최근 검색어에 몇번 오르기도 했던 KISA 주민등록번호 클린센터.
1차 휴대폰을 이용한 실명 인증을 끝내고 2차로 내 주민번호를 입력하고 실명 확인 버튼을 누르면..
뜬금없이 실명 기록이 존재하지 않는다며 나를 거부하여, 일단 등록 신청을 넣었다.
과연 우리의 개인정보를 지켜준다는 이 사이트는 위협으로부터 안전할까?
이 사이트는 내 주민번호를, Base64로 암호화 시켜서 보낸다.
관심 있는 사람은 알겠지만, Base64는 원래 문자열을 쉽게 알아낼 수 있는 암호화 알고리즘이다.
예를 들어보자.
홍길동이 이 사이트에서 주민번호를 입력했다. 그리고 해커가 암호화된 주민번호를 도청하여 알아냈다고 치자.
암호화된 주민번호: "enc_ssn1=MTIzNDU2&enc_ssn2=MTIzNDU2Nw"
본래는 암호화되어 있으므로 해커는 원문을 절대 알수 없어야 한다.
그러나 이 사이트에서는 Base64라는 복호화 가능한 암호화를 사용하기 때문에
앞자리 MTIzNDU2와 뒷자리 MTIzNDU2Nw를 알아낸 다음, 간편하게 복호화 시킴으로써 원래 주민번호를 알아낼 수 있다.
그리하여 홍길동의 원래 주민번호는 123456-1234567인 사실을 알 수 있다.
SSL이 있기는 하지만, SSL 사용은 하지 않고 이런 구석기 시대 암호화 방식을 사용하고 있다..
우리나라 보안을 선도해야 할 KISA가 뭐하는 것인지..
==2015 06 04 추가==
사이트를 다시 확인해 보았다.
이제는 SSL은 뜨기는 하다만, 보안에 취약한 암호화 방식을 사용하는 듯 하다... 좀 고칠거면 완벽히좀 고치지..
전보다 보안은 나아졌겠지만,
댓글