토씨 베타테스터들의 개인정보가 대량으로 유출되었다고 한다.. (참고 : Tossi 베타 테스터 2520명 개인정보 대량 유출, SKT ‘토씨’ 개인정보 2500여건 인터넷에 ‘둥둥’ ) 무슨 일인가 궁금해서 관련 글들을 읽어보니 대충 이런 이야기다..
SK커뮤니케이션스에서 외주개발사에 이벤트 진행을 맡겼고, 그 회사에서는 베타테스터로 신청한 사람들의 명단을 조회해 볼 수 있는 웹사이트를 개발해 관련자들에게 알려줬다.. 신청한 사람들은 개인정보와 함께 자신의 블로그나 싸이, 홈페이지 등의 주소를 기입했는데, 이 명단 페이지에서 클릭을 해서 이리로 쉽게 들어갈 수 있게 하는 링크가 걸려있었다.. 베타테스터로 뽑을지 말지 판단을 위해 이 링크를 통해 신청자들의 블로그를 방문을 했는데, 당연히 이 과정에서 블로그 주인장들이 볼 수 있는 레퍼러가 로그로 남았다.. 신청자들 중에 평소 보지 못했던 사이트로부터 들어온 방문이 궁금한 사람이 있었고, 직접 가보니.. 핫~ 아뿔사, 이럴수가, 베타테스터 신청자 명단이 보는 페이지가 걍 뜬 것이다.. 너무 어처구니가 없어 화면 캡쳐를 하고 블로거들은 이 소식을 블로고스피어에 널리 알렸다.. 물론, 서비스 담당자에게도 알려 이 구멍은 곧 조치가 되었다.. 하지만, 이 사건의 파급효과는 엄청나서 보상을 해주기로 했단다.. (참고 : SKT tossi 개인정보노출에 대한 보상발표)
원래 스토리를 이래야 한다.. 평소 못 본 이상한 리퍼러를 발견한 블로거, 어딘가 싶어 클릭을 해봤지만 토씨 베타테스터 관리자 사이트임을 알리고 로그인을 하라는 화면이 나타난다.. '음.. 내가 신청한 내용을 보고 토씨 담당자가 내 블로그에 놀러 왔었나 보군..' 이런 생각을 하며, 자신의 블로그 관리를 계속하거나 다른 블로그로 놀러간다..
그럼, 왜 이런 일이 발생했을까? SK의 발표대로 개발자의 실수라고 넘겨야 할까? 맞다.. 내가 보기엔 개발자 실수다.. 하지만, 내가 가지고 있는 개발자라는 개념은 프로그래머 보다 넓은 개념이다.. 기획자, 설계자, 프로그래머, 테스터를 모두 포함한 개념이 개발자, 혹은 개발팀이라 생각하기 때문이다.. 사실 이 부분은 엄격히 말해 설계자의 실수다..
분명 기획자는 모든 페이지는 로그인을 거친 사람만이 볼 수 있다는 명세를 넘겼을 것이다.. 이런 명세를 받은 설계자는 프로그래머가 실수를 하더라도 모든 페이지가 무조건 로긴을 거치도록 하는 방안을 만들었을 것이다.. 가장 우아한 방안을 만들지 못했어도 열심히 고민하여 최선의 방법은 찾았을 것이다.. 하지만, 현실은 슬프게도 우리의 개발팀엔 설계자가 없는 경우가 태반이다.. 아울러 프로그래머가 아키텍쳐 설계, 데이터 모델링, UI 디자인, UI 개발, 어플리케이션 프로그래밍, 테스팅 등의 모든 과정을 모두 수행해야 하며 단위테스트 뿐만 아니라 통합테스트까지 모두 책임져야 하며, 문서화 및 메뉴얼까지 작성해야 한다..
뭐, 비교적 간단한(?) 사이트이기 때문에 프로그래머 혼자 이 모든 과정을 다 진행했을지도 모른다.. 우리나라 S/W 개발 관행이라면 충분히 그러고도 남을 것이다.. 음, 일정이라도 좀 확보가 되면 이것도 사실은 해볼만 하다.. 하지만, 일정계획 어떻게 수립되었을지 뻔해 안봐도 비디오일 것이고.. 이런 상황에서 실수가 안 나온다면 신기한게 아닐까?
어찌보면 다른 직업이 아닌 S/W 개발자를 선택한 것이 실수다.. 상황이야 어떻든 결과는 최고가 아니면 안되는 기대, 이런 기대하에 실망의 원인은 회사가 아닌 모두 개발자의 탓으로 돌아온다.. 이번 사건에서 그 회사는 개발자의 실수라 둘러댈 것이 아니라, 설계시 결함이 있었으며 테스트 및 검증을 미처 못한 회사의 관리소홀이라고 했어야 했다..
SK커뮤니케이션스에서 외주개발사에 이벤트 진행을 맡겼고, 그 회사에서는 베타테스터로 신청한 사람들의 명단을 조회해 볼 수 있는 웹사이트를 개발해 관련자들에게 알려줬다.. 신청한 사람들은 개인정보와 함께 자신의 블로그나 싸이, 홈페이지 등의 주소를 기입했는데, 이 명단 페이지에서 클릭을 해서 이리로 쉽게 들어갈 수 있게 하는 링크가 걸려있었다.. 베타테스터로 뽑을지 말지 판단을 위해 이 링크를 통해 신청자들의 블로그를 방문을 했는데, 당연히 이 과정에서 블로그 주인장들이 볼 수 있는 레퍼러가 로그로 남았다.. 신청자들 중에 평소 보지 못했던 사이트로부터 들어온 방문이 궁금한 사람이 있었고, 직접 가보니.. 핫~ 아뿔사, 이럴수가, 베타테스터 신청자 명단이 보는 페이지가 걍 뜬 것이다.. 너무 어처구니가 없어 화면 캡쳐를 하고 블로거들은 이 소식을 블로고스피어에 널리 알렸다.. 물론, 서비스 담당자에게도 알려 이 구멍은 곧 조치가 되었다.. 하지만, 이 사건의 파급효과는 엄청나서 보상을 해주기로 했단다.. (참고 : SKT tossi 개인정보노출에 대한 보상발표)
원래 스토리를 이래야 한다.. 평소 못 본 이상한 리퍼러를 발견한 블로거, 어딘가 싶어 클릭을 해봤지만 토씨 베타테스터 관리자 사이트임을 알리고 로그인을 하라는 화면이 나타난다.. '음.. 내가 신청한 내용을 보고 토씨 담당자가 내 블로그에 놀러 왔었나 보군..' 이런 생각을 하며, 자신의 블로그 관리를 계속하거나 다른 블로그로 놀러간다..
그럼, 왜 이런 일이 발생했을까? SK의 발표대로 개발자의 실수라고 넘겨야 할까? 맞다.. 내가 보기엔 개발자 실수다.. 하지만, 내가 가지고 있는 개발자라는 개념은 프로그래머 보다 넓은 개념이다.. 기획자, 설계자, 프로그래머, 테스터를 모두 포함한 개념이 개발자, 혹은 개발팀이라 생각하기 때문이다.. 사실 이 부분은 엄격히 말해 설계자의 실수다..
분명 기획자는 모든 페이지는 로그인을 거친 사람만이 볼 수 있다는 명세를 넘겼을 것이다.. 이런 명세를 받은 설계자는 프로그래머가 실수를 하더라도 모든 페이지가 무조건 로긴을 거치도록 하는 방안을 만들었을 것이다.. 가장 우아한 방안을 만들지 못했어도 열심히 고민하여 최선의 방법은 찾았을 것이다.. 하지만, 현실은 슬프게도 우리의 개발팀엔 설계자가 없는 경우가 태반이다.. 아울러 프로그래머가 아키텍쳐 설계, 데이터 모델링, UI 디자인, UI 개발, 어플리케이션 프로그래밍, 테스팅 등의 모든 과정을 모두 수행해야 하며 단위테스트 뿐만 아니라 통합테스트까지 모두 책임져야 하며, 문서화 및 메뉴얼까지 작성해야 한다..
뭐, 비교적 간단한(?) 사이트이기 때문에 프로그래머 혼자 이 모든 과정을 다 진행했을지도 모른다.. 우리나라 S/W 개발 관행이라면 충분히 그러고도 남을 것이다.. 음, 일정이라도 좀 확보가 되면 이것도 사실은 해볼만 하다.. 하지만, 일정계획 어떻게 수립되었을지 뻔해 안봐도 비디오일 것이고.. 이런 상황에서 실수가 안 나온다면 신기한게 아닐까?
어찌보면 다른 직업이 아닌 S/W 개발자를 선택한 것이 실수다.. 상황이야 어떻든 결과는 최고가 아니면 안되는 기대, 이런 기대하에 실망의 원인은 회사가 아닌 모두 개발자의 탓으로 돌아온다.. 이번 사건에서 그 회사는 개발자의 실수라 둘러댈 것이 아니라, 설계시 결함이 있었으며 테스트 및 검증을 미처 못한 회사의 관리소홀이라고 했어야 했다..
덧글
하지만 현실적으론 늘상일어나는 일이라서...
개발자가 보안문제가 있다해도 자기들만 쓸테니 걍 만들어 달라는 담당자도 넘치고 넘치니깐요 ..
괜시리 씀쓸해지는군요 훗
비공개님 : 감사합니다.. 수정하였습니다..
SKT에서 외주개발사에 맡긴것일듯 ^^;;
이벤트라는 업무 특성상 경력좀 되는 분에게 맡기지 않을듯... SKT나 해당 외주개발사의 책임자가 꼼꼼히 챙기지 못한 사례라고 봐야죠. 분명히 관리 책임입니다.
프로세스적으로 웹 어플리케이션 보안은 사전에 검증절차를 거치면 상당한 문제점들이 제거될 수도 있지만, RFP상에 취약점에 대한 책임이 '을'에 있다는 한줄로 끝나버리는 경우가 많은 것 같습니다. 발주자 입장에서는 책임 안지겠다는 것이고, 웹 어플리케이션 취약점이라는 것도 개발자 혼자서 막아낼 수 있는 차원의 것이 아니기 때문에 사실 이런 문제는 지속적으로 반복될 것 같네요.
우리나라에서는 개발자가 높은 보안지식을 갖추었다고 해서 고급엔지니어로 인정받거나 임금을 높게 받는 것도 아니더라구요. S/W단가기준이라는 것도 그렇잖아요? 학교어디까지 나왔는지? 자격증이 기능사, 기사, 기술사인지? 다 이런거죠.
Jerry님 : SQL 인젝션을 모른다.. ㅎㅎㅎ 하긴 자바스크립트를 저보다 모르는 분들도 꽤 되더군요.. HTML의 DOM 구조에 대해서도 관심이 없고.. 싸게 빨리가 최고의 가치인 세상에서 이런 말 해봐야 소용없겠지요.. 프로는 싸고 빠르게 해야 합니다.. ㅎㅎㅎ
미병님 즐거운 추석 보내시기 바랍니다. 저는 프로젝트 하나 종료시키느라 심신이 피곤해서 한 이틀 정도를 누워지낸 것 같네요. 짭짭.