출 사건 - 사이버수사대, 언론, 그리고 LG텔레콤은 무엇을 잘못했나?

얼마전 LG텔레콤의 고객정보가 특정 사이트를 통해서 실시간 조회되는 일이 있었습니다.
사건 초기부터 관심이 있어서 계속 추이를 지켜보고 있었는데, 몇가지 느낀 점이 있어서 이를 정리해보고자 합니다.

사건의 내용을 잘 모르시는 분들은 우선 LG텔레콤 고객정보 유출과 관련된 기사들을 먼저 몇개 읽어보시기 바랍니다.

1. 과연 사이버 수사대의 조사는 정확했나?

구글검색을 해보면 이 사건과 관련한 첫 기사는 4월 21일부터 찾아볼 수 있고, 4월 22일에 TV방송채널을 갖고 있는 YTN에서 사이버수사대의 발표를 인용하여 방송을 내보내면서 온갖 미디어들에서 이 기사를 내보내기 시작했습니다.

하지만 이 뉴스가 나가기 훨씬 전인 4월 17일 정도에 "보안뉴스"에서 해당 사건에 대한 기사를 작성했었습니다. 기사의 내용은 아래의 링크를 참조하세요.

http://www.boannews.com/media/view.asp?idx=9469&kind=3&sub_kind=

개인적으로는 그 이후에 발표된 그 어떤 기사들보다도 가장 문제의 핵심을 잘 짚고 있다는 생각입니다.

초기 경찰의 발표를 인용했던 언론사들의 보도를 살펴보면, 사이버수사대의 발표를 그대로 인용하여

강 씨는 지난달 21일 인터넷에서 이동통신사 서버에 접속할 수 있는 계정을 알아낸 다음 이를 토대로 만든 웹페이지로 LG텔레콤 서버에 접속해 가입자 정보를 빼낸 혐의를 받고 있습니다.

라고 되어 있습니다.

여기서 말하는 "이동통신사 서버에 접속할 수 있는 계정"이라 함은 컴퓨터를 조금이라도 해본 사람은 누구나 서버의 OS 또는 데이터베이스의 id/password 를 의미한다고 보는 게 일반적이고, 마치 이 기사만 보면 서버 자체에 id/password 로 접속을 해서 뭔가를 조작한 것처럼 느껴집니다. '해킹'과 '불법' 의 냄새가 강하게 풍기는 기사이지요.


하지만 사건의 실상은 이렇습니다.  금번에 문제시된 모 대학교 산학협력업체에서 운영하던 mshop.or.kr(지금은 폐쇄됨)에서 자신들의 웹사이트 내에 벨소리 또는 배경그림을 선물할때 필요한 단말기의 컬러 또는 폴리정보를 제공하기 위해 "폰 정보 조회" 페이지를 구성했습니다.

이번 사건 당사자가 개인적인 억울함을 호소하기 위해 만들어놓은 사이트를 살펴보면 그 페이지에 있었던 소스코드(서버프로그램의 소스코드가 아닌 웹브라우저에서 '소스보기'를 통해 확인할 수 있는, 이미 사용자의 브라우저로 전달된 소스코드) 에 대한 정보를 알 수가 있는데, 아래와 같은 형태였다고 합니다.

http://char.ez-i.co.kr/auth/phoneAuth.jsp?returnUrl=http%3A%2F%2Fmshop.or.kr%2Ftelecom%2Fresphoneinfo.jsp&cpId=mivept&pass=mivept&ctn=01XXXXXXXXX&contentType=C

보시면 LG텔레콤에서 CP인증용으로 char.ez-i.co.kr 라는 웹사이트에 phoneAuth.jsp 라는 페이지를 제공하고 있다는 걸 알 수 있습니다. ( ez-i 는 LG텔레콤에서 운용하고 있는 웹사이트입니다 )


그리고 mshop 에서 이 페이지를 호출하면서 "용감하게"  CP용으로 발급된 cpId 와 pass 를 그대로 GET 으로 전송해서 호출을 하고 있지요.

returnUrl 이라는 파라메터가 있는 걸로 봐서 이 phoneAuth.jsp 라는 페이지는 넘겨받은 파라메터로 고객정보를 조회한 다음 returnUrl 로 그 결과를 넘겨주리란 걸 짐작할 수 있습니다.

암호화된 POST 방식 또는 쿠키 등으로 넘겨줄 것이라 예상하는게 일반적이고 또 당연하겠지만 사건 당사자가 밝힌 해명글이나 화면캡처, 동영상을 보면 어처구니 없게도 LG텔레콤도 대담하게 고객정보를 암호화되지 않은 상태로 GET 형태로 붙여서 돌려주고 있었던 겁니다.

<<그들(?)은 용감했다!!!, 파라메터로 넘겨준 URL로 암호회되지 않은 정보를 그냥 퍼다 날라주고 있는 모습>>

위에서 두가지 문제점을 지적할 수가 있는데,

첫번째는 LG텔레콤이 제공한 고객인증용 페이지가 해당 id/pass 를 발급해준 CP로부터의 정상적인 IP 접속인가에 대한 체크가 전혀 없었다는 점이고,

둘째 CP에서 LG텔레콤이 제공해준 페이지를 호출하면서 id와 password 를 그대로 노출시켰다는 점입니다. (LG텔레콤에세 제공해준 인터페이스가 GET방식만을 제공했는지 아닌지의 여부는 확인할 수가 없었습니다)

이렇게 페이지를 호출한 CP도 문제지만 넘어온 return URL에 고객정보를 암호화 없이 GET방식으로 붙여서 호출해 주는 형태의 구현 자체는 변명의 여지가 없는 명백한 LG텔레콤의 실수입니다. 게다가 서비스 자체에 전혀 불필요한 주민등록번호까지 그대로 넘겨주고 있습니다.

LG텔레콤에서는 4월중으로 IP필터링 등 관련기능을 개선하겠다라고 하는데, 과연 일주일만에 어느정도까지 보안성을 높일 수 있을지 걱정되는군요. 덩달아 4월말까지 고생하게 될 CP업체의 개발자들분들도...

이야기가 잠시 딴 곳으로 빠졌습니다만, 아무튼 사이버수사대에서 혐의를 두고 있는 부분이 가입자 정보를 빼낸 것에 대한 부분이라면 이 부분은 사이버수사대에서 확실한 물증을 제시해야 할 것이고, 그게 아니라 앞쪽에 있는 정보시스템으로의 불법/고의적인 접속 및 해킹혐의의 부분이라면 최소한 이 부분은 '아니올시다' 라는게 개인적인 생각입니다.



2. 언론보도의 문제점

언론의 보도행태에도 문제가 있다고 보여지는데요, 분명히 초기 발표를 보면 "불구속 입건" 했다고 되어 있습니다.

누군가의 고소 고발 등으로 인해 수사기관에서 그 사건에 사건번호를 붙이게 되면 그걸 "입건" 이라고 합니다. 그리고 이 단계에서는 당사자를 "범인" 이 아닌 "피의자" 라고 부르는게 맞습니다.

당사자가 죄를 인정한 상태도 아니고 재판판결이 난 상태도 아니고, 명백한 물증도 드러나지 않은 상태이지요.

그런데 첫 보도 이후로 이런저런 언론에서 이를 인용 또는 각색하면서 피의자 또는 용의자라는 말 대신 "범인" 이라는 용어를 남발하여 마치 사건에 대해 당사자의 죄가 밝혀진 것처럼 보도를 하고 있습니다.

대한민국은 기본적으로 무죄추정의 원칙을 적용하고 있기에, 최종판결이 나기 전까지는 함부로 "범인" 이라는 말 대신 "용의자" 또는 "피의자" 라는 말을 사용했었어야 한다고 생각합니다.

또한 아무런 조사없이 그대로 경찰의 발표를 인용 또는 부풀려서 보도하는 기사들이 꽤 많이 보였는데, 나름대로 전문성을 갖고 있는 zdnet 이라든지 보안뉴스, 그리고 SBS의 유성재라는 기자분이 작성한 글 ( http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000407815 ) 등을 제외하고는 하나같이 다른 언론사의 기사들을 그대로 퍼담기에 급급할 뿐 진상파악을 위한 노력은 전혀 엿보이지 않았습니다.



3. 사건은폐와 축소에만 급급했던 LG텔레콤, 그리고 뒤이은 공식 사과발표

LG텔레콤은 그 일이 있고나서 판매원들에게 이번 개인정보 유출은 전적으로 해당 CP(Content Provider, 여기서는 mshop을 의미)의 탓으로 돌리라는 내용의 공문을 직원들에게 돌렸다고 합니다.

관련기사 : http://www.zdnet.co.kr/news/internet/hack/0,39031287,39168138,00.htm

또한 사이버수사대에서 발표한 고객정보 유출건수보다 실제 유출건수는 적다고 주장하면서 고객 중 일부는 주민등록번호의 앞자리 또는 뒷자리만 노출되었다고 주장하고 있습니다만, 이는 앞에서 확인한 고객정보 연동 구조상 책임회피의 성격이 강해보미며 고객주민번호는 100% 모두 노출되었을 가능성이 매우 크다고 보여집니다.


이 글을 어제 작성하다가 마무리를 하지 못했었는데, 오늘 LG텔레콤이 자사의  홈페이지를 통해  공식적인 사과발표를 했더군요.
LG텔레콤 같은 대기업이 자신의 잘못을 스스로 인정하기는 쉽지 않았을거라 여겨집니다만, 뒤늦게나마 그 누구의 핑계도 대지 않고 공식적으로 사과문을 발표한 용기있는 행동에 박수를 보내봅니다.



정리하며...

피의자가 전혀 잘못한 것이 없다고는 이야기할 수 없습니다. 그런 헛점을 알았다면 관련기관 또는 해당업체에 그 내용을 먼저 제보해서 고객정보의 유출을 막을 수 있었으면 정말 좋았을 것입니다.
최소한 웹이라는 공개된 곳에 아무런 접근권한에 대한 제한 없이 페이지를 노출하지도 말았어야 했겠지요.

하지만 저도 개발자이니만큼 최소한 이번 사건을 통해서 "한 프로그래머가 대기업의 잘못을 은폐하기 위한 재물로써 사이버경찰과 언론에 던져져 희생양이 되는" 일만큼은 없었으면 합니다.

옥션이 뚫리고 DAUM이 뚫리고, LG텔레콤 고객정보가 무방비로 웹에 노출되고, 청와대에서도 정보가 뚫렸니 어쩌니 하고 아우성이고, 하나로통신의 전 대표이사와 임원들은 고객정보를 통째로 팔아먹었답니다.

"개인정보 유출 대란" 이라고까지 할 수 있는 이번 일련의 사건등을 디딤돌로 삼아 대한민국이 좀 더 튼튼한 보안강국으로 거듭날 수 있었으면 좋겠군요.