저도 개인정보 취약점을 알고 있는 사이트가 있습니다.
남녀칠세마동석

Lv.1 남녀칠세마동석 (121.♡.33.70)

2025년 12월 1일 AM 09:39 · 수정됨(11:52)

조회 1,174 공감 0

저도 개인정보 취약점을 알고 있는 사이트가 있습니다. 이게 인증이야? 싶을 정도의 유저인증으로 로그인 인증하여 API를 호출할 수 있고 이름, 성별, 휴대폰번호, 집주소, 자동차번호 등의 개인정보를 유출 가능합니다. 동의하에 와이프, 큰누나, 지인등의 정보로  로그인이 쉽게 가능하다는 것도 파악했습니다.


저는 제가 사용하는 서비스가 추가되면, 가장 기존적인 보안 테스트를 합니다. 취미 겸 내 개인정보를 맡겨도 되는지 테스트 하는거죠.. 그런데 그 과정에 취약점이 발견이 된거예요..


POC코드까지 만들어 KISA에 신고했더니, 두어달만에 포상항목이 아니라는 응답만 오고 끝이네요. 해당 업체에 통보라도 했는지는 모르겠습니다.


그후 바빠서 그냥 뒀는데 이번 쿠팡사건을 보고 갑자기 생각났습니다. 회사에 직접 알려줘야 하나..


KISA의 대응이 너무 비합리적입니다. 뭐 포상이 안된다고 칩시다. 그런데 답변이 포상은 안되지만 업체에 통보해 취약점을 수정하도록 안내하겠다. 감사하다. 이런식의 처리와 답변이었으면 더 나았을텐데 너무 수동적이고 구립니다. 아마 안좋은 의도를 가진사람이 발견하면 아마 이 정보가 안좋은 의도로 활용되거나 다크웹에 팔아버릴겁니다.


솔직히 KISA 취약점 보상금 너무 저렴합니다. 그런데다 이렇게 최근 추가 조항까지 만들어 보상 항목을 줄여버리면 충분히 다크웹의 유혹이 커질수밖에 없습다.


생각난김에 주중에 해당 업체에 알려주고 수정을 요구해야겠습니다. 저도 사용자이고 피해가 될수도 있구요..

댓글 (10)

  • StarLeo

    StarLeo Lv.1

    25.12.01 · 211.♡.203.83

    화이트 해커들이 모바일의 보안 취약점들을 알려주고 언제까지 대응하지 않으면 공개하겠다라는 패턴으로 제조사들에 직접 리포트 하는 사람/단체(?)도 있더라구요.
  • 남녀칠세마동석

    남녀칠세마동석 Lv.1 → StarLeo 작성자

    25.12.01 · 182.♡.191.166

    이렇게 귀찮게 만들 일인가 싶습니다.. 공익적인 목적으로 제보를 했는데 무시당하면 하기 싫죠..
  • 데굴대굴

    데굴대굴 Lv.1

    25.12.01 · 203.♡.184.50

    저도 자잘한 테스트 하긴 합니다만... 이젠 귀찮더군요. 몇 번 진행해보면서,

    가입 시 필수 연락처(=이메일)을 제외한 나머지 모든 정보를 꼭 본인에 맞게 써야하는가?
    결제를 위해 입력한 카드 번호가 진짜 한번만 쓰이고 어딘가 저장되어 있지는 않는가?
    결제 이후의 기록은 잘 관리되고 있는게.. 맞겠.... 엉엉엉...

    이게 핵심 질문이 되더라고요. 이메일과 카드를 분리해서 관리하고 둘의 연결점이 없는 휘발성(?)처럼 다룬다면 애초에 변경 가능한 데이터 쪼가리로 변하게 되는거니까요.

    그나마 이런 관리를 하려면 회원 가입 시, SNS로그인을 안하고 귀찮아도 이메일 가입하고 가입할 때 암호 이상한걸로 주르르 작성하고.... 이 정도가 최선 아닐까 싶습니다. (이런 관리를 위해서 암호관리 프로그램 유료 버전을 쓰고 있다능...)
  • 남녀칠세마동석

    남녀칠세마동석 Lv.1 → 데굴대굴 작성자

    25.12.01 · 182.♡.191.166

    저도 가급적이면 개인정보를 수집하지 않는 사이트를 이용하거나 개인정보를 최대한 입력하지 않고 개인정보 사용에 동의하지도 않습니다.. 제가 만들고 있는 사이트도 있는데 개인정보를 수집하지 않는 게 가장 최선인 것 같습니다. 개인정보가 없으면 털릴게 없죠.
  • B

    BBlu Lv.1

    25.12.01 · 223.♡.82.110

    연계 하다보면 이렇게 큰 회사가 이따위로 개발한다고? 라는게 한두번이 아닙니다. ㅎㅎ
    그래서 안믿어요.
  • 남녀칠세마동석

    남녀칠세마동석 Lv.1 → BBlu 작성자

    25.12.01 · 182.♡.191.166

    그러니까요... 저도 회사다닐때 개발하다보면 타업체와 연동하는 일이 많은데 불필요한 정보까지 주는 경우가 꽤 있더라구요...
  • 느띠 Lv.1

    25.12.01 · 112.♡.252.169

    답답한 일이네요. 할 일을 제대로 안하는 기관들...혹시 그 테스트 방법을 알려주실 수 있나요?
  • 남녀칠세마동석

    남녀칠세마동석 Lv.1 → 느띠 작성자

    25.12.01 · 182.♡.191.166

    주로 서버와 주고받는 데이터를 가로채 분석하는 방법입니다. 앱(또는웹)과 서버가 정상적인 프로세스로 데이터를 주고받는 과정에서 인증이 부족하지는 않은지, 불필요한 데이터를 주고받지는 않는지를 판단합니다.
  • 무적전설

    무적전설 Lv.1

    25.12.01 · 121.♡.242.189

    오히려 역으로 업무방해 신고로 걸 수 있으니, 업체에 직접연락은 하지 않는게 좋겠습니다. 제가 이 문제로 골치 좀 썩혔습니다.
  • 남녀칠세마동석

    남녀칠세마동석 Lv.1 → 무적전설 작성자

    25.12.01 · 182.♡.191.166

    2018년경에 모 업체는 전달했더니 적극 협조하긴 하더라구요? 대기업의 자회사였습니다.
    그후 한참 있다가 리뉴얼을 하긴 하던데, 주석에 온갖 취약점이될 힌트같은게... 메인 개발자가 취약점같습니다.
    그러게요.. 괜히 골치아플일 만드는건가 싶긴 하네요.. KISA가 해야할일인데...

댓글을 작성하려면 이 필요합니다.