비밀번호 찾기 시스템이 개인정보를 유출한다(?)

아주경제 장윤정 기자 =  최근 중국 CCTV 동방시공(东方时空)에서 '즈푸바오(支付宝) 비밀번호 찾기기능에 취약점이 존재한다'는 주제로 방송을 진행, 화제가 됐다. 

중국 최고의 오픈마켓인 타오바오를 이용하려면,즈푸바오(支付宝)에 가입이 되어 있어야 한다. 즈푸바오는 이베이, 옥션의 페이팔(Paypal)과 같은 시스템이다

 

방송 내용을 보면 얼마전 즈푸바오(支付宝) 개인정보유출 사건과 관련이 있다.

해커는 유출된 개인정보를 이용, '비밀번호 찾기' 기능으로 사용자 즈푸바오(支付宝) 액세스 권한을 획득하는 방법으로 계좌이체 목적을 달성했다.
 

프로그램 방영 시 사회자의 소개에 따르면 해커는 피해자의 이름, 휴대폰번호와 신분증 정보를 이미 알고 있었다.

 

해커는 우선 신분증을 위조 후 피해자의 휴대폰 카드를 재발급 받는다. 만약 피해자의 즈푸바오(支付宝) 계정과 해당 휴대폰번호가 묶여있다면 비밀번호 찾기 기능을 통하여 즈푸바오(支付宝) 계좌의 비밀번호 재설정을 실현할 수 있다.

 

비밀번호 찾기 기능은 사용자 편의를 위한 기능이지만 해커들에 의해 불법적으로 이용되고 있었다.

 

인터뷰 과정에서 사회자는 해커가 설명하는 절차대로 테스트를 진행했다.

우선 즈푸바오(支付宝) 홈페이지에 접속 후 비밀번호 찾기 기능을 클릭한다. 다음 사용자 계정을 입력하면 비밀번호를 찾을 수 있는 2가지 방법을 제공하는데, 여기에서 휴대폰 인증과 신분증 번호입력을 통한 비밀번호 찾기 방법을 선택한다. 마지막 전송된 휴대폰 문자 인증번호와 신분증 번호를 입력한 결과 비밀번호를 재발급 받을 수 있었다.

 

전문가들은 휴대폰 인증 및 신분증 번호를 입력하는 외에 메일정보 입력 등 다중 보안설정을 권장한다고 건의했다.
 

최근 중국 CCTV 동방시공(东方时空)에서 '즈푸바오(支付宝) 비밀번호 찾기기능에 취약점이 존재한다'는 주제로 방송을 진행, 화제가 됐다.