비밀번호 암호화도 안하는 강컴

IT소식-웹서비스 2009/03/31 09:00 Posted by 지민아빠
여러분들은 인터넷으로 책을 구매하실 때 어떤 사이트를 이용하시나요? 개발자 분들 중에 많은 분들이 강컴에서 책을 구매하시는데요. 강컴에서 비밀번호 찾기를 하면 임시비밀번호가 아니라 비밀번호 자체가 메일로 날아옵니다.

문제의 메일 내용


보통 비밀번호는 다시 복호화 할 수 없는 암호화를 해서 보관해야 관리자가 사용자의 비밀번호를 수 없습니다. 그래서 이런식으로 비밀번호가 관리되게 되면 비밀번호를 잃어버리면 임시비밀번호가 발급되고 사용자가 다시 변경을 할 수 밖에 없습니다. 귀찮긴 하지만 안전을 위해서 대부분의 사이트에서는 이런방식을 사용 합니다.

임시비밀번호가 아니라 비밀번호 자체가 메일로 왔다는 사실은 강컴사이트의 사용자 정보 중 비밀번호 부분이 암호화 없이 그냥(또는 복호화 가능한 방식으로) 저장되어 있다는 뜻 입니다. 이렇게 되면 관리자가 DB 조회만 하면 모든 사용자의 비밀번호를 알 수 있다는 뜻이 됩니다. 영세한 사이트도 아니고, 이러시면 안되시죠.

그러면서도 가입 할 때는 개인정보를 철저히 보호 한다고 하시는 군요. 비밀번호는 상당히 중요한 개인정보 입니다. 철저히 보호 하시려면 암호화 해서 아무도 알수 없도록 관리 하셔야죠.
 

그리고 탈퇴하려고 메뉴를 찾아보면 찾을 수가 없습니다. 그래서 FAQ를 찾아보면 탈퇴를 하려면 1:1 도우미 게시판에 "주문관련 문의하기"를 이용해서 글을써야 한다고 합니다.


강컴 관계자분이 이 글을 보시거든, 사이트 이쁘게 꾸미시는 것 보다 "IT의 힘!" 이라는 타이틀에 어울리게 개인정보 보호나 기본적인 탈퇴메뉴 같은 기본기에 좀 더 힘 써 주시길 부탁드리고 싶습니다.


몇몇 사이트를 추가로 정리한 글을 올렸습니다. 참고하시기 바랍니다. ^^
2009/04/02 - 아래 사이트를 이용하실 때에는 주의가 필요합니다


빠른소식을 원하신다면 또는 Add to Google로 구독하시면 편리합니다. ^^

안내
이글에는 다른분에게 권리가 있는 컨텐츠가 포함되어 있을 수 있으며, 이를 무단으로 사용하시면 안됩니다. 자세한 내용은 컨텐츠 사용시 주의사항을 읽어봐 주시기 바랍니다.

Creative Commons License
제가 직접 작성한 부분에 한하여 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.
태그 : 강컴,개인정보,개인정보보호
의견 (20)
  1. toice 2009/03/31 16:06 답글수정삭제

    블로그코리아도 마찬가지입니다; 오랜만에 접속이라 비밀번호 기억이 안나서 비밀번호 찾기 했더니 이메일로 비밀번호를 그대로 보내주더군요. 화들짝 놀랐습니다;;

    • 지민아빠 2009/03/31 16:58 수정삭제

      앗 블코도 그런가요? 화들짝 놀랄 만 한데요? 알려주셔서 감사 합니다. 다른데도 좀 찾아서 한꺼번에 정리를 해 보아야 겠습니다. ^^

  2. 2009/03/31 16:50 답글수정삭제

    그 뿐만이 아닙니다. 이메일이 발송되면, 전세계 여러 메일 서버를 거쳐서 배달됩니다. 아이디와 비밀번호가 그대로 노출되어있는 메일이 전세계 여러 메일 서버에 그대로 저장되어 있다는 것도 문제이죠.

    • 지민아빠 2009/03/31 16:59 수정삭제

      네 비밀번호 찾기를 하면 보통 메일로 전송해주니 문제가 될 듯 합니다. SMS로 전송해 주는 곳도 있습니다. ^^
      좋은 지적 감사합니다. ^^

  3. 미소인 2009/03/31 19:28 답글수정삭제

    강컴과 블코가 비밀번호를 암호화하지 않고 있었네요. 이런.. 더구나 암호화되지 않는 비밀번호를 그냥 메일로 보내주다니.. 이글을 담당회사에서 보고 빨리 조치를 취해주면 좋겠네요.

    • 지민아빠 2009/03/31 22:01 수정삭제

      법적으로 꼭 암호화 해서 보관해야 한다고 되어 있는 것도 아니고, 인터넷이나 웹의 특성상 비밀번호가 누출될 취약성이 여기저기 있는 것은 사실입니다만, 가능한 안전한 방법으로 보호해 주려는 노력이 아쉬울 따름 입니다. ^^

  4. deisys 2009/03/31 20:24 답글수정삭제

    문득 생각나서 트랙백 걸었습니다. 이런곳이 한두군데가 아닌가보네요. orz

    • 지민아빠 2009/03/31 22:03 수정삭제

      트랙백 감사 합니다. 이외에도 몇가지 찾아본 사항이 있습니다만, 관련된 사항을 좀 더 충분히 알아보고 포스팅 하려고요. ^^;

  5. 지나가다 2009/04/01 10:11 답글수정삭제

    패스워드암호화는 크게 의미는 없습니다.
    단지, 다른 사람이 그 계정의 패스워드를 인식할수 있는 문자열이 아닌정도이죠.
    해킹되면,. 저건 의미가 없죠.
    그냥, 해당 DB의 변조하고 싶은 테이블 레코드를 변조하면 되지,
    굳이 패스워드를 알 필요는 없습니다.
    패스워드는 웹사이트에 정상적인 로그인 과정을 하는 경우에만 필요하니깐요.

    • 지민아빠 2009/04/01 11:56 수정삭제

      안녕하세요? 좋은 지적 감사 드립니다. 일차적인 피해 관점에서는 충분히 일리 있는 말씀 입니다. ^^

      비밀번호 암호화의 의미는 피해확산 방지에 있습니다. 그 사이트가 해킹되면 거기서 피해가 그쳐야 하는데, 거기서 알아낸 비밀번호로 다른 중요한 사이트에 접속 할 수 있다는 것이 문제 입니다. 보통 같은 비밀번호를 사용하기 때문이죠. 때문에 비밀번호 암호화를 하지 않는 사이트는 등급이 낮은 비밀번호로 따로 관리하여야 합니다. 또 한가지 문제는 가입당시에 알 수 없다는 점이죠. ^^

      사용자의 정보를 소중히 관리하는 배려가 아쉬울 따름 입니다. ^^

  6. 필넷 2009/04/01 10:55 답글수정삭제

    '안전의식 부재'라는 말이 건설분야에만 해당하는 말이 아닌데...--;
    그런데 의외로 그런 사이트가 많더라구요.

  7. Joel 2009/04/02 00:12 답글수정삭제

    좋은 정보군요. 저런 사이트는 쓰지 말아야겠습니다..

  8. 준인 2009/04/02 00:42 답글수정삭제

    개인정보 개념이 이야이야오~
    아 저기 안드로메다에 강컴의 개념이 보이는근영.

    저건 도대체 어떤 웹마스터가 CGI를 짰을까요?
    제가 사장이라면 이미 목아지라눈 ㅋㅋㅋ

    • 지민아빠 2009/04/02 10:15 수정삭제

      아쉽게도 이런 사이트가 많은 것 같습니다. 잘 관리해 주기만 한다면 바랄 것이 없습니다만, 사용자의 정보를 좀 더 소중히 여겨 주셨으면 좋겠습니다. ^^

  9. 지나가다2 2009/04/02 17:57 답글수정삭제

    비단 강컴만의 문제는 아니군요
    알라딘, 리브로도 똑같이 오네요.ㅠㅠ
    또 어느 사이트가 그럴까????

  10. 비밀번호, 암호화도 안하는 Folderplus Browser..

    Tracked from 트루의 잡소리 2009/03/31 19:48

    어제부터 VMWare에 설치해 놓은 Windows가 업데이트를 했다며 재부팅 하겠다고 징징대길래.. 몇번 씹어주다가 큰맘먹고 재부팅을 시켜 주었는데.. 이놈에 Windows가 "설정 저장중..."에서 멈춰서는 강제 종료도 안먹고..-_- 버티고 있길래.. "얼마나 버티나 보자.."하며 3시간을 놔뒀는데도 버티고 있더군요.. 결국 Windows를 설치한 파일을 날리고 새로 설치중인데.. 심심해서 설정파일을 뒤적뒤적 이다.. Folderplus의 설정파..

  11. 컬쳐랜드 비밀번호 관리 대실망

    Tracked from D군동네 2009/03/31 20:24

    아래 지름 관련 글에서도 잠깐 나왔지만, 문화상품권이 손에 들어왔습니다. 왼쪽 위에 www.cultureland.co.kr 라는 주소가 쓰여진 녀석들인데요... 컬쳐랜드, 제가 아직 초딩이던 시절(지금은 사람들이 중딩 정도는 된다고 합니다) 문화상품권으로 카트라이더 결제할때 잠깐 써봤던 기억이 있습니다. 후후후, 그래서 한번 들어가봤지요. 포인트라거나, 마일리지나 잔액같은거 몇백원이라도 있나 보려고... 그런데 비밀번호가 기억이 안나는겁니다. 자주..

트랙백 주소 :: http://ypshin.com/2690669/trackback/
옵션
댓글 달기
블로그 이미지
Blog Image
지민아빠의 해처리

by 지민아빠
프로필 버튼
프로필 상세보기
ExperTags
블로그롤 정보




구글 우수 블로거

공지사항

카테고리

최근에 올라온 글

최근에 주신 의견


링크


지민아빠의 해처리

지민아빠's Blog is powered by Tattertools / Supported by Tatter & Media
Copyright by 지민아빠 [ http://www.ringblog.com ]. All rights reserved.

Tattertools Tatter & Media DesignMyself!
지민아빠's Blog is powered by Textcube. Designed by Qwer999. Supported by Tatter & Media.