보안 / 해킹 [카카오톡 보안에도 구멍이?] 와이파이 환경에서 소셜 로그인 때 개인정보 줄줄
2018.04.05 12:03
소셜 로그인은 번거로운 회원 가입 절차 없이 포털·SNS에 가입한 아이디(ID)로 다른 웹사이트와 앱에 접속하는 기능이다. ‘싱글사인온(Single Sign ON, SSO)’이라고 불리는 이런 로그인 방식은 손 쉽게 웹 서비스를 이용할 수 있다는 장점 때문에 최근에는 대부분의 사이트가 제공하고 있다.
국내에서도 네이버와 카카오톡 등 주요 포털·앱이 이 기능을 사용하고 있다. 그런데 1억 명 이상 다운로드 받은 국내 최대 모바일 채팅 앱인 카카오톡이 소셜 로그인 방식에 보안상 치명적인 약점을 지닌 것으로 나타났다. 와이파이(무선인터넷)를 사용해 카카오톡 계정으로 소셜 로그인할 경우 사용자의 ID와 비밀번호가 와이파이망의 프록시(네트워크 중계) 서버에 고스란히 노출되고 있는 것이다. 와이파이 서버 관리자라면 사람들이 와이파이망을 사용해 카카오톡으로 소셜 로그인을 할 때 손쉽게 개인 정보를 가로 챌 수 있다.
http://news.joins.com/article/22509613?cloc=joongang|home|newslist1big
댓글 [10]
-
lakeside 2018.04.05 13:18
-
메리아 2018.04.05 13:40
미친 ㅋㅋㅋㅋㅋㅋ
평문 아이디비번 전송하면서 카카오는 책임없다고 우기네요 ㅋㅋㅋㅋㅋ
-
DarknessAngel 2018.04.05 17:36
그게 책임 소재가 애매합니다
보통 저런건 카톡이 개발해서 주는게 아니라 도입하는 사이트등에서 알아서 기능 개발하는경우도 많으니 그것까지 일일히 책임져줄수는 없죠
다만 제대로 된 TLS처리 안 하면 노출되는건 피할 수 없습니다 (심지어는 헤쉬화해도 얼마나 신뢰할 수 있을지 불명이고, 셈플 수집&리버스를 통해 분석해서 역산할 가능성도 있으므로 애초에 유출 안 되게 하는게 젤이죠)
저런거 아니라도 원래 공개SSID쓰면 DNS등으로 간단하게 피싱하거나해서 훔치는 방법도 존재하므로 (이경우 암호화하던말던 소용없음), 애초에 안 쓰는게 젤입니다 (통신사SSID등과 동일 이름으로 만들어서 낚는경우도 흔함)
-
최동민 2018.04.05 19:43
공용 와이파이를 사용하는 것 부터가 "날 해킹해주세요."라고 광고하는 꼴이라고 개인적으로 생각하고 있어서... 개인적으로 크게 문제 될건 없어 보이네요.
-
나린하제 2018.04.05 21:29
비번을 안다고 해도 카톡은 IP를 체크해서 매회의 로그인마다 로그인 알림을 주던데..
게다가, 인증한 적이 없는 IP나 기기로 로그인을 시도하면 핸드폰 인증 등을 요구하잖아요?
구글도 그렇고.. 딱히 더 신박한 방법도 없지 않나요??
따지고보면 생체정보 로그인같은게 더 위험한거 같은데
그건 바꿀 수도 없는 정보고 한번 틀리면 다 털린다고 봐야 하니..
중요한 고유정보라 한번 틀리면 계속 팔려다닐거고..
-
DarknessAngel 2018.04.05 22:13
그 이전에 훔치기 힘들게 암호화등의 노력을 안 한게 문제시 되는거죠
-
은주얌 2018.04.06 15:08
무제한 요금제써서 WI-FI 안 쓰는게 낫겠네요.. ㅠㅠ
-
귀여운어흥이 2018.04.07 13:51
카카오가 다음이랑 합병데면서 중국으로 넘어가더니만 갓 중국 중국시키들은 기술을 뺴가지를 않나 남에 나라의 소중한 특허 기술들을 훔처 가는짓은 전세게 최강이군요 ,,
텔레그램만 사용하는데 ㅎㅎ
-
dyuwntlr 2018.04.17 20:34
??? 카카오다음이 중국거라구요??? 무슨 소리세요???
카카오라는 기업은 한국기업입니다. 이상한 소문 퍼트리지 마시고.. 신고대상인거 같네요.. ;;;;
-
datarecovery 2018.04.20 17:27 만약 우리가 실수로 컴퓨터에 있는 데이터를 삭제하면 어떻게 해야 하나요?Bitwar Data Recovery, 데이터를 회복 할 수 있게 해 보세요.
http://kr.bitwar.net/
와이파이 서버 관리자 통장 중점 관리해야겠네요. 혹 수상한 입금이 없는지....헐