싸이월드는 해킹 당하고 있는 중

꽤 오래 이렇다할 큼직한 해킹 사고 없이 버텨오던 싸이월드가 얼마 전부터 해킹 사건이 이곳 저곳에서 터지고 있다. 꽤 여러 사람들이 이 해킹 방법을 이용하여 악용하는 사례가 발생하는 걸 보니 이 보안 문제를 발견하여 사용하던 재야의 고수들은 제법 오랜 시간 동안 이 문제가 방치되었던 걸로 판단된다.

모르는 사람에게 도토리를 이용하여 선물을 했다는 사람이 있는가하면 친구놈은 아는 사람이 자신의 미니룸에 특정 기능이 작동되는 자바 스크립트를 넣음으로써 싸이월드 해킹이 가능하다는 걸 보여주었다고 한다. 확인해보니 정말 미니룸을 출력하는 html 문서 안에 싸이월드에 방문한 사람의 쿠키를 가로채서 아이디를 친구놈의 로그 기록 파일로 날리도록 하는 자바 스크립트가 들어가 있었다.

섣부른 판단일지 모르겠지만 나는 위 사건들이 동일한 해킹 방법에 의해 일어난 것으로 보고 있다. 꼭 동일하지는 않더라도 유사한 형태로 이뤄진 것으로 보고 있다. 아직까지 싸이월드측에서는 이에 대한 공식적인 움직임이 없는 것으로 보아 조용히 문제를 해결하고 있는 듯 싶다. 설마 지금까지 모르고 있을 거 같지는 않고.

나는 예전에 네이버 블로그의 보안 버그를 발견한 적이 있다. 그때의 버그는 아주 단순한 것이어서 하는 방법만 공개되면 누구나 아주 쉽게 치명적인 짓거리를 할 수 있었다. 이에 대해 블루문님의 적절한 움직임으로 좋게 일이 마무리 되었다. 그의 요구인 좋은 재질의 네이버 머그컵은 받지 못했지만 말이다.

뜬금 없이 내 지난 얘기를 하는 이유는 싸이월드의 이번 문제가 그 당시 내가 발견했던 네이버 블로그의 문제와 비슷해보이기 때문이다. 그리고 상황 역시 비슷하기 때문이다. 아주 간단한 조작만으로 여러 가지 불법 행위를 할 수 있는 상황. 네이버 블로그는 남의 게시물 내용을 날려버릴 수 있다면, 싸이월드는 주요 수익 모델 중 하나인 도토리를 원하는대로 훔쳐쓸 수 있다. 내 입장에서는 지난 기억이 떠오를 수 밖에 없다.

아직 이번 싸이월드 보안 문제에 대해 문제 발견자나 이용했던 사람들이 싸이월드에 제보를 하지 않은 것 같다. 아직도 은밀하게 이번 보안 문제를 악용하고 있으며, 친구놈의 지인인 그 사람처럼 싸이월드에 알려져서 일이 해결되기를 원하지 않는 분위기다. 만일 싸이월드가 아직까지 이 사건들에 대해 모르거나, 사용자가 비밀 번호를 제대로 관리하지 않아서 그렇다는 헛소리를 하고 있거나, 혹은 싸이월드 설계상의 문제 때문에 짧은 시간 안에 문제를 해결할 수 없다면 문제는 점차 커질 것이다. 이 문제는 단순히 일촌 공개 사진을 훔쳐보는 정도가 아닌 돈이 걸린 문제이기 때문이다. 한마디로 싸이월드 큰일났다.