컴퓨터에서 실행 시킨 IE8 브라우저 모두가 동일한 세션 정보를 유지하도록 되어 있는 것으로 보입니다..
이로 인해 사용하던 모든 IE8 브라우저를 종료하거나 PC의 계정을 로그아웃하지 않으면 사용자가 웹에 로그인 한 정보가 그대로 남아있게 된다는 군요...
비 IE계열 웹브라우저도 동일한 움직임을 보이는 것 같은데... 아닌가...
(파폭에서 새창을 하나 열어보니 동일하군요...)
헛다리 인건가...??
아래는 문제의 기사 전문입니다...
| IE8, 로그아웃 안하면 개인정보 노출 |
| 행안부, 보안 취약점 대응 권고 |
| 2009년 05월 06일 오후 15:49 |
서소정기자 ssj6@inews24.com  |
| 최근 출시된 마이크로소프트(MS)의 인터넷 익스플로러(IE8)에 보안취약점이 발견, 정부가 대책 마련에 나섰다. 이번에 제기된 취약점은 PC방 등 공개된 장소에서 인터넷 사용 후 로그아웃 또는 실행중인 브라우저를 모두 종료하지 않을 경우, 로그인 상태가 그대로 유지된다는 것이다. 6일 행정안전부는 최근 IE8을 설치한 공공기관에서 개인정보보호 침해 우려를 제기함에 따라 프레스클럽에서 전문가 토론회를 갖는 등 조기 차단에 나섰다. 행안부는 지난 3월부터 각 부처와 함께 새로 출시된 IE8에서 각 기관 홈페이지가 정상 운영되는 지 확인한 결과, 총 43건에 달하는 문제점을 발견했다. 특히 IE8은 세션정보 공유로 인해 개인정보 침해 우려가 상당한 것으로 나타났다. ◆세션정보 공유…로그아웃 안할 시 개인정보 침해 가령 네이버 등 특정 사이트에 로그인해 메일확인 등을 한 후, 로그아웃 또는 모든 IE8을 종료하지 않으면 다음 사용자가 이전 사용자에 대한 개인정보로 접근이 가능한 것. 이 경우 다음 사용자가 타인의 이메일을 열람하는 등 개인정보 및 사생활 침해 문제가 발생할 수 있다. 이전 버전인 IE7에서는 로그인했던 브라우저만 종료하면 됐으나, IE8에서는 실행중인 모든 브라우저를 종료해야 로그인 정보가 삭제된다. 이에 대해 MS 장홍국 이사는 "파이어폭스, 사파리, 오페라, 크롬 등 대부분의 웹브라우저 역시 세션정보를 공유하고 있다"며 "네이버 등 포털사이트를 이용할 때 까페, 이메일 등 각각의 서비스를 이용하기 위해 매번 로그인을 해야한다면 불편하기 때문에 이 같은 기술을 채택하는 게 웹브라우저 트렌드"라고 말했다. 또 IE8에서는 신규 지원되는 개발자 도구 기능을 이용해 PC에 임시 저장된 가격 등의 정보를 임의로 변경하거나 결제가능 하도록 만들 수 있어 부작용이 우려되는 상황이다. IE8에 추가된 '개발자 도구'를 사용하면 화면에 표시된 값을 수정해 서버에 반영할 수 있다. 이 경우 서버에서 변경여부를 검증하지 않으면 사용자가 악의적으로 변경한 값으로 처리할 수 있다. 이에 대해 정보보호진흥원 관계자는 "웹사이트 운영자는 로그인해 접속하는 웹페이지별로 별도 세션유지 값을 부여해야 한다"며 "일반 이용자는 개인정보보호를 위해서 공공장소에서 인터넷 사용을 끝내면 모든 웹브라우저를 종료하는 습관이 필요하다"고 말했다. 또 개발자 도구를 이용한 정보의 임의 변경에 대해서는 "서버에서 PC로 전달된 값을 서버에서 다시 확인하도록 웹사이트 소스 프로그램을 보완해야 한다"고 설명했다. |
| IT는 아이뉴스24, 연예스포츠는 조이뉴스24 <Copyright ⓒ 아이뉴스24. 무단전재 및 재배포 금지> 본 기사는 저작권법의 보호를 받으며 기사의 원형을 변형하거나 훼손하는 것을 금지합니다 |
댓글 없음:
댓글 쓰기