얼마전 2008년 최고의 히트를 했던 마이크로 블로깅 서비스인 트위터에 심각한 해킹 사건이 발생한 적이 있습니다.  버락 오바마, 브리트니 스피어스와 폭스 뉴스와 같은 대형 고객들의 계정이 해킹된 사건으로 미국을 떠들썩하게 만들었던 이 사건으로 인해 트위터가 상당한 타격을 받은 적이 있습니다 (아래 링크 참고).

2009/01/07 - [낙서장] - 오바마, 브리트니 트위터 해킹 사건으로 미국은 난리 ...


이 사건을 계기로 트위터에서 대대적인 보안 솔루션을 정비하는 작업을 하고 있고, 오늘부터 그 동안 정비한 결과를 테스트한다고 합니다.  오늘부터 트위터 사용자들을 새로운 프로토콜로 접근을 할 수 있습니다.  트위터가 채택한 것은 개방형 사용자 인증 서비스인 OAuth 입니다.  OAuth가 보안의 측면에서 특별히 뛰어난 것은 아니지만, 다양한 웹 사이트 들의 매쉬업이 등장하게 만들 수 있는 기반도 되고, 자신들이 보안을 단독으로 책임지지 않고 이번 사건처럼 어이없이 계정담당 직원에 의한 개인정보 누출사건이 일어나는 것도 막을 수 있다는 점이 매력으로 다가간 것 같습니다.

OAuth는 이미 대형 서비스인 플리커(Flickr)에도 적용되고 있습니다.  사실 OAuth의 형태나 형식은 페이스북의 Connect나 OpenID 로그인 방식과 크게 다르지 않습니다.  그런데,왜 트위터는 OAuth를 선택했을까요?  일단 페이스북 Connect는 페이스북의 플랫폼이라 논외로 하더라도, OpenID를 선택하지 않은 것은 OpenID가 데스크탑 애플리케이션이 사용할 수 없기 때문이라고 합니다.  

어찌 되었든, 개방형 표준을 선택한 것은 트위터 서비스의 큰 변화를 의미합니다.  써드파티 웹 서비스들이 OAuth를 지원하기만 하면, 사용자들이 쉽게 매쉬업 서비스를 이용할 수 있게 될 것이며, 트위터 계정을 지원하려는 특별한 노력을 기울이지 않아도 됩니다.  거대한 서비스들간의 다리가 놓여지는 것이지요 ...

오늘부터 OAuth를 이용한 로그인이 시작됩니다.  그렇지만, 중요한 것은 자신의 아이디와 패스워드를 잘 지키는 것이겠지요?  아무리 좋은 보안 기술이라고 할 지라도 사용하는 사람이 소홀히 이용하는 아무 소용이 없는 것이니까 말입니다.

트위터와 OAuth의 작업이 성공적으로 이루어지고, 플리커 등의 메이저 서비스들을 이용한 다양한 써드파티 매쉬업들이 등장한다면 올해에는 트위터가 새로운 웹 서비스들이 등장하게 만드는 생태계(ecosystem)를 조성하는데 큰 역할을 할 것입니다.  다음이나 네이버 역시 지도와 같은 새로운 서비스 등을 오픈할 때, 트위터나 플리커와 같이 매쉬업이 쉽게 만들어질 수 있는 방안에 대한 고민을 더 많이 해 주었으면 좋겠습니다.


신고

WRITTEN BY
하이컨셉
미래는 하이컨셉, 하이터치의 세계라고 합니다. 너무 메마르고 딱딱한 이야기보다는 글로벌 시대에 어울리는 세계 각국의 이야기, 그리고 의학과 과학을 포함한 미래에 대한 이야기의 세계로 여러분을 초대합니다.

받은 트랙백이 없고 ,

어제 알려진 대형 사건인데, 국내에서는 뉴스를 찾아볼 수가 없네요 ...  2008년을 빛낸 최고의 웹 서비스이자, 명실공히 웹 2.0 계의 대형스타인 트위터 해킹 사건으로 미국은 떠들썩 합니다. 2009년 시작하자마자 수천 개의 피싱 공격이 있었는데, 이번에는 더 큰 사건이 터졌습니다.

오바마와 브리트니 스피어스, 그리고 폭스 뉴스와 같은 중요 계정들이 해킹이 된 것인데요.  오바마의 경우 대선 이후에 계정을 이용하지 않았다고 합니다.  폭스 뉴스 계정으로는 "웹 2.0의 전도사인 O'Reily가 게이!"라는 트위팅 메시지가 떠돌고, 브리트니 스피어스 계정으로는 자신의 신체와 관련한 괴상한 포스트가 붙었습니다 (해석하기가 민망해서리 ..)

최근에는 폭스 어카운트로 페이스북에 포르노 링크가 포스팅 되었다고 하니, 야단이군요 ...  이미 오바마와 스피어스의 계정을 해킹한 스크린 샷이 여기저기 떠돌기 시작했습니다.  트위터와 같은 메가 서비스에서 이런 사건이 터졌기 때문에, 후폭풍이 만만치 않을 것으로 보입니다. 웹 2.0 관련 사업체 들에게는 안 좋은 뉴스가 되겠네요 ...

현재까지 트위터 측에서는 공식적인 대응을 하지 않고 있는데, 과연 어떻게 사건이 진행될지요 ...



아 ... 이거 아무리 영어라지만 그대로 올릴 수가 없어 수정합니다. 


신고

WRITTEN BY
하이컨셉
미래는 하이컨셉, 하이터치의 세계라고 합니다. 너무 메마르고 딱딱한 이야기보다는 글로벌 시대에 어울리는 세계 각국의 이야기, 그리고 의학과 과학을 포함한 미래에 대한 이야기의 세계로 여러분을 초대합니다.

트랙백  2 ,

올해 7월에 한 차례 구글의 메일 서비스인 Gmail의 보안 문제가 도마에 오른 적이 있었습니다.  이때 구글은 Gmail은 언제나 SSL을 이용해서 하이재킹을 방지한다고 안심을 시킨 바가 있습니다 (SSL은 인터넷 상에서 이용되는 가장 많이 쓰이는 보안 프로토콜 입니다).  SSL을 쓴다고 해커들에게 완전히 안전한 것은 아닙니다만, 그래도 어느 정도의 위안은 줄 수 있었습니다.  이제는 구글 독스가 문제가 되고 있는 듯 합니다.  속사정을 한 번 들여다 보지요 ..


구글 독스와 캘린더는 보호되고 있는가?

저도 간혹 구글 독스를 이용합니다.  특히, 워드 파일 포맷의 글이 이메일에 달려서 날아 왔을 때, 임시로 보관하고 편집을 하는데 있어서 구글 독스 만큼 편리한 것도 없지요.  다른 포맷들도 많이 읽고 편집이 가능하지만 말입니다.  그런데, 구글독스는 현재 SSL과 같은 보호장치가 걸려있지 않습니다.  구글의 SSL에 대한 도움말이 있는 Google's Help Topic on SSL에 따르면, 다음과 같은 문구가 있습니다.

"SSL is a feature only made available to users of Google Apps Premier and Education Editions."

해석을 하자면, SSL이 프리미어와 에듀케이션판에서만 제공된다는 것입니다.  이 문제를 놓고서 RWW에서 실제로 SSL에 의한 보호가 이루어지고 있지 않은지 실험을 해본 것 같은데, 역시 암호화가 되지 않은 HTTP 세션으로 동작하고 있는 것이 확실한 듯 합니다.

한마디로 비즈니스나 교육적인 목적 이외에는 특별한 보호를 해주지 않겠다는 것인데, 이 경우 HTTPS를 이용해서 사용자가 알아서 보호하라는 내용이 있습니다.  아니면 IT 관리자가 강제로 SSL 세션을 이용하게 하는 방법이 있겠지요. 

물론 해결책은 간단합니다.  http 대신 https 를 쓰면 그만이니까요.  그렇다면, 그냥 디폴트로 SSL을 올릴 수는 없었을까요?  SSL을 올릴 경우에 문제가 되는 것은 아마도 구글 서비스의 커넥션이 약간 늦어질 수 있다는 부작용 정도인데요 ...  속도를 위해서 보안을 희생하는 것이 과연 구글과 같은 대기업의 맞는 자세인지요?


SSL을 언제나 "On"으로 하시기 바랍니다.

어쨌든 해결책은 알아야 겠지요?  구글 독스나 캘린더 같은 서비스를 이용할 때 이들이 모두 암호화된 기반에서 움직인다는 것을 확신하기 위해서는 반드시 SSL이 올라가 있어야 합니다.  Gmail을 쓰시는 분들은 모두 Gmail의 중간 메뉴에 자신의 로그인 되어 있는 계정 ID 옆에 "Settings" 내지는 "설정"이라는 항목이 있을 겁니다.  이를 선택하시고 스크롤 바를 내리시면 제일 마지막에 보안 설정 하는 부분이 있습니다.  아래 그림은 제 Gmail 설정 화면을 보여준 것인데요, 저는 영어로 설정해놓고 쓰기 때문에 보통 다른 분들과는 약간 차이가 있겠습니다만, 대부분 손을 대지 않으신 분들은 어느 것도 설정되어 있지 않을 것입니다.  


"브라우저의 접속" 관련 옵션을 언제나 https를 사용하도록 설정


어쨌든 위의 그림과 같이 언제나 "https"를 사용하도록 설정을 하시면 그 다음부터는 암호화가 디폴트로 설정이 됩니다.  이렇게 해두면, Gmail에서 연결하는 다른 모든 커넥션은 자동으로 암호화가 됩니다.  다시 말해, Gmail을 띄운 상태에서 캘린더나 문서를 접근하시면 이들이 새로운 창을 띄울 때에도 모두 SSL을 기본으로 사용하게 됩니다.  

그렇지만, 만약에 직접 http://docs.google.com, http://calendar.google.com 등을 직접 쳐 넣어서 접근하시면 암호화가 되지 않게 되므로 주의를 하셔야 합니다.


신고

WRITTEN BY
하이컨셉
미래는 하이컨셉, 하이터치의 세계라고 합니다. 너무 메마르고 딱딱한 이야기보다는 글로벌 시대에 어울리는 세계 각국의 이야기, 그리고 의학과 과학을 포함한 미래에 대한 이야기의 세계로 여러분을 초대합니다.

받은 트랙백이 없고 ,