이 팁은 해킹이라기 보다는 로그인 우회하기라고 표현하는 것이 더 낫다. 그 이유는 시스템 서버를 해킹하는 것이 아니라 로그인 검사 중 특수문자를 허용하도록 내려받은 HTML 파일을 바꾸기 때문이다. 내가 이 팁을 공개하는 이유는 다음과 같다.

  1. 내 암호 공개
    행정안전부 G-Pin - 졸속 행정의 전형라는 글에서 알 수 있듯이 행정안전부의 G-PIN 사이트는 가입할 때나 암호를 바꿀 때는 특수문자를 입력하도록 강제하고 있다. 그러나 막상 특수문자가 입력된 암호로 로그인을 하려고 하면 다음 그림처럼 "암호에 특수문자를 사용할 수 없다"는 오류 메시지를 띄운다.

    아직까지 G-PIN에서 이 문제를 고치지 않았다. 그러나 G-PIN에서 이 문제를 고친다면 내 아이디로 로그인해서 내 정보가 유출될 수 있다. 로그인을 해서 암호를 바꾸어야 하는데 현재로는 로그인할 수 있는 방법이 없다.

  2. G-PIN의 허약한 보안에 대한 경고
    명색이 행정부 사이트인데 보안이 이처럼 허술할 것으로는 생각하지도 못했다. 웹에 대해 기초 지식만 있는 사람이라고 해도 행정안전부 G-PIN 사이트의 로그인은 쉽게 우회할 수 있다. 그 이유는 웹 사이트를 구축한 사람이 보안이라는 개념이 아예 없는 사람이기 때문이다.

    일반적으로 대부분의 웹 사이트에서 로그인 검사는 클라이언트 스크립트(예: 자바스크립트)를 사용한다. 그런데 클라이언트 스크립트는 간단히 바꿀 수 있다. 따라서 로그인과 같은 중요한 절차를 수행할 때는 반드시 참조 URL을 검사해서 로그인 시도가 정상적인 위치에서 행해졌는지 확인해야 한다. 그러나 보안이 허접한 사이트는 이러한 검사를 하지 않는다. 만약 참조 URL을 검사하지 않으면 클라이언트 스크립트를 얼마나 쉽게 우회할 수 있는지를 예시하기 위함이다.

    이런 방법을 통해 로그인하는 것도 나에게는 조금 부담이다. 아울러 이런 내용을 공개하는 것 역시 상당히 부담이 된다. 그 이유는 우리나라의 정보통신법은 코에 걸면 코걸이 귀에 걸면 귀걸이 이기 때문이다. 그러나 이런 위험을 무릅쓰고 이 내용을 공개하는 것은 우리나라 부처의 보안 의식이 얼마나 희박한지 알리고, 우리나라 부처에는 가장 기본적인 보안에 대한 인식조차 없는 사람들이 사이트를 발주하고 있다는 것을 보이기 위함이다.

  3. G-PIN 사용자에 대한 경고
    내가 행정안전부 G-Pin - 졸속 행정의 전형라는 글은 쓴 이유는 QAOS.com의 회원인 rainygirl님이 G-PIN 사이트에 로그인할 수 없다는 제보를 했기 때문이다. G-PIN 사이트를 언제 만들었지 모르겠지만 그 동안 이 문제가 한번도 G-PIN 사이트에 보고되지 않았을 것으로 생각하지 않는다.

    그 이유는 암호를 바꿀 때는 반드시 특수문자를 입력하도록 강제하고 있기 때문에 로그인을 하지 못하는 사용자가 부지기수로 발생할 수 밖에 없는 상황이기 때문이다. 그런데 아직까지 이 문제가 고처지지 않고 있는 것은 G-PIN 운영자의 안일한 대처 때문으로 보인다. 따라서 G-PIN에 가입한 뒤 암호에 특수문자를 입력해서 로그인하지 못하는 사용자가 많을 것으로 보고 이 팁을 공개하게 되었다.

[자세히 보기]

저작권

이 글은 QAOS.com에 2008년 04월 24일에 올린 행정안전부 G-PIN 해킹하기를 블로그에 다시 올리는 것이다. QAOS.com에서 가져온 모든 글은 QAOS.com저작권(불펌 금지, 링크 허용)을 따른다.

관련 글타래

글쓴이
author image
운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.
2008/04/24 18:04 2008/04/24 18:04
오늘의 글
인기있는 글
조회수 많은 글 | 베오베
댓글 많은 글 | 베오베

Trackback

Trackback Address :: https://offree.net/trackback/1652

Facebook

Comments

  1. 공상플러스 2008/04/24 18:18

    오와우. 역시 도아님은..-_-乃

    QAOS닷컴에 접근권한이 없는 1人

    perm. |  mod/del. reply.
  2. okto 2008/04/24 22:57

    제발 정보통신부에 취직해주세요~ 부탁입니다.

    perm. |  mod/del. reply.
    • 도아 2008/04/25 08:25

      이런 글을 자주 쓰기 때문에 저를 싫어합니다. 공무원이 되려고 하면 알아도 모른척... 해야 합니다.

  3. 니힐 2008/04/25 05:32

    영세업체야 뭐 그러려니 이해할만도 하지만 세금을 멋대로 쳐바른 관공소 사이트가 저러면... 다른 곳도 답답한 곳이 수두룩합니다.

    perm. |  mod/del. reply.
    • 도아 2008/04/25 08:26

      최종 개발은 아마 영세업체에서 했을 겁니다. 원래 하청에 하청이거든요.

  4. 리무상 2008/04/25 09:54

    이벤트를 위해 급조한 모습이 눈에 선하군요.
    칭찬 한번 듣고 싶은 명사마.
    아이돌이 되고 싶은것인가 봅니다.

    perm. |  mod/del. reply.
    • 도아 2008/04/25 15:49

      예. 개념은 안드로메다로 보낸 인간들이 정치를 한다고 하니...

  5. 오리ⓡ 2008/04/25 19:33

    특수문자를 의무적으로 암호로 설정해두게끔 설정한것 자체가 어이상실이네요.

    -_-;;

    perm. |  mod/del. reply.
    • 도아 2008/04/26 09:10

      암호를 더 안전하게 만들기 위해 일부 사이트에서 시행하고 있습니다. 문제는 특수 문자를 넣도록 강제하면서 특수 문자를 사용한 암호로는 로그인할 수 없다는 것이 더 큰 문제인 것 같습니다.

  6. 2010/05/19 17:06

    ......아아... 정말 깜놀이네요-_-;;; 저도 뚫은 정부사이트가 몇개 있긴 했는데.....
    희한하게 노통시절 만든거 말고 전부 요즘 급조해서 만든 부서들 홈페이지..(묵념)

    정부사이트들 특징이 이렇져

    ActiveX다닥다닥 깔기 --> 보안이 철저할거라 생각
    실제로 매우매우 간단한 html이나 javascript로 뚫을수있음....
    굳이 비유하자면 대문에 비싼 자물쇠 수십개씩 걸어놓고 정작 거실 창문유리가 없는 상황...-_-

    날짜 보니 옛날글이네요. 지금은 고쳐졌을까 별로 확인하고 싶지는 않습니다.
    잘 읽었습니다.

    perm. |  mod/del. reply.
    • 도아 2010/05/20 13:35

      모르긴 해도 정부 사이트 중 대부분은 비슷할 것으로 생각됩니다. 더 웃긴 것은 만든 사람이 보안에 대해 문외한이라 비밀번호가 평문으로 저장된다는 것이죠.

(옵션: 없으면 생략)

글을 올릴 때 [b], [i], [url], [img]와 같은 BBCode를 사용할 수 있습니다.