슬픈 소식이 가득한 이번 주, 아직 마무리가 덜 된 사건에 대해 글이 하나 더 쓰이는 것에 대해 우선 유감을 표합니다.

https://quasarzone.com/bbs/qb_free/views/7747072

마이크로닉스에서 개인정보가 유출되었다는 이 사건을 PGR을 통해 접했는데, 살짝 알아보고나니 마닉 측 대응이 워낙 한심해보였습니다. 기초적인 보안 수준도 개판이었는데, 사이트 주소를 직접 쳐서 들어가는 경우에 대한 방비부터가 없었다는 점에서부터 그랬습니다. 사실 로봇.txt 활용 안하냐는 생각도 들었는데, 알아보니 이거 활용이 우선이 아니라는 비판 기사 ( https://www.hani.co.kr/arti/economy/it/607816.html )가 있더라고요. 조금 더 생각해보니 포탈에 유출될 수준을 그냥 로봇.txt로 막아버린거면 해커가 털면 그냥 털리는 수준이겠더라고요.

그리고, 크롤링해서 긁어갔다는데 마닉 측에서 대량 유출은 없었다고 주장했습니다. 뭔가 이상하다싶어 구글에 특정 검색어(현재 구글로 그 검색어 치면 하나도 안 걸립니다만, 네이버나 다음에 치면 여전히 개인정보가 걸리므로 아직 그 검색어 공개는 하지 않겠습니다.)로 검색한 결과 개인정보가 좌르륵 나오더라고요. 네이버 쪽에서는 검색결과에서 전화번호를 복자처리 해놓긴 했지만, 결국 사이트로 들어가면 공개되었던 것은 변함이 없었습니다. 그리고 여전히 특정 패턴이 아닌 전화번호나 주소 같은 것은 검색결과에서 공개되어 있습니다.

그래도 사이트 보완 중이라고 하고, 구글 검색결과 삭제도 시간이 좀 걸릴 수도 있으니 지켜보자고 했는데, 혹시나 몰라서 제가 한 번 삭제를 넣어봤습니다. 이미 알려진 쪽 대충 막아놓은 부분에 대해 삭제를 넣어봤는데 제가 삭제를 넣어본 부분만 삭제되고 다른 쪽은 삭제가 되지 않은 것으로 봐서 이건 마닉 쪽에서 심각성이고 뭐고 몰라도 한참 모르는구나 했습니다. 여기에 더해 네이버 쪽 검색 결과도 죽 둘러보다가 아직 조치 안 된 취약점 하나 발견하고 해서 제보를 했습니다.

그래서, 제보 자체는 큰 무리 없이 되었습니다. 그리고 전화가 다시 와서 빠른 조치를 하겠다고 약속해주었고, 대충 막아놨었던 최초 발견 취약점이나 제가 제보 들어갔던 취약점 전부 1시간만에 비교적 깔끔하게 조치되었습니다. 저녁에는 구글 검색 결과도 대부분 날아갔음을 확인했습니다.

일단 제가 파악한 추가 취약점은 다음과 같습니다. 지금은 모두 깔끔하게 삭제되었습니다.

micronics/view_order.php - 특정 주문 아이디를 같이 입력하면 주문한 내역을 알아볼 수 있던 페이지입니다. 이름 복자로 하나, 전화번호 복자로 하나 조치되어 공개되어있었고, 주소도 전체 공개되어있었습니다. 로그인을 하지 않고 접근하면 로그인 퍼스트라고 경고 알람이 뜨나, 페이지 자체는 그대로 들어가졌습니다.
micronics/edit_inquiry.php - 문의게시판 수정 페이지입니다. 실제 수정되는지 안되는지는 확인을 안 해봤습니다만, 이 글( https://quasarzone.com/bbs/qb_free/views/7747893 )에 댓글로 달렸던 게시판 관련 내용은 데이터 백업 후 삭제 처리가 되었다는 마닉 측의 주장이 무색해진 취약점입니다.

다만, 사건이 다 마무리가 된 것은 아닙니다. 물론 이미 유출된 정보가 혹시나 해커 손에 들어갔다면 그건 마닉 측에서 어찌 할 수 없고, 유출된 피해자 모두에게 각각 전화나 문자를 돌려서 개인정보 유출되었다는 통보 하는 것도 바라지는 않습니다만, 홈페이지에 유출 및 진행상황을 다시 공유하고, 적어도 네이버, 다음에서는 제가 알려준 검색어로 검색해서 개인정보가 뜨진 않는 것 까지는 진행되어야 납득할 것 같습니다. 애초에 이번 유출이 마닉 측이 파악한 것보다 훨씬 심각한 문제라는 것을 인식시킬 목적으로 제보한 것인데, 마닉 측에서 적극적 대응 없이 제가 제보한 것만 조치를 취한 거면 제 제보가 의미가 있겠냐는 생각이 들더라고요. 제보를 해주셔서 감사하다고 마닉 측이 배스킨라빈스31 버라이어티 팩을 보내줬는데 언젠가 기쁜 마음으로 받거나 나눴으면 좋겠습니다.