Home > 미분류 > 유감스러운 블로그코리아

유감스러운 블로그코리아

3월 7th, 2009
Goto comments Leave a comment

새롭게 블로깅을 시작하면서 블로그 홍보(?)를 위해서 블로그코리아(이하 블코)에 가입했습니다. (참고로 올블로그는 이미 가입이 되어있습니다)

그런데 저는 회원가입시 비밀번호를 입력할 때면 조금 꺼려집니다. 

여기는 비밀번호를 암호화할까? 

혹시나 해서 “비밀번호 찾기”를 해봤습니다. 이메일로 보내더군요. 사이트에서 바로 보여주지 않아서 조금 안심했습니다.

그리고 이메일을 확인해보았습니다. 헉… 메일에 제 비밀번호가 적혀있었습니다. 놀란 마음에 급히 메일을 삭제했습니다. 그 사이 메일 서비스에서 백업을 받았다면 안습입니다. 만약 발송 메일이 저장되고 있다면 대략 난감입니다.

이메일에 제 암호가 적혀있다는 것은 블코 DB에 제 비밀번호가 암호화되어 있지 않거나 암호화된 비밀번호를 풀(decrypt) 수 있다는 것을 의미하며 이는 곧 블코 직원이 제 비밀번호를 언제든지 확인할 수 있다는 것을 의미합니다. 다시 말해 블코가 개인정보 보호에 매우 비밀번호 관리에 취약하는 것을 의미합니다. 참고로 비밀번호가 높은 보안 수준으로 암호화되어 있는 서비스는 비밀번호 찾기를 했을 때 원래 비밀번호를 알 수 없기 때문에 임시 비밀번호 발급해서 이메일 또는 SMS로 발송합니다.

비밀번호를 암호화하지 않는 것이 문제가 되는 것은 대부분의 사람들이 귀찮다는 이유로 동일한 비밀번호를 사용하기 때문입니다. 물론 동일한 비밀번호를 사용한 것은 개인의 부주의이긴 합니다만 보편적인 사람들의 행동 패턴이 그러하기 때문에 기업이 조금 더 주의할 필요는 있다고 봅니다.

블코가 블로그스피어에서 제법 브랜드를 가지고 있는 서비스이고 저를 포함해서 많은 사람들이 일정 수준 이상의 서비스를 기대하고 있습니다. 그러기에 제 비밀번호가 쉽게 노출될 수 있다는 것이 유감스럽습니다.

PS) 블코 담당자님, 혹시 이글 보시면 너무 기분 나빠하지 마시고… 만약 저의 이전 비밀번호가 로그에 쌓여있다면 지워주세요~

Post to Twitter Post to Delicious

키포스 미분류 , ,

  1. 어설프군YB
    3월 7th, 2009 at 23:19 | #1
    Reply | Quote

    안녕하세요. 블코의 어설프군 입니다.
    말씀하신 부분은 일단 걱정 안하셔도 됩니다.
    암호화 처리하여 DB에 저장되고 있습니다.

    관리자 역시 해당 정보를 확인할 수 없어..
    비번 문의시에는 고객센터 비번 문의를 요청드리고 있습니다. ^^

    물론 이것으로 완벽한 보안처리가 진행되고 있다 말할수는 없지만..
    최소한의 장치를 마련하고 있고 앞으로 이런 부분에 대해서는..
    더 다양한 보안처리를 진행하기 위해 내부적으로 개발팀과
    협의를 진행하고 있는 중입니다.

    우려스러운 부분 앞으로 더 최소화 해나갈 수 있도록 노력하겠습니다.
    (참고로 현재 비번 처리 프로세스는 대형 포털과 크게 다르지 않습니다.)

  2. 키포스
    3월 8th, 2009 at 02:51 | #2
    Reply | Quote

    @어설프군YB
    우선 답변해주셔서 감사합니다~ 그리고 비밀번호가 암호화되어 있다는 것을 확인했기 때문에 본문의 내용을 약간 수정하였습니다.

    그런데 제가 프로그래머라서 그런지 석연치 않은 부분에 대해서 그냥 넘어갈 수는 없으니 이점 양해바랍니다.

    말씀하신 대형 포털에서 사용하는 비밀번호 암호화 방식은 일반적으로 SHA(Secure Hash Standard)와 같은 암호화 알고리즘으로 일반적으로 복호화(decrypt)가 불가합니다. 반면 블코에서 사용하는 알고리즘은 복호화 가능한 방식입니다.

    따라서 비밀번호의 보안 수준이 비슷하다는 점은 쉽게 납득이 가지 않습니다. 근본적으로 비밀번호를 알 수 없는 방식과 알 수 있는 방식은 보안 수준에서 큰 차이가 있다고 생각합니다.

    그리고 복호화된 암호를 아무런 보안 장치 없이 메일로 바로 발송하는 방식은 보안에 매우 취약할 수 밖에 없다고 생각합니다.

  3. 어설프군YB
    3월 9th, 2009 at 14:14 | #3
    Reply | Quote

    어설프군YB :안녕하세요. 블코의 어설프군 입니다.말씀하신 부분은 일단 걱정 안하셔도 됩니다.암호화 처리하여 DB에 저장되고 있습니다.
    관리자 역시 해당 정보를 확인할 수 없어..비번 문의시에는 고객센터 비번 문의를 요청드리고 있습니다. ^^
    물론 이것으로 완벽한 보안처리가 진행되고 있다 말할수는 없지만..최소한의 장치를 마련하고 있고 앞으로 이런 부분에 대해서는..더 다양한 보안처리를 진행하기 위해 내부적으로 개발팀과협의를 진행하고 있는 중입니다.
    우려스러운 부분 앞으로 더 최소화 해나갈 수 있도록 노력하겠습니다.(참고로 현재 비번 처리 프로세스는 대형 포털 수준에 맞추려 노력하고 있습니다.)

    @어설프군YB

  4. 어설프군YB
    3월 9th, 2009 at 14:16 | #4
    Reply | Quote

    애공 댓글수정 또는 답글 달기가 어렵네요. ㅠㅠ
    암튼.. 다시 답을 드리자면..

    우선은 제가 개발자가 아니다 보니.. 기술적인 부분을 완벽하게 설명드리긴
    어려울 것 같습니다. (이점은 죄송하게 생각합니다.)

    다만, 지적 주신 부분과 같은 처리는 아닙지만 2차적인 보안을 같이 진행하고
    있다고 전달 받았습니다. 그런 관점에서 포털 수준이라고 표현한 것인데..

    전문가 입장에선 미흡해 보일 수 있다 생각이들고 저 역시 표현이 잘못되었다
    생각이 듭니다. 이점은 사과드리겠습니다.

  5. 키포스
    3월 9th, 2009 at 19:49 | #5
    Reply | Quote

    어설프군YB :

    애공 댓글수정 또는 답글 달기가 어렵네요. ㅠㅠ
    암튼.. 다시 답을 드리자면..

    우선은 제가 개발자가 아니다 보니.. 기술적인 부분을 완벽하게 설명드리긴
    어려울 것 같습니다. (이점은 죄송하게 생각합니다.)

    다만, 지적 주신 부분과 같은 처리는 아닙지만 2차적인 보안을 같이 진행하고
    있다고 전달 받았습니다. 그런 관점에서 포털 수준이라고 표현한 것인데..

    전문가 입장에선 미흡해 보일 수 있다 생각이들고 저 역시 표현이 잘못되었다
    생각이 듭니다. 이점은 사과드리겠습니다.

    이런 식으로 쓰는 걸까요…?

    답변 주셔서 감사합니다. 2차적인 보안이라는 것이 기술적으로 어떤 것을 말씀하시는지 모르겠지만 블코에서 비밀번호 보안에 대해서 나름 노력하고 계신다는 의미로 받아드렸습니다.

    PS) 저도 워드프레스가 처음이라 리플 방식이 낯섭니다 ㅎ

  1. No trackbacks yet.