실명확인 서비스가 무력화 된다면...

사이트를 가입할 때 통상적으로 우리는 실명인증절차를 거치게 된다. 이는 사이트에서 인증기관에 돈을 주고 사이트 가입자가 실제 본인인지 여부를 확인하는 절차다.

 

 

하지만 아주 간단한 방법으로 이를 우회해 실명인증을 아무 소용없이 만들어 버리는 공격방법이 소개돼 실명인증 우회공격에 대한 관리자들의 대책마련이 시급한 상황이다.

 

지난 22일 개최된 ‘2007년 보안이슈 및 2008년 보안동향’ 컨퍼런스에서 VSN글로벌 최기용 이사는 “보통 사이트 가입시 실명인증체크를 하고 회원가입 페이지가 뜬다. 모두 작성하고 가입확인을 클릭하면 가입이 완료되는 것이 대부분”이라며 “하지만 여기서 공격자가 회원가입페이지의 소스코드를 저장해 소스코드의 데이터를 다른 사람 이름과 주민등록번호로 수정해 다시 저장하면 실명인증 서비서는 무력화되고 만다”고 경고했다.

또한 최 이사는 “이 실명확인 서비스 무력화 공격방법은 네이버를 제외한 국내 대부분 사이트에 적용이 가능하다”며 “이에 대한 대비책을 강구해야 할 것”이라고 덧붙였다.

실명확인 서비스에 이러한 커다란 허점이 존재하는 이유는 바로 관리적 허술함에 있었다. 최 이사는 “주민번호를 암호화 하지 않기 때문이다. 주민번호를 암호화해서 세션키에 등록하면 이러한 문제를 예방할 수 있다”고 말했다.

즉 소스코드에 보이는 주민등록번호를 암호화해 세션에 담아둬야 무력화 공격을 예방할 수 있다는 것이다.

 

실명확인 서비스가 무력화 된다면 사이트 측은 실명인증 조회에 따른 비용이 발생하면서도 양질의 회원관리는 실패하게 된다. 또 게시판 글의 공공성 확보도 어려워진다. 대책은 역시 실명 확인된 주민등록번호를 세션 키화해서 결과 값을 비교하고 실명 확인된 주민등록번호를 암호화하는 방법 뿐이다.

그는 또 “본인 인증절차 우회 공격도 주민등록번호와 이름 정도만 있으면 가능하다”며 “이를 통해 비밀번호 재설정이나 이메일·카페 열람 등 악의적인 행위가 가능하다”고 강조했다.

이를 해결하기 위해서는 주민등록번호를 암호화하거나 세션키로 설정후 비교하고 또 본인 인증절차 개시 시 랜덤 세션 키 생성 후 비교할 것을 권고했다. 

[길민권 기자]

 

<저작권자: 보안뉴스 무단전재-재배포금지>