Home > 전체기사
설날 열차표 예매사이트, 평문전송 취약점 발견
  |  입력 : 2015-01-13 14:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

코레일 설 연휴 열차표 예매사이트, 멤버십번호·패스워드 평문전송

코레일 측 “설 연휴 임시 페이지에서만 한시적으로 해당”


[보안뉴스 민세아] 설 연휴 열차표 예매를 위한 코레일 예매 사이트에서 코레일멤버십번호와 비밀번호가 암호화되지 않은 채 평문으로 전송되고 있는 사실이 드러났다.


▲설 연휴 열차표 예매를 위한 레츠코레일 홈페이지(letskorail.com)


코레일은 우리나라 최대의 명절인 설을 앞두고 13일, 14일 양일간에 걸쳐  설 연휴 열차표 예매기간을 따로 마련했다. 이를 위한 열차표 예매 사이트인 레츠코레일닷컴(letskorail.com)에서 로그인시 필요한 코레일멤버십번호와 비밀번호가 암호화되지 않은 채 평문으로 전송된다는 사실이 밝혀졌다.


코레일멤버십번호는 코레일 홈페이지 로그인 시 필요한 10자리의 고유회원번호로 열차표를 예매할 때 필수적으로 요구되는 번호다. 코레일멤버십번호와 비밀번호로 로그인하게 되면 결제까지는 아니더라도 기존 예매 발권 취소나 변경이 가능하다.


▲로그인 시 코레일멤버십번호와 비밀번호가 평문으로 전송되는 것을 확인할 수 있다.


해당 취약점을 제보한 성균관대 컴퓨터공학과 정보보안동아리 HIT의 박상민 씨는 이 문제를 한국인터넷진흥원(이하 KISA)에 제보했지만, 별로 대수롭지 않게 대응했다고 아쉬움을 나타냈다.  

이와 관련 박 씨는 “KISA 측에서는 같은 네트워크 안에서 패킷을 가로채는 게 쉬운 일이 아니므로 그렇게 급한 이슈사항은 아니라고 말했다”며, “해당 이슈는 몇 시간 만에 해결될 문제가 아니기 때문에 바로 시정하는 것은 힘들다는 답변이 돌아왔다”고 말했다.

이번 취약점에 대해 코레일 측에서는 “대역폭이 한정돼 있는 상황에서 패킷을 암호화 시키게 되면 패킷사이즈가 4배 가량 증가하게 되어 더 많은 사용자들이 접속하지 못하는 문제가 발생한다”며, “한시적으로 명절 승차권 예매 페이지에서만 평문으로 전송되도록 조치를 취한 것으로, 평상시 승차권 예매 페이지는 그대로 암호화된 패킷이 전송된다”고 해명했다.

[민세아 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)