Loading
2015/05/18 16:28 - 말똥이 ryush00

주민번호 클린센터의 심각한 보안

최근 검색어에 몇번 오르기도 했던 KISA 주민번호 클린센터.



1차 휴대폰을 이용한 실명 인증을 끝내고 2차로 내 주민번호를 입력하고 실명 확인 버튼을 누르면..



뜬금없이 실명 기록이 존재하지 않는다며 나를 거부하여, 일단 등록 신청을 넣었다.







과연 우리의 개인정보를 지켜준다는 이 사이트는 위협으로부터 안전할까?




이 사이트는 내 주민번호를, Base64로 암호화 시켜서 보낸다.

관심 있는 사람은 알겠지만, Base64는 원래 문자열을 쉽게 알아낼 수 있는 암호화 알고리즘이다. 




예를 들어보자.

홍길동이 이 사이트에서 주민번호를 입력했다. 그리고 해커가 암호화된 주민번호를 도청하여 알아냈다고 치자.

암호화된 주민번호: "enc_ssn1=MTIzNDU2&enc_ssn2=MTIzNDU2Nw"


본래는 암호화되어 있으므로 해커는 원문을 절대 알수 없어야 한다.





그러나 이 사이트에서는 Base64라는 복호화 가능한 암호화를 사용하기 때문에

앞자리 MTIzNDU2와 뒷자리 MTIzNDU2Nw를 알아낸 다음, 간편하게 복호화 시킴으로써 원래 주민번호를 알아낼 수 있다.





그리하여 홍길동의 원래 주민번호는 123456-1234567인 사실을 알 수 있다.


SSL이 있기는 하지만, SSL 사용은 하지 않고 이런 구석기 시대 암호화 방식을 사용하고 있다..


우리나라 보안을 선도해야 할 KISA가 뭐하는 것인지..


크리에이티브 커먼즈 라이선스
Creative Commons License

트랙백을 클릭하면 볼 수 있습니다

  1. 2015/05/18 23:14

    비밀댓글입니다

댓글을 입력하세요

티스토리 툴바