국내 e메일업체 보안 허술

최근 포털 사이트, 커뮤니티 사이트, PC통신업체 등을 중심으로 제공되고 있는 e메일 서비스 제공업체의 보안장치가 허술해 회원의 개인정보가 유출될 위험이 높은 것으로 드러났다.

17일 인터넷 보안전문 업체 ㈜시큐어뉴스(대표 김원식)에 따르면 이 회사가 국내 40개 e메일 서비스업체의 보안 취약성을 조사한 결과 3, 4개 업체를 제외한 나머지 업체의 개인정보가 쉽게 해킹당할 수 있는 것으로 나타났다.

시큐어뉴스는 "지난 1주일간 국내 메일 서비스업체를 대상으로 쿠키스푸핑(cookie spoofing) 방식으로 해킹 가능성을 시험해 본 결과"라며 "이를 통해 개인의 신상정보 노출 등의 피해가 우려된다"고 밝혔다.

이날 밝혀진 보안 취약 업체는 H사, D사, S사 등 유명 메일 서비스업체와 PC통신 업체인 H사가 포함돼 있다.

'쿠키'란 넷스케이프에서 처음 개발된 수 바이트 크기의 데이터 임시보관 파일로 웹 브라우저에서 서버에 연결을 원활하게 하기 위해 지난 번 접속했을 때의 환경과 같은 정보를 저장해 두고 이를 다음 접속때 활용할 수 있도록 한 것이다.시큐어뉴스는 "쿠키스푸핑으로 특정 소스를 추가해 접속자에게 메일을 보내거나 첨부방법으로 쿠키를 쉽게 가져올 수 있다"며 "관련 업체의 시급한 보안 대책이 요구된다"고 말했다.

특히 지난 2일 한국정보보호센터에서 쿠키방식의 보안 취약성에 대해 관련업체들에게 보안대책 강구를 권고했으나 전혀 시정되지 않은 것으로 나타났다.

쿠키를 통한 접속정보 교환은 e메일 서비스업체 뿐 아니라 경매, 온라인 쇼핑몰 등 개인정보를 입력하고 ID와 패스워드를 사용하는 국내 대부분의 업체들이 채택하고 있어 이들 사이트의 개인정보 유출 가능성 또한 높을 것으로 보인다.

시큐어뉴스는 "사용자 시스템에 저장된 쿠키인증 방식에만 의존하지 말고 서버에도 사용자 신원 정보의 일부를 저장하는 등 상호 비교 인증방식을 채택해야 할 것"이라고 조언했다.