30 Nov 2004
Blogfair 2004에서 RSS 리더로 구독하는 블로그 통계를 산출했는데 제 블로그가 17위를 차지했군요.
행사가 진행 중이던 토요일에는 한참 회사에서 일을 하느라 행사에는 찾아가보지도 못해서 Top 30내에 자리를 차지한 것이 묘한 기분입니다.
사실 월요일, 회사에서 blogfair 사이트에 있는 Top 30 목록을 봤지만 제 블로그가 없는 걸 보고 "하긴, 내 블로그가 뭐 볼 게 있다고 RSS 구독이나 할까. 예상대로였네"라고 중얼거렸습니다. 그런데 집에 와서 무선 인터넷으로 인터넷에 접속하여 살펴보니 제 블로그가 무려 17위에나 있는 것이 아닙니까?! 무선 인터넷이 유선 인터넷보다 더 신기술이라 그런가보다라고 이상한 논리로 결론을 내리며 뿌듯해봅니다. 더욱이 쟁쟁한 분들의 블로그 사이에 끼어 있어 더 뿌듯하군요. :D (그분들은 찝지름하실지 모르겠지만. 하하)
제 블로그의 RSS를 구독해주시는 많은 분들께 감사드리며, 더 좋은 볼거리로 찾아뵙도록 노력하겠습니다.
27 Nov 2004
꽤 오래 이렇다할 큼직한 해킹 사고 없이 버텨오던 싸이월드가 얼마 전부터 해킹 사건이 이곳 저곳에서 터지고 있다. 꽤 여러 사람들이 이 해킹 방법을 이용하여 악용하는 사례가 발생하는 걸 보니 이 보안 문제를 발견하여 사용하던 재야의 고수들은 제법 오랜 시간 동안 이 문제가 방치되었던 걸로 판단된다.
모르는 사람에게 도토리를 이용하여 선물을 했다는 사람이 있는가하면 친구놈은 아는 사람이 자신의 미니룸에 특정 기능이 작동되는 자바 스크립트를 넣음으로써 싸이월드 해킹이 가능하다는 걸 보여주었다고 한다. 확인해보니 정말 미니룸을 출력하는 html 문서 안에 싸이월드에 방문한 사람의 쿠키를 가로채서 아이디를 친구놈의 로그 기록 파일로 날리도록 하는 자바 스크립트가 들어가 있었다.
섣부른 판단일지 모르겠지만 나는 위 사건들이 동일한 해킹 방법에 의해 일어난 것으로 보고 있다. 꼭 동일하지는 않더라도 유사한 형태로 이뤄진 것으로 보고 있다. 아직까지 싸이월드측에서는 이에 대한 공식적인 움직임이 없는 것으로 보아 조용히 문제를 해결하고 있는 듯 싶다. 설마 지금까지 모르고 있을 거 같지는 않고.
나는 예전에 네이버 블로그의 보안 버그를 발견한 적이 있다. 그때의 버그는 아주 단순한 것이어서 하는 방법만 공개되면 누구나 아주 쉽게 치명적인 짓거리를 할 수 있었다. 이에 대해 블루문님의 적절한 움직임으로 좋게 일이 마무리 되었다. 그의 요구인 좋은 재질의 네이버 머그컵은 받지 못했지만 말이다.
뜬금 없이 내 지난 얘기를 하는 이유는 싸이월드의 이번 문제가 그 당시 내가 발견했던 네이버 블로그의 문제와 비슷해보이기 때문이다. 그리고 상황 역시 비슷하기 때문이다. 아주 간단한 조작만으로 여러 가지 불법 행위를 할 수 있는 상황. 네이버 블로그는 남의 게시물 내용을 날려버릴 수 있다면, 싸이월드는 주요 수익 모델 중 하나인 도토리를 원하는대로 훔쳐쓸 수 있다. 내 입장에서는 지난 기억이 떠오를 수 밖에 없다.
아직 이번 싸이월드 보안 문제에 대해 문제 발견자나 이용했던 사람들이 싸이월드에 제보를 하지 않은 것 같다. 아직도 은밀하게 이번 보안 문제를 악용하고 있으며, 친구놈의 지인인 그 사람처럼 싸이월드에 알려져서 일이 해결되기를 원하지 않는 분위기다. 만일 싸이월드가 아직까지 이 사건들에 대해 모르거나, 사용자가 비밀 번호를 제대로 관리하지 않아서 그렇다는 헛소리를 하고 있거나, 혹은 싸이월드 설계상의 문제 때문에 짧은 시간 안에 문제를 해결할 수 없다면 문제는 점차 커질 것이다. 이 문제는 단순히 일촌 공개 사진을 훔쳐보는 정도가 아닌 돈이 걸린 문제이기 때문이다. 한마디로 싸이월드 큰일났다.