요즘 겨울이라 실외에서 운동하기가 힘이 들더군요.
그래서 운동기구 몇 가지를 구매하기 위해 웹을 탐색하던 중 롯데홈쇼핑(롯데아이몰)을 알게되었습니다.
이것저것 할인 혜택을 적용하면 그나마 저렴한 가격에 상품을 구매할 수 있기 때문이었는데 요즘 통큰 시리즈로 인기를 끌고 있어서 그런지 개인정보보호 정책도 참 통크게 운영하고 있어서 놀랐습니다. 아래에서는 롯대홈쇼핑과 롯대아이몰의 통큰 개인정보정책 부분에 대하여 이야기를 하고자 합니다.
롯데아이몰 = 롯데홈쇼핑
명의도용당한 계정의 확인 그리고 회원탈퇴
아마 회원가입에 대한 관심을 많이 있으시라고 생각됩니다만 반대로 비밀번호 찾기나 회원탈퇴에 대한 내용에는 관심이 없으실것으로 생각됩니다.
우선 롯데홈효핑의 웹사이트인 롯데아이몰에서 물건을 구매하기 위하여 회원가입을 하려고하니 이미 가입 되어 있다고 하더군요. 응? 가입한적이 있나 확인하며 아이디 찾기를 해보았습니다
생전 처음보는 이이디가 가입 되어있더군요.
주민등록번호 도용, 즉 명의도용을 직감하며 혹시나 하는 생각에 비밀번호 찾기를 진행하였습니다.
보통 어느정도 규모있는 웹사이트, 그리고 금전적인 거래가 이루어지는 사이트라면 비밀번호 찾기에 대한부분, 즉 개인정보를 확인하고 그에 대하여 권한을 부여하기 위한 수단이 3~4가지 정도는 마련되어 있습니다
1. 휴대폰 명의확인
2. 공인인증서
3. 주민등록증 발급일자 진위확인
4. 그외 가입시 입력한 휴대폰 번호로 SMS 확인 및 신분증및 증빙 자료를 보내는법
5. 질문 답변 확인
잘 되어있는곳은 아래처럼 나타납니다
6가지 인증수단을 소개 하고 있으며 그중에 하나인 주민등로발급일자 진위 확인서비스의 모습
어이 없게도 롯대아이몰은 통이 커서 질답으로 찾기 하나 뿐이더군요.
주민등록번호 단순도용도 상당히 큰 범죄이지만 단순도용일 경우 사이버수사대를 통한 신고를 하더라도 수사가 잘 이루어지지 않고 중요한 사항이 아니고 범인을 잡기 힘든 문제로 종결되는 문제가 빈번하기 때문에 회원탈퇴 후 재발 방지를 위해 조치 하려고 고객센터에 연락을 하였습니다.
딸랑 비밀번호 찾기 질답창이 유일한 인증수단인 롯대홈쇼핑
결론부터 이야기하자면 고객센터를 통해서 처리하면 개인정보 확인수단 없이 탈퇴 및 비밀번호 초기화가 가능하게 되어있었습니다.
보통 주민등록번호 도용으로 의심되는 단순 도용사례에는 개인정보 도용임을 밝히고 본인임을 인증하는 수단을 통해 확인 후 처리 하게 되어있습니다. 물론 비밀번호 찾기의 경우에는 앞의 수단으로 손쉽게 찾을 수 있음은 다시 이야기 할 필요도 없겠지요.
다른 웹사이트들도 한때 혹은 지금도 도용당한 계정을 탈퇴를 위해서는 주민등록증이나 운전면허증 같은 본인확인가능한 신분증의 사본이나 주민등록등본등을 담당부서로 보내도록 하였지만 개인정보분쟁조정위원회의 권고사항인 과도한 개인정보 요구라는 부분에 의해서 요즘은 주민등록증 발급일자를 통한 진위 확인을 통한 탈퇴처리를 진행하고 있습니다.
타사의 주민등록번호 도용시 계정 탈퇴 및 회원가입 불가시 처리 안내, 오히려 더 까다롭다
폭탄과 함께 하는 롯데홈쇼핑, 롯대아이몰
아래는 명의도용이 의심되어 이런저런 사정을 말하고 처리 단계에 대한 내용을 요학한 부분입니다. 내용이 좀 어이없지만..
>>명의도용을 당하여 회원가입이 불가능하다. 가능하게 해달라
1. 고객님이 직접 주민등록번호를 이용해 가입한것으로 나온다. 도와줄수없다. 명의도용이 의심대면 사이버수사대에 의뢰하라.
>> 이건 단순도용이라 탈퇴로 처리 하려고 한다. 개인정보분쟁조정위원회 권고 사항이다.
2. 그럼 탈퇴는 가능하나 3개월 뒤에 재가입 된다
>>이건 도용에 의한 부분인데 이게 무슨소리냐?
DB변경을 해 달라는것이 아니라 삭제후 재가입이다
3. 원칙적으로 불가능하나 고객요청에 의해 할 수는 있다
>>해달라. 그리고 직접 재가입 하겠다
에서 끝내려고 했는데...전화를 끊기 직전에 생각나게..
이 업체는 뭘 믿고 회원탈퇴를 시키는냐? 개인정보를 도용하는 범인이 만약 다시 들어와서 주민등록번호와 이름을 대고 마치 나처럼 행동하면 ????
그래서 다시 물어보니..
문 : 탈퇴시 본인인증에 대한 확인절차는 없는가?
답 : 고객님, 알려주신 성명, ID 주민등록번호로 본인임이 이미 확인이 되었습니다
이게 무슨 소리입니까?
하도 어이가 없어서 한 20분을 설명하며 통화했습니다.
상담원은 죄가 없겠지만...는 불가능하다를 연발 하는데짜증 안날 사람이어디 있겠습니까?
이런걸 방지할 방법이 없나?-> 건의는 하겠다. 하지만 지금은 시스템이 없다. 그걸로 끝
뭐라고 할까요.. 고객이 왕이니 어쩔수없이 하는소리.. 들어도 뻔한..
아마 상담원이 생각하기에는 진상고객이라서 뭐 밟았구나 생각했을겁니다.
한편 저는죄송하다는 이야기라도 들어봤으면 그나마 누그러졌을지도 모르지요....
그렇다고 개인정보 담당부서 혹은 담당관과의 통화도 불가능하다고 하니..
일단 회원탈퇴가 목적이었기 때문에 전화를 끊고 다른전화로 다른 목소리로 통화를 했습니다. 왜냐면 통화기록이 남기 때문이지요
이번에는 앞에서 의심했던 비밀번호 찾기부분을 실험하였습니다.
진행은 다음과 같이 하였습니다
1. 오랜만에 들어왔다 그래서 비밀번호를 모르겠다.
2. 질답 찾기를 이용해도 모르겠다
3. 그래서 고객센터로 전화한다
결과는 예상대로 아이디 이름 주민등록번호만 알려주면 비밀번호도 초기화 할 수 있었습니다.
이 쇼핑몰 참 통크지요? 통큰치킨, 통큰넷북, 롯데.. 참 통큽니다.
통크다 못해 배불러 터질것 같은데요? 이러한 업체에서 믿고 사겠습니까?
단순히 웃을 이야기가 아닙니다
혹시 의심이 생기거나 궁금하시면 직접 확인해보세요.
만약 내가 물건을 사고 결제를 완료한 후 배송을 기다리고 있는데 개인정보를 도용한 범죄자가 고객센터를 통해 비밀번호를 초기화를 하고 주소지를 변경해버린다 면 어떨까요?
혹은
어떤 웹사이트의 사이버 머니를 준다는 이벤트를 보고 범인이 원 주인의 계정을 탈퇴 시켜버리고 가입해버린다면 어떨까요?
혹은
어떤 웹사이트의 사이버 머니를 준다는 이벤트를 보고 범인이 원 주인의 계정을 탈퇴 시켜버리고 가입해버린다면 어떨까요?
이 과정에서 원래 가입되어있던 핸드폰 주소지 메일주소 등등 개인정보 모두가 유출되겠지요?
물론 위 처럼 물건 주소지를 변경하는 경우에는 거주지가 되거나 사무실이 되니 피해가 발생하면 경찰에 의뢰 할 수도 있지만 응용하면 수사망을 충분히 따돌릴수 있는 환경이 있으리라 생각됩니다.
왜냐고요? 더치트라는 사기꾼 정보를 공유하는 사이트를 방문해보십시요.
하루에도 수십건의 상품먹튀 거래대금 먹튀등의 소액결제 사기가 올라오고 있으며 대포폰, 대포통장, 공공장소를 이용하여 검거가 점점 힘들어지고 있기 때문입니다.
개인정보 사칭 및 신뢰관계를 이용한 사기사례가 빈번하다, 대부분 대포통장 대포폰을 이용하여 검거가 어렵다
무늬만 있는 개인정보 담당부서와 담당관
개인정보 담당부서나 담당관과의 연결을 요구하는 이야기에 상담원은 이런 예를 들더군요.
저의 쇼핑몰은 ARS로 주문을 받는데 이때에는 아무런 인증수단 없이 녹취로만 진행됩니다 그러니 실제 물건을 구매 할 때는 피해가 없습니다. 그러니 회원가입이나 탈퇴를 하는부분에 있어서는 이런 본인인증 철자가 더욱 문제될게 없다.유출이 걱정되면 아이핀을 이용하라
(그외에도 개인정보저장관련 기록, 로그에 대한 이야기도 있으만 이야기만 길어지고 같은소리 반복이니 뭐 넘어가도록하지요.)
위 이야기는 물건을 구매할때 해당사항으로 관련이없었지만 몇마디 붙이자면 물건 구매시 구매자의 전화번호가 업체에 기록되고 주소지 및 대화내용이 녹취 되는데 만약 물금 대금이 결제되고 난 뒤 주소를 바꾸려고 하면 변경 전 기존 주소지, 전화번호, 구매자, 주민등록번호 등을 일일이 확인하고 이전 연락처로 연락을 해서 확인을 한다는 점이 이번 회원탈퇴 부분과 틀린부분이지요.
전혀 관계 없는 이야기를 10분이나 했다는...
결국 교육받은데로 하는것 뿐만아니라 이런 사례에 대해서 대응할수 있는 부서와의 연결이 되어 있지 않음을 미루어 짐작할수 있었습니다. (상담능력도 0... 불가능하면 넘기던가...)
개인정보관리자, 즉 개인정보담당부서가 있음에도 연결이 되지 않는다 즉 장식일뿐!
롯대, 통크다 못해 배 터진다
이 상황을 비유하자면 전설적인 해커로 이 방면에 능통하였다고 하는 케빈 미트닉의 사례인 사회공학적 측면(social engineering) 이 되겠고 네트워크 쪽으로 조금 더 비유를 하자면 세션 하이제킹과 IP스푸핑이 얽혀있다고 할수 있겠내요.
결국 좋은 인증 시스템이 있지만 서로간의 신뢰만을 바탕으로 하여 이러한 절차를 무시하는것이고 나아가서는 분명히 칼이되어 돌아올 겁니다.
롯대홈쇼핑, 롯대아이몰 개인정보관리도 통크게 하시는군요.
가입시에는 알아 먹기도 힘든 각종 서비스에 동의하는 절차를 몇번식이나 거치게 하더니 비밀번호 찾기나 탈퇴는 상관없다 이건가요? 일단 개인정보를 확보했으니 끝?
과연 이러한 절차가 정당한가?에 대한 답은 곧 오겠지요.
더불어 이 포스트가 블라인드처리 되면 어떻게 될지 궁금해지는군요. 기다려봅니다.
'정보보안' 카테고리의 다른 글
| 티스토리 2차 도메인 서비스를 이용하고 있다면 호스트 IP를 변경 하세요 (82) | 2010.11.26 |
|---|---|
| 카스퍼스키 2011 예약할인 이벤트소식 (37) | 2010.09.08 |
| 마이센스 악성코드 배포, 다시시작? (24) | 2010.08.22 |
| 악성코드 유포 의심사이트 재검토 및 처리 경과 (34) | 2010.08.18 |
| 악성코드 유포로 분류된 사이트의 구글 검색 검토요청법 (24) | 2010.08.17 |
| 자신의 블로그가 악성코드 사이트로 분류되지는 않았나요? (25) | 2010.08.17 |
| 주의! 트위터로 다가온 사칭,사기 이벤트 (33) | 2010.07.16 |
