음... 싸X월드 말입니다.

 어제 아침에 싸X월드에 메일을 보냈었습니다.

 그 내용은 "싸X월드 보안상의 치명적인 결함을 발견했다. (그림파일 첨부) 이러이러한데 제대로 얘기하고싶다. 형식적인 답변은 사양한다. 만약 이렇게 심각한 사안임에도 형식적인 답변만 일삼는다면 더 이상 싸X월드 측과의 대화는 하지않고 싸X월드 회원님들께 알리겠다."였습니다.

 사실 제가 알아낸 그 결함이란게 싸X월드의 게시판에 올린 '비공개'라거나 '일촌공개'글을 그 미니홈피의 주인과 아무런 관계도 없는 사람이 볼 수 있는 것이었습니다.(특정한 태그를 이용하면)

 그런데 어제 오후에 싸X월드측에서 날아온 답변은 "개발팀에 문의한 결과 그런일은 없다. 아마도 당신의 컴퓨터에 웹페이지 파일이 쌓여서 그런 것 같으니 그것을 삭제하라."더군요. 정말 어이가 없었습니다. 결국 싸X월드 게시판에 그 내용을 글로 올리고 '광장보내기'를 했죠.

 사무실에선 싸X월드를 막아놔서 못하기때문에 확인은 못해봤는데 스크랩수가 15건정도 되는걸로 봐선 그래도 몇백분이 보신것 같더군요. 어쩌면 오늘베스트로 순위권에 들었을지도요. 싸X월드측에서도 아침에 그 글을 봤는지 약 10시쯤에 전화가 오더군요. 어제 문의주신 내용때문에 통화하고 싶다고. 뭐... 제가 바쁘니 점심시간 지나고 전화하라고 했습니다만... 곧 오겠죠. 일이 어떻게 진행될런지는 아직 모르겠습니다.

 자료를 모으기 위해 비공개 게시글들을 확인하고 다니면서 본 바로는 비공개 게시판에 통장계좌번호, 비밀번호, 공인인증서 비밀번호등을 모두 적어놓으신분도 있더군요. 다들 조심하세요. 게시판을 사용안함으로 해놓아도 이미 작성된 글은 그대로 보입니다. 비공개건 아니건 상관없이요.

 어제 저녁엔 비공개 글과 일촌공개 글에 찾아다니면서 "싸X월드의 보안상 치명적인 결함때문에 제가 이렇게 댓글을 달 수 있습니다."라는 내용으로 댓글을 달고 다녔습니다. 뭐 누가 어떤 글을 썼는지 내용은 눈에도 안들어오고 그저 '비공개'나 '일촌공개'라는 글자만 보고 썼으니 제가 봤을까 걱정하지 않으셔도 되구요. 혹시 우리 상절카페 가족분들 미니홈피에도 제가 댓글을 달아놓았을지도 모르겠군요. -_-;;

 아... 확인해보니 싸X월드측에서 아침에 광장에 보내놓은 제 글도 삭제했군요.

-------------------------------------------------------------------------------------

 싸X월드 광장에 보냈던 글의 원문입니다.

황당한 싸이월드.

　 　 　 　  　  　 부제 : '비공개'로 해 놓았다고 안심하지 말라

　 　 　 　 　 　 　 　  　  누군가 당신의 글을 훔쳐보고 있다.

작성자 : Jin      　 　

 우선 이건 절대로 조작이나 합성이 아님을 먼저 밝히는 바입니다.

 만약 이 글이 공개된다면 싸이월드 관리자에게 보낸 문의에 형식적인 답변이 돌아왔을 경우일겁니다. 이런 심각한 사안에 형식적인 답변만 일삼는다면 대꾸하지 않고 그냥 회원들에게 알려 경각심을 일깨워주기로 마음먹었거든요.

 이 글이 조작이거나 합성이라고 생각하신다면 믿지 않으셔도 상관없습니다. 어차피 제손해가 아니라 믿지않는 여러분이 손해니까요. 전 비공개 게시글이 없기때문에 상관없지만 그래도 많은 싸이월드의 회원님들이 아셔야 할 것 같아서 올리는 겁니다.

 잡설은 그만하고 시작하도록 하겠습니다.

 아, 스크롤바의 압박이 꽤 심하다는걸 미리 알려드립니다.

 여느때와 마찬가지로 태그를 연구하던 중 발견한 사실입니다. 어느 특정한 태그를 사용할 경우 로그인이 가능한 아이디만 있다면 누가 쓴 글이든 '비공개'로 된 글이나 일촌이 아니라도 '일촌공개'로 된 글들을 볼 수가 있었습니다.

 직접 증거 자료를 보여드리는게 빠르겠죠?

 자, 그 첫번째 자료입니다.(개인정보 보호상 이름이나 내용등은 블러처리했습니다. 여기 사용된 자료의 작성자 분들껜 허락도 없이 비공개 글들을 본 점이나 이렇게 올려놓은 점 정말 죄송하다는 말씀 전합니다. 일부러 가장 최근의 자료들만 뽑다보니 제가 이 글을 작성하는 지금 이 시각 - 2006년 07월 05일 오전 07시 가량. - 가장 최근에 올라온 비공개 글들을 사용해야겠기에 선택한 것일뿐 악의도 없고 다른 의도 또한 전혀 없음을 밝히는 바입니다. 그리고 블러처리한 그림을 제외하고 원본은 모조리 삭제하도록 하겠습니다. 다시 한 번 죄송합니다.)

 (그림은 싸이월드 게시판에 맞춰 보기 좋게 크기를 약간 수정했고 중요부분에 빨간 동그라미를 치거나 개인정보 보호상 블러처리를 한 것 외엔 전혀 다른 편집은 가하지 않았습니다.)

 보시는 바와 같이 제가 쓴 글이 아닌 다른 사람이 쓴 비공개 글입니다. 문제는 여기서 끝이 아닙니다. 우측 하단부에 원래 자신이 작성한 글이 아닐 경우 '스크랩' 메뉴만 뜨거나 '스크랩 허용'을 하지 않으면 아무것도 뜨지 않아야 정상입니다.

 허나 보시다시피 '삭제'나 '이동', '발행'등의 메뉴가 떠 있습니다. 직접 실행해보니 작동은 하지 않았습니다만... 이 부분에 대해선 다음 자료를 보면서 더 설명하도록 하겠습니다.

 이번 자료는 비공개 글이 아닌 일촌공개 글입니다.(비공개 글에 댓글이 달려있을 가능성은 거의 없기에) 전 이 분 이름 처음 들어봤습니다.(연예인 이름으로는 들어봤지만...-_-;;) 당연히 일촌도 아니구요.

 그런데 저 글을 보시면 홈주인의 후배(김효X님)가 쓴듯한 글에 달린 홈주인(백지X님)의 댓글을 홈주인과는 아무런 관계도 없는 제가 삭제할 수 있는 권한이 있는겁니다. 댓글 앞에 DEL이 보이시죠?

 더 확실히 하기위해 다른 증거 자료를 첨부하도록 하죠.

 이 글은 전체공개 글입니다. 홈주인(정경X님)이 쓴 글이구요. 그 아래 달린 댓글을 보면 역시 홈주인이 쓰신 댓글을 볼 수 있습니다.

 그런데 마찬가지로 DEL이 활성화 되어있군요. 혹시나해서 조금 오래된 글(2003년도)의 댓글에 달려있던 DEL을 눌러봤습니다. 역시나 삭제가 되더군요.(그 삭제된 댓글에 대해선 뭐라고 드릴 말씀이 없습니다. 제가 글 내용의 경중을 따질 순 없지만 그리 중요한 내용같지는 않아보였기에 실험삼아 눌러본게 그만 정말 삭제되고 말았습니다. 정말 죄송할 따름입니다.)

 계속해서 자료를 첨부하도록 하겠습니다.

 위와 마찬가지의 상황입니다.

 비공개 게시글입니다.

 역시 비공개 게시글입니다.

 마찬가지로 비공개 게시글들입니다.

 이런... 비공개 게시글의 첨부파일까지 받는게 가능할 것 같아 보입니다.(받아볼 생각은 안해봤습니다.)

 비단 이뿐만이 아닙니다. 수 많은 비공개 글들이 있었고 개중엔 다른 사람에겐 절대로 알려져선 안되는 정보들도 많았습니다. 어떤분은 싸이월드의 보안을 믿고 비공개 게시글에 통장 계좌번호, 비밀번호, 공인인증서 비밀번호까지 모두 적어놓은분도 계셨고 남들이 보면 안되는 다소 민망한 내용을 적어놓은분도 계셨습니다. 첨부파일은 제가 받아볼 생각도 열어볼 생각도 해보지 않아서 모르겠지만 분명 남들에게 보여선 안되는 자료들도 많을거라 생각합니다.

 일단 제가 알아낸건 '게시판’에 한해서입니다.(원하는 특정한 사람의 글을 볼 수 있는건 아니었고 무작위로 - 무작위라기보단 글이 올라온 순서대로 - 보는게 가능했습니다.) 허나 조금만 연구를 해보면 ‘사진첩’의 비공개 사진이나 ‘다이어리’의 비공개 일기 혹은 ‘비밀이야’에 쓴 방명록의 글까지 볼 수 있을지도 모릅니다.(물론 연구해볼 생각은 1g도 없습니다.)

 이런... 긴 글을 작성하다보니 출근시간이 거의 다 되어 이 이상은 쓰기가 힘들겠습니다. 이쯤에서 슬슬 마무리짓도록 하겠습니다. 

 제가 사용했던 이 태그를 싸이월드측에서 막는대도 싸이월드 내부 관계자들은 이 태그를 사용할 수 있을거라 생각합니다.(사실 전 싸이월드 게시판에 글을 올리면서 테스트하진 않았습니다. 자세한 설명은 사정상 할 수 없습니다. 눈치빠른 누군가는 어떤 태그인지 알 수도 있거든요.) 즉, 어떻게해도 누군가는 볼 수 있을지도 모른다는 얘기지요. 보안 시스템을 지금처럼 유지하는 한은 말입니다.

 권한이 홈주인의 권한과 거의 비슷한만큼 장담할 순 없습니다만 비공개 게시글의 히트수를 확인해보시기 바랍니다. 만약 비공개임에도 1이상이라면 누군가 본거라는 것일테죠.(0이라면 누군가 봤어도 홈주인과 같은 권한이니만큼 홈주인이 볼때처럼 히트수가 안오를수도 있습니다. 이건 저 혼자선 확인 불가능한 사안입니다.)

 이 글을 스크랩을 해가든 사진을 퍼가든 상관없습니다. 제 미니홈피를 다른곳에 홍보해본적도 단 한번도 없고 스크랩수에도, 방문자수에도 연연하지 않습니다. 아무쪼록 최대한 많은분들이 이런 사실을 알았으면 하는 바람뿐입니다.

 다만 한가지 제가 작성한 이 글을 편집해서 마치 본인이 쓴것처럼만 하지만은 말아주시길 바랍니다.

 지금까지 긴 글을 읽느라 수고하셨습니다.

2006년 07월 05일 08시 20분 Written by Jin.

Copyright C. 2006 All rights reserved.

[마징가-걸m(^^)m]

헉;; 뭐지?? 싸이.....끊어야 하는건가??ㅠ,.ㅠ

[end를 and로 바꿀수 있는 용기]

맙소사....-_

[TheHeRo]

방법 좀 갈쳐줘용~ ㅋ

[빨간도야지]

클럽 비공개글도 이런 방법으로 읽혀질 수 있나요? 　┐- ..............불안엄습.

클럽은 제가 확인해본바가 없어서... 현재까진 미니홈피의 '게시판'에 한해서입니다.

[돌아온필승]

그러니까 특정태크를 이용하여 게시판의 비공개 글 읽기와 댓글의 삭제 권한을 획득할수있다는 말이죠?

네 맞아요.

[v선인장v]

왠일이랍니까. 싸이 월드, 서버 문제도 그렇고 탈이 많네요. 이용하시는 분들 주의,조심 하셔야 겠어요.

[소로네코]

ㅡ_ㅡ 벨름.

[♠아즈라엘♠]

그러게 평소에 비밀 할 일을 만들지 말았어야징. (아 놔 싸이월드측... 개념을 안드로메다로 보냈나...)

음... 아무래도 사위월드와 껌니꺼가 공조체제를 구축했나 보군요. 제 계정에 로그인하면 그림파일은 있는데 클릭하면 못찾는다고 나오네요. 위에 안나오는 그림파일의 등록정보를 봐도 분명 있는걸로 나오는걸보면 껌니꺼에서 제 계정의 파일을 외부에서 못보게 해놨나봐요. 흠... 전화가 오긴했는데 업무보느라 바빠서 전화를 못받아서 -_-;; 근데 제 생각엔 이번기회에 아주 확실하게 뭔가를 해둬야 할 것 같아요. 사위월드측에서 문제가 발생한게 이번뿐만은 아니잖아요. 답변엔 맨날 Ctrl C & Ctrl V고 사진 등록하는데 웬 첨보는 사람 사진이 등록되고 -_-

[돌아온필승]

싸이월드 광장에 올리신 게시물 제가 주로 가는 클럽에 올렸는데 ^^ 이미지 파일은 다시 올려주시면 좋겠네요 ^^ 파란 계정 추천^^

게시판의 게시글은 수정해뒀습니다. 광장의 링크를 타고 오시면 됩니다. 뭐 어쩌면 제 계정 자체를 블럭시킬수도 있겠네요. '과도한 태그 사용'을 이유로 말이죠 -_-;;(사실 과도한 태그를 사용한게 맞긴 합니다만...;;)

[마징가-걸m(^^)m]

헉;; 저 며칠전에 제 사진 플래쉬로 올렸는데 등록된 사진은 모르는(첨보는 여자사진..ㅡㅡ;;)이었다는....무식하게도 전 제가 뭘 잘못했는지...컴퓨터가 밥오인지...고민하다 그냥 삭제하고 다시 올렸다지요...ㅡㅡ

[비오는하루]

ㅇㅣ론.. ㅡ_ㅡ아무 말이나 막적어놓음 안되겠어..~

[버그베어]

비밀글 다지워야겠군..ㅡㅡ

매번 눈가리고 아웅식의 대처가 정말 마음에 안들어요. 이번만 해도 제게 아무 말도 없이 제 계정을 막아버리고 광장에 보내놓은 글을 삭제하고... 언제까지 네티즌들의 눈과 귀를 막고 지들끼리 샤바샤바해서 아무 일 없던것처럼 넘어갈런지... 분명히 저런 허술한 보안때문에 피해 본 사람도 있을지도 모르는데 '일단 최대한 많은 사람들이 모르게 막자.'부터 신경쓰는 것 같아 아쉽습니다. 이번일이 해결되면 확실하게 공지로라도 이번 사태에 대한 사과문이라도 올려달라고 할 생각입니다.

[돌아온필승]

http://cyplaza.cyworld.nate.com/bbs/bbs_view.asp?BoardCode=102&ItemNum=20060705221610863979

[돌아온필승]

광장에 쓰신글 아직 삭제는 안되셨어요..

어제 저녁과 오늘 아침 두 번 올렸습니다. 그 중 더 많은 사람들이 본 아침의 글이 삭제되었구요. 저녁에 올린 글은 이미 저~ 뒤로 넘어가서 사람들이 잘 안봐요;; 그래서 사위월드 측에서도 몰랐던 것 같구요.

[돌아온필승]

다음이미지도 외부싸이트로 링크가 안되네요 붉은 느낌표가 뜨고...그래서 일단 여기 페이지 링크만 해뒀어요..

제가 파란을 안써서 그러는데... 여기 있는 그림파일을 받아서 파란 계정에 직접 올려주실 의향은 없으신가요;;

아... 됐습니다. 끝났네요. 수정 된 것 같습니다. 이제 제가 사용했던 그 방법은 사용 불가군요. 쩝... 그럼 설마 이대로 묻히는 건가... 아무런 사과도 없이 그냥 조용히 넘어가려나... 난 최소한 사과 공지라도 띄우길 원했는데...

[-진-]

헉..작성자( Jin ) 을 보고 혼자 놀란..;;허허;; 싸이에 비밀글..많은데..ㅠㅠ 일기를 지워야 하는 것인지..

[켕]

싸이 안하니 다행...

[TheHeRo]

ㅋㅋㅋㅋ

[14종세트]

일기!!!!!!!!!!!!!!!!!!!!!