Home > 전체기사

설날 열차표 예매사이트, 평문전송 취약점 발견

  |  입력 : 2015-01-13 14:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

코레일 설 연휴 열차표 예매사이트, 멤버십번호·패스워드 평문전송

코레일 측 “설 연휴 임시 페이지에서만 한시적으로 해당”


[보안뉴스 민세아] 설 연휴 열차표 예매를 위한 코레일 예매 사이트에서 코레일멤버십번호와 비밀번호가 암호화되지 않은 채 평문으로 전송되고 있는 사실이 드러났다.


▲설 연휴 열차표 예매를 위한 레츠코레일 홈페이지(letskorail.com)


코레일은 우리나라 최대의 명절인 설을 앞두고 13일, 14일 양일간에 걸쳐  설 연휴 열차표 예매기간을 따로 마련했다. 이를 위한 열차표 예매 사이트인 레츠코레일닷컴(letskorail.com)에서 로그인시 필요한 코레일멤버십번호와 비밀번호가 암호화되지 않은 채 평문으로 전송된다는 사실이 밝혀졌다.


코레일멤버십번호는 코레일 홈페이지 로그인 시 필요한 10자리의 고유회원번호로 열차표를 예매할 때 필수적으로 요구되는 번호다. 코레일멤버십번호와 비밀번호로 로그인하게 되면 결제까지는 아니더라도 기존 예매 발권 취소나 변경이 가능하다.


▲로그인 시 코레일멤버십번호와 비밀번호가 평문으로 전송되는 것을 확인할 수 있다.


해당 취약점을 제보한 성균관대 컴퓨터공학과 정보보안동아리 HIT의 박상민 씨는 이 문제를 한국인터넷진흥원(이하 KISA)에 제보했지만, 별로 대수롭지 않게 대응했다고 아쉬움을 나타냈다.  

이와 관련 박 씨는 “KISA 측에서는 같은 네트워크 안에서 패킷을 가로채는 게 쉬운 일이 아니므로 그렇게 급한 이슈사항은 아니라고 말했다”며, “해당 이슈는 몇 시간 만에 해결될 문제가 아니기 때문에 바로 시정하는 것은 힘들다는 답변이 돌아왔다”고 말했다.

이번 취약점에 대해 코레일 측에서는 “대역폭이 한정돼 있는 상황에서 패킷을 암호화 시키게 되면 패킷사이즈가 4배 가량 증가하게 되어 더 많은 사용자들이 접속하지 못하는 문제가 발생한다”며, “한시적으로 명절 승차권 예매 페이지에서만 평문으로 전송되도록 조치를 취한 것으로, 평상시 승차권 예매 페이지는 그대로 암호화된 패킷이 전송된다”고 해명했다.

[민세아 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)