어제 경찰의 수사 발표 이후 수 많은 기사를 접할 수 있었습니다.
대부분의 오해는 역량부족으로 인한 경찰의 부실 결과도출이 원인이겠습니다만, 이미 경찰의 손을 떠났고, 언론을 통해 잘못된 정보를 접하신 분들이 대부분이기에 각 기사의 잘못된 부분을 하나씩 짚어가며 해명해보겠습니다.
1. 초보 수준의 웹 프로그래머라도 쉽게 취약점을 알아낼 보안 수준
해당 취약점은 웹프로그래머가 아니라도 주소라는 개념을 이해할 수 있는 인터넷 사용자라면 누구나 알 수 있을 만큼 허술했습니다. 다음과 같이 말입니다.
입력창에 전화번호를 넣으면
http://char.ez-i.co.kr/auth/phoneAuth.jsp?returnUrl=http%3A%2F%2Fmshop.or.kr%2Ftelecom%2Fresphoneinfo.jsp&cpId=mivept&pass=mivept&ctn=01XXXXXXXXX&contentType=C
라는 URL (제가 취득한 URL)로 넘어가게 되고 (이 부분은 스크린샷을 획득하지 못하였습니다. 현재는 사이트 폐쇄상태), 잠시 후
그림과 같이 주소입력란에 개인정보가 나타나게 됩니다.
이러한 과정으로 별다른 지식이나 도구 없이 브라우저를 통해 쉽게 정보를 취득할 수 있었기 때문에 굳이 웹프로그래머 수준이 아니더라도 정보 유출을 확인할 수 있었습니다.
저는 브라우저를 통해 위의 URL만을 알아냈으며, 페이지를 만들 당시에는 URL내에 ID와 비밀번호등의 계정 정보가 들어있는 지 알지 못했습니다.
또한, 제가 만든 웹페이지는 개인정보의 조회보다는 이미 제공되고 있는 개인정보의 유출을 확인하는 페이지였으며, 저는 페이지는 만들었지만 결단코 개인정보를 빼내지 않았습니다.
3. 서버에 침투해 접속 ID와 비밀번호, 주소 등을 알아낸뒤 고객정보 데이터베이스(DB)와 연결
서버가 어디인지 모르며, 서버에 접속한 사실 조차 없습니다. 더욱이 데이터베이스와 연결할 능력도 않되며, 그러한 사실이 없습니다.
또한 mshop 의 소스코드는 본 적이 없으며, mshop을 통해서 취득한 정보는 앞서 말씀드린 URL이 전부입니다.
4. 서버의 소스를 분석해 자신이 직접 구축한 서버로 자료를 전송받을 수 있도록 치밀하게 프로그램을 제작한 것으로 밝혀졌다.
ek090000000000.htmHTML을 보면 알 수 있듯이, 서버로는 아무런 자료도 전송되지 않습니다.
그리고, 경찰에서 확보한 제 메신저 기록에도 나타있지만, 친구가 알려준 URL로부터 단시간내에 즉흥적으로 만든 페이지 입니다. 메신저 기록에는 친구가 알려준 시간과 완성시간이 나타나 있음.
5. CP 고객정보관리서버에 접속할 수 있는 ID와 비밀번호, 서버 주소가 포털사이트에 근무중인 개인에게 유출된 것
CP 고객정보관리서버가 아니라 MSHOP이라는 공개상업사이트에서 실제로 제공한 서비스였습니다. 마찬가지로 서버에 접속할 수 있는 어떠한 정보도 취득한 바가 없습니다.
6. 주민등록번호 유출된 고객이 171명, 주민등록번호 앞자리만 유출된 고객은 199명으로 총 370명의 개인정보가 노출됐다.
주민등록번호는 전체 13자리가 모두 노출되고 있었습니다.
7. 신속한 수사로 실제로는 570여 건이 유출된 데 머물렀지만
앞서 말씀드렸듯이 별다른 지식 없이도, MSHOP에서 쉽게 개인정보를 취득할 수 있었기 때문에 제 홈페이지에 올린 HTML로 유출된 건 수는 의미가 없다고 할 수 있겠습니다.
경찰이 한 일은 5일간의 유출을 막은 것이 아니라 LGT가 방치한 5년간의 유출을 막은 것입니다.
5일간 인지도가 없는 제 개인 홈페이지를 통해 570여건.
구글에서 가장 상위에 노출될 정도의 상업사이트인 MSHOP에서는 5년간 얼마나 많은 유출이 있었는지는 LGT만이 알 수 있을 것입니다.
8. LG텔레콤으로부터 금품을 요구하려고 계획한 것으로 밝혀졌다.
LG텔레콤으로부터 3월 24일 법적인 대응과 보상을 요구하겠다는 전화를 받고, 이에대한 반대급부로 메신저로 친구끼리 “피해자는 우리인데 왜 우리가 보상을 해야하나, 보상은 우리가 받아야 한다”는 의도로 가벼운 농담조로 주고 받은 내용이 있습니다. 경찰도 조사과정에서 이 사실은 친구끼리 얼마든지 할 수 있는 농담 수준임을 인정한다고 밝혔으나, 친구와 주고 받은 대화의 앞 뒤는 제외한채 문장하나만 꼬투리 잡고서 이번 수사발표에서 어이 없는 결론을 내려버렸습니다.
LG텔레콤에 금품을 요구한 사실은 없으며, 친구와 메신저로 주고 받은 내용외에 단 한번도 언급한적이 없습니다. 친구와의 대화에서의 결론적 금품은 4천원이었습니다.
이상이며, 이외의 사건에 관한 진상은 아래 기사를 참조하시기 바랍니다.
하여튼 기자라고 있는 것들이… 에휴 ㄱ-
fguy님 힘내세요.
오빠~힘내욧!!
진실이 곧 밝혀질꺼얌~^^
LG 아주 완전 막장이네
기자 및 경찰들은 수사 및 취재분야에 대한 전문화를 했으면 좋겠다는 생각이 드는군요…
LG의 잘못도 있지만 님의 잘못도 없지 않습니다. 두 과실은 별개라고 보아집니다. 님은 신고를 했어야 옳다고 생각합니다. 님이 이 블로그에 글을 올리고 디시인사이드에도 글을 올렸다는 글을 인터넷에서 확인했습니다. 물론 LG가 아니라 mshop이라는 작은 대행업체 잘못도 크다고 봅니다.
LG텔레콤이 책임전가 작전을 쓰는 모양입니다..
힘내세요..
님이 꿋꿋해야 다른 피해자도 꿋꿋해질수 있습니다..
네이트톡에도 이 어이없는 상황에 대해서 한번 올려보심이..
완전 마녀사냥 수준이군요. 계정을 ‘탈취’해서 ‘금품을 요구 할’ 목적으로.. 라.. 조목조목 따지고 들자면 LG텔레콤측과 경찰과 언론 모두의 흠이 너무나 많아서, 그냥 답답한 마음만 안고 돌아갑니다.
참 나.. 무식하면 주변에 좀 잘 아는 사람한테 물어보고 수사하거나, 기사를 쓰던가 해야지..
http://www.zdnet.co.kr/news/internet/hack/0,39031287,39168138,00.htm
개념넘치는 LGT의 만행 ㅋㅋㅋ
핑백: 금빛... 세상 바라보기
SBS에서 작성한 이 사건에 관한 심층 취재 기사와 기자 블로그입니다.
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000407815
http://ublog.sbs.co.kr/gunsjazz?targetBlog=77070
해명을하기전에 사과의 글부터올려야지요!!
LGT에서의 잘못된 부분 원인제공이 있지요!!
그러나 님또한 잘한게 아무것도없다는 겁니다.
남들이 쉽게 조회할수 있게끔 돗자리를 깔아준건 님의 잘못된 선택이였습니다.
mshop의 잘못또한 크다고 할수있지요.
님은 법적으로 어떻게 될지는 모르겠으나 도덕적으로는 반성을 해야할것같군요.
LGT의 만행은 이처럼 개인정보를 허술하게관리하는 책임은 누군가
구속되어야 마땅하지요!!
앞으로는 이같은 일이 발생될때 신고를해서 해결을 하세요!!
나그네, 진실!, 미스너킹//
어디 알바에서 오셨음? LGT 알바에서 오신거임?
지금 잘못없다고 규명하는게 아니라 기사의 내용이 부풀려졌고 실제 사건의 진상과 상관없이 경찰의 수사발표가 있었다는 내용을 그냥 봐도 모르겠음?
위의 세분이 저 글에서 fguy님이 잘못이 없다는 문장을 찾아서 써주셨으면 하네요.
꼭 저 글에서 ‘님 잘못이 없으니’ 등의 잘못따지기라는 내용으로 댓글을 달아야 겠음?
혹시 ‘내 잘못없다’라는 내용이 한글자라도 적혀있으면 댓글 달아주셈… 안그러면 글 다시 읽어보고 수정이나 제대로 하시던지요…
누가 누구한테 반성이니 잘못했다니… 자격부터가 되는지가 궁금하네요
과연 님의 컴퓨터는 얼마나 보안이 잘되어있길레…
이정도 수준은 보안이라고 볼수도 없네요..
그냥 웹서비스인데요.. 자기들 잘못인데 뒤집에 씌우네 개그네 ㅋㅋ
제가 볼땐 둘다 나쁘네요.
공범인거죠.
정보가 없어서 모르는건 아니죠. 어딧는줄 몰라서 모르는거죠.
그런데 전번만 알면 남의 주민번호를 알 수 있는 사이트를 일반인에게 공개하다니요.
물론 여기서 정보를 허술하게 관리하고, 오랫동안 이런 사이트가 있음에도 아무 대응하지 않았던 LGT의 잘못은 너무나 엄청나죠.
10일이 아니라 3일 정도입니다.
이 블로그에 있는 글, 또는 기사화된 내용이라도 제대로 봤으면 이런 어처구니 없는 10일이라는 이야긴 안 나왔을터건만..
님은 주민번호 뒷자리는 공개하지 않았나요?
님의 잘못이 없지는 않지만 LG텔레콤 잘못이 엄청나네요.
일반인에게 알리려 한 것 고맙네요.
그래도 신고를 했다면 더 좋았을 것을 그랬네요.
님에게 큰일 벌어지지 않았으면 좋겠군요.
힘내세요.
난 가입자이기에 소송 준비할 생각입니다.
진실! // 1번 같은 경우는 초보 웹프로그래머가 아닌 일반인도 충분히 할 수 있는 짓입니다. 저도 중학교 때 저런 보안 취약점이 있는 사이트에 URL 장난으로 뭔가 했던 기억이 납니다.
님아~ 글 다 읽어봣어요~
힘내세요~
님같은 분이 계시니간 정보 유출이 이루어지지 않은거예요~!!!
응원해드릴께요~
엘지 또 한건 하셨군.. ㅋㅋ
저런 기업이 어떻게 아직도 굴러가는지 이해를 할 수가 없어
문제는 이 한국이라는 나라는 무조건 돈 많은놈 편을 들어준다는거..
관련 글 쭉 보니…. URL 형식에 대해서 조금이라도 아는 사람이라면 누구나 할 수 있는 거였군요.. LGT같은 큰 회사에서 이렇게 허술하게 관리했다는거에 참 할말이 없네요.. 그 회사는 보안담당자도 없는 모양이네요. 그리고 무조건 님 잘못으로 덮어씌우니 참 답답하시겠습니다. 예전에 이런 이야기를 들은 적이 있습니다. 국내의 명망있는 해커분들이 유명 기업들 서버보안 테스트를 했는데 뻥뻥 그냥 뚫리더라더군요.. 그래서 회사쪽에 보안에 이런 이런 문제가 있다고 얼른 수정하라고 충고했더니… 회사에서 도리어 해킹혐의로 고소하겠다고 협박했다더군요. 자기들 서버 보안은 완벽하다면서요.. 우리나라 기업의 보안 마인드도 딱 이 수준입니다. 인정하지 않을려고 하는 저런 자세를 버리고 남의 의견을 수용하고 스스로 고칠려는 자세를 가졌으면 좋겠네요. 힘내세요.
나름 대기업이라는 우리회사 고객센터도 저모양인데…
똑같이 GET방식으로 아이디만 넘기면 접속…
이런 문제들에 대해서 윗대가리한테 얘기해도…
지금 그런데 신경쓸 여유 있냐는 답변만 돌아옴…
우리나라 기업 경영자들 마인드가 다 이모양…
언젠가 이런 보안사고 빵빵 터질줄 알았다…
만약에 헛점이 있었다면은 LG측에 정식으로 문제를 제기할 수 있었는데.. 정보유출하는 홈페이지를 만든것은 잘못이라고 보입니다…