통계 위젯 (화이트)

157439
3225
2303411

저작권

모든 내용은 허락없이 상업적으로 사용하실 수 없습니다.
- 오광섭 -

카카오 광고







개발자의 실수.. by 미친병아리

토씨 베타테스터들의 개인정보가 대량으로 유출되었다고 한다.. (참고 : Tossi 베타 테스터 2520명 개인정보 대량 유출, SKT ‘토씨’ 개인정보 2500여건 인터넷에 ‘둥둥’ ) 무슨 일인가 궁금해서 관련 글들을 읽어보니 대충 이런 이야기다..

SK커뮤니케이션스에서 외주개발사에 이벤트 진행을 맡겼고, 그 회사에서는 베타테스터로 신청한 사람들의 명단을 조회해 볼 수 있는 웹사이트를 개발해 관련자들에게 알려줬다.. 신청한 사람들은 개인정보와 함께 자신의 블로그나 싸이, 홈페이지 등의 주소를 기입했는데, 이 명단 페이지에서 클릭을 해서 이리로 쉽게 들어갈 수 있게 하는 링크가 걸려있었다.. 베타테스터로 뽑을지 말지 판단을 위해 이 링크를 통해 신청자들의 블로그를 방문을 했는데, 당연히 이 과정에서 블로그 주인장들이 볼 수 있는 레퍼러가 로그로 남았다.. 신청자들 중에 평소 보지 못했던 사이트로부터 들어온 방문이 궁금한 사람이 있었고, 직접 가보니.. 핫~ 아뿔사, 이럴수가, 베타테스터 신청자 명단이 보는 페이지가 걍 뜬 것이다.. 너무 어처구니가 없어 화면 캡쳐를 하고 블로거들은 이 소식을 블로고스피어에 널리 알렸다.. 물론, 서비스 담당자에게도 알려 이 구멍은 곧 조치가 되었다.. 하지만, 이 사건의 파급효과는 엄청나서 보상을 해주기로 했단다.. (참고 : SKT tossi 개인정보노출에 대한 보상발표)

원래 스토리를 이래야 한다.. 평소 못 본 이상한 리퍼러를 발견한 블로거, 어딘가 싶어 클릭을 해봤지만 토씨 베타테스터 관리자 사이트임을 알리고 로그인을 하라는 화면이 나타난다.. '음.. 내가 신청한 내용을 보고 토씨 담당자가 내 블로그에 놀러 왔었나 보군..' 이런 생각을 하며, 자신의 블로그 관리를 계속하거나 다른 블로그로 놀러간다..

그럼, 왜 이런 일이 발생했을까? SK의 발표대로 개발자의 실수라고 넘겨야 할까? 맞다.. 내가 보기엔 개발자 실수다.. 하지만, 내가 가지고 있는 개발자라는 개념은 프로그래머 보다 넓은 개념이다.. 기획자, 설계자, 프로그래머, 테스터를 모두 포함한 개념이 개발자, 혹은 개발팀이라 생각하기 때문이다.. 사실 이 부분은 엄격히 말해 설계자의 실수다..

분명 기획자는 모든 페이지는 로그인을 거친 사람만이 볼 수 있다는 명세를 넘겼을 것이다.. 이런 명세를 받은 설계자는 프로그래머가 실수를 하더라도 모든 페이지가 무조건 로긴을 거치도록 하는 방안을 만들었을 것이다.. 가장 우아한 방안을 만들지 못했어도 열심히 고민하여 최선의 방법은 찾았을 것이다.. 하지만, 현실은 슬프게도 우리의 개발팀엔 설계자가 없는 경우가 태반이다.. 아울러 프로그래머가 아키텍쳐 설계, 데이터 모델링, UI 디자인, UI 개발, 어플리케이션 프로그래밍, 테스팅 등의 모든 과정을 모두 수행해야 하며 단위테스트 뿐만 아니라 통합테스트까지 모두 책임져야 하며, 문서화 및 메뉴얼까지 작성해야 한다..

뭐, 비교적 간단한(?) 사이트이기 때문에 프로그래머 혼자 이 모든 과정을 다 진행했을지도 모른다.. 우리나라 S/W 개발 관행이라면 충분히 그러고도 남을 것이다.. 음, 일정이라도 좀 확보가 되면 이것도 사실은 해볼만 하다.. 하지만, 일정계획 어떻게 수립되었을지 뻔해 안봐도 비디오일 것이고.. 이런 상황에서 실수가 안 나온다면 신기한게 아닐까?

어찌보면 다른 직업이 아닌 S/W 개발자를 선택한 것이 실수다.. 상황이야 어떻든 결과는 최고가 아니면 안되는 기대, 이런 기대하에 실망의 원인은 회사가 아닌 모두 개발자의 탓으로 돌아온다.. 이번 사건에서 그 회사는 개발자의 실수라 둘러댈 것이 아니라, 설계시 결함이 있었으며 테스트 및 검증을 미처 못한 회사의 관리소홀이라고 했어야 했다..

핑백

  • 박피디의 게임 아키텍트 블로그 : 2007.09.24 링크 2007-09-24 14:46:41 #

    ... ;-- 허거걱...T-Login 개통, 사용기.. http://madchick.egloos.com/1638077개발자의 실수.. http://madchick.egloos.com/1640110요구분석 http://neoocean.net/blog/1739Visual C++ Libraries Development Regression ... more

  • 미친병아리가 삐약삐약 : S/W 테스팅과 품질관리.. 2007-09-29 00:06:40 #

    ... 절감은 어떻게 달래야 할까? 테스트 인력이 없으니 프로그래머가 설계도 하고, 프로그래밍도 하고, 테스트도 하며, 메뉴얼도 쓴다.. 이로 인해 일정과 품질을 맞출 수 없게 되고 사례1, 사례2와 같은 일들이 자주 반복됨에도 불구하고, 단순히 프로그래머의 책임으로 넘기고 있다.. 개발팀의 능력부족(?)이라 탓하고 있는 이런 상황은 정말 아이러니다.. 가 ... more

덧글

  • 눈love 2007/09/23 01:41 #

    뭐라 할수 없는 잘못임은 분명하죠.. 쩝-__

    하지만 현실적으론 늘상일어나는 일이라서...
    개발자가 보안문제가 있다해도 자기들만 쓸테니 걍 만들어 달라는 담당자도 넘치고 넘치니깐요 ..

    괜시리 씀쓸해지는군요 훗
  • 2007/09/23 14:50 # 비공개

    비공개 덧글입니다.
  • 미친병아리 2007/09/23 15:22 #

    눈love님 : 걍 만들어 달라는 이유는 결국 대충 만들어도 좋으니 빨리만 만들어 달라는 것이죠.. 그러고 문제 생기면 나중에 욕은 다 개발자가 먹습니다.. 결국, 신경쓸 것은 미리 제대로 써놓지 않으면 나중엔 꼭 문제가 됩니다..

    비공개님 : 감사합니다.. 수정하였습니다..
  • 스팟 2007/09/23 17:45 # 삭제

    SK커뮤니케이션스에서 외주개발사에 이벤트 진행을 맡긴게 아니라
    SKT에서 외주개발사에 맡긴것일듯 ^^;;

    이벤트라는 업무 특성상 경력좀 되는 분에게 맡기지 않을듯... SKT나 해당 외주개발사의 책임자가 꼼꼼히 챙기지 못한 사례라고 봐야죠. 분명히 관리 책임입니다.
  • Jerry 2007/09/23 19:41 # 삭제

    사실 최근 침해사고의 대부분은 웹 어플리케이션 취약점인데, 놀라운 점은 개발자가 SQL Injection, XSS에 대한 용어를 처음들어보는 경우가 많다는 점은 주목할 필요가 있는 대목이라 봅니다. 발주를 내는 사람 입장도 다를바가 없어서, RFP를 작성하는 사람은 일정과 비용, 그리고 얼마나 싸게 할 수 있는가에 대해 관심을 가질 뿐인 것 같습니다.

    프로세스적으로 웹 어플리케이션 보안은 사전에 검증절차를 거치면 상당한 문제점들이 제거될 수도 있지만, RFP상에 취약점에 대한 책임이 '을'에 있다는 한줄로 끝나버리는 경우가 많은 것 같습니다. 발주자 입장에서는 책임 안지겠다는 것이고, 웹 어플리케이션 취약점이라는 것도 개발자 혼자서 막아낼 수 있는 차원의 것이 아니기 때문에 사실 이런 문제는 지속적으로 반복될 것 같네요.

    우리나라에서는 개발자가 높은 보안지식을 갖추었다고 해서 고급엔지니어로 인정받거나 임금을 높게 받는 것도 아니더라구요. S/W단가기준이라는 것도 그렇잖아요? 학교어디까지 나왔는지? 자격증이 기능사, 기사, 기술사인지? 다 이런거죠.
  • 미친병아리 2007/09/23 21:42 #

    스팟님 : 헛, 그래요? 토씨는 SK커뮤니케이션스가 아닌 SKT에서 하는 서비스인가 보군요.. 그나저나 SKT에서 왜 그런 서비를 하나?

    Jerry님 : SQL 인젝션을 모른다.. ㅎㅎㅎ 하긴 자바스크립트를 저보다 모르는 분들도 꽤 되더군요.. HTML의 DOM 구조에 대해서도 관심이 없고.. 싸게 빨리가 최고의 가치인 세상에서 이런 말 해봐야 소용없겠지요.. 프로는 싸고 빠르게 해야 합니다.. ㅎㅎㅎ
  • 마르스 2007/09/25 00:46 #

    어쩌면 이게 마케팅의 한 전략일수도...;;; (음모론자..ㅋㅋ)
  • 미친병아리 2007/09/25 00:58 #

    마르스님 : 오~ 대단한 마케팅 전략인데요.. 극비로 추진해야하겠군요..
  • Jerry 2007/09/25 01:29 # 삭제

    오~ 그러고 보니, 갑자기 토씨가 유명해진 것도 같군요. ㅎㅎ

    미병님 즐거운 추석 보내시기 바랍니다. 저는 프로젝트 하나 종료시키느라 심신이 피곤해서 한 이틀 정도를 누워지낸 것 같네요. 짭짭.
  • 미친병아리 2007/09/25 09:08 #

    Jerry님 : 정말로 일부러 저지른 마케팅 전략일까요? 즐거운 추석 보내세요~
※ 로그인 사용자만 덧글을 남길 수 있습니다.