피싱이 있어 올립니다
애초 이화면이 떴을때 긴가민가했고
요즘 지능적 낚시가 많아 아질게와
여러가지로 알아본후 휴대전화 인증으로
풀었습니다
폰이 두대이고 한랜드폰은 와이파이가 꺼진상태였으나 두대핸드폰 다 브라우져 데이터를 삭제하고 셀룰러 데이타로 네입어 접속해도 보호조치 화면이 뜨더군요
밑에 피싱이랑 다른점은 크게
주민번호를 다 입력하란게 아니고
생년월일만 입력입니다
요즘 바뀐법 덕에 주민번호를 다 요구하면 사기라 보시면 됩니다
그리고 아이디 만들시 기입한 전번과
메일주소가 동일한점
그리고 이 페이지 주소가 네이버 주소( nid.naver.com/mobile/user/help…) 가
맞다는 점이 판단 요점이였습니다
첫짤과 둘째 짤은 각각 다른 기기의 스샷입니다
host 파일 수정할수 있거든요..
+1
#CLiOS
주소 자체가 ip로 시작하면 무조건 피싱이라고 보시면 됩니다.
서브도메인 nid.naver.com 이렇게 시작하거나 정식 도메인으로 *.naver.com로 시작하면 진짜라고 보시면 됩니다.
도메인으로 구분해도 낚이죠..
#CLiOS
보안의 목적은 오판을 줄이는게 아니라,
피해자를 줄이는 것이기 때문에 그런 보수적인 접근이
옳다고 생각합니다.
공격 시도가 있는 것 같다 -> 공격자는 비밀번호를 보유하고 있을 수도 있다 -> 따라서 사용자가 같은 비밀번호를 사용하는 것을 막는다.
오류가 2단계에 거쳐 증폭되어 애꿎은 사용자의 비밀번호를 바꾸게 되는 경우도 물론 있겠으나,
보수적이지만 안전하고 논리적으로 보여집니다.
반대로 계정 접근 차단은 옳으나 비밀번호는 그대로 사용하고 싶다는 이유로
보안의 주체를 비난하는 타테님의 모습은 어찌보면 안일해 보이기까지 하네요.
제가 반대로 묻고 싶습니다.
본인 계정이 공격당하지 않은 것이 확실하신가요?
같은 이야기를 계속 하게 되네요.
오판인 걸 오판이라고 알 수 있는 경우는 이미 정답을 알고 있는 경우 뿐입니다.
공격시도에 대한 데이터는 네이버만 갖고 있기 때문에 사실 사용자가 오판인지 아닌지는 알 길이 없어요. 오판이라고 오해받을 수 있는 접속 시도는 본인이 아닌 다른 사람의 기억 속에만 있을 수도 있으니까요. 그런 상황에서 행여나.오판이 아니라면 같은 비번은 해킹당할 수 있는 것입니다.
혹시 네이버가 보안은 잘하고 있다는 말 한마디 어려울 정도로 그냥 네이버가 싫으신 것인가요?
그렇다고 하시면 문맥을 잘못 짚은 제가 이쯤에서 그만하도록 하지요.
#CLiOS
우선 비유가 잘못되셨습니다.
서버가 집이므로 집주인은 네이버고 털리면 법적으로 개인정보를 취급하고 보호해야 하는 네이버가 책임을 집니다.
집주인이 네이버이므로 ip로그는 네이버만 갖고 있습니다. 타테님이 갖고 있는 것은 오직 접속한 기억뿐이죠. 그게 비밀번호를 유지해야하는 판단의 근거가 되어서는 안되기 때문에 안일해 보인다는 표현을 쓴 것입니다. 또한 ip로그 보면 답이 간단히 나온다는 듯 말씀하시는데 타테님에게 불편함을 초래한 정황 증거가 어떤 사람에게는 실제 해킹을 당한 경우일 수도 있습니다. 본인의 경험으로만 그것이 무의미한 짓인지는 사실상 알 수 있는 방법이 없습니다. 위에서 말씀드린 것처럼 타테님은 네이버 서버에 타테님의 계정으로의 접속 시도를 알 수 있는 방법이 없죠. 네이버 직원이셔도 가능할지는 모르겠네요.
더불어서 보안 입장에서는 조금이라도 위험해 보이는 것은 차단해야 안전해지는 걸 인지하고 있다면 그런 상황을 방지하려는 노력은 도덕적으로 바람직한 것입니다. 비율로 말씀드리면 90이 불편하고 10이 입는 실제 피해를 예방할 수 있다면 그렇게 하는 것이 도덕적으로 옳다는 것입니다. UX와 보안의 입장은 대개 대척점에 있기 마련이죠.
그리고 이전 비밀번호와 같은 비밀번호를 입력하는 것을 방지하는 것은 실제로는 개발 과정에서 추가 구현이 발생하는 부분입니다.
단순히 귀찮아서 방치하려면 지금 입력하려는 비밀번호가 전의 것과 같은지 검사하는 과정이 오히려 생략되겠죠.
요약하자면 네이버는 위와 같은 조치를 하지 않을 시 선의의 피해자를 발생시킨다고 인지하고 있으며, 보안 피해 예방을 위해 굳이 불편한 과정을 추가한 것으로 보입니다.
제가 댓글을 연달아 다는 이유는 저것이 타테님 계정을 안전하게 지키기 위한 노력으로 보이기 때문입니다. 하지만 결함이 있는 논리로 본인의 입장을 고수하고 싶으시다면, 여전히 개똥같다고 느껴지신다면, 네이버 비밀번호를 여러번 바꿔서 처음에 입력하고자 했던 것으로 입력해 놓으세요.
비밀번호 히스토리를 전부 저장할 순 없으니 목적을 달성하실 수 있을 겁니다.
비밀번호를 바꿔야 한다는 것에 대한 분노때문에 제 생각을 귀담아 들으려 하지 않으시니 더 이상의 댓글은 무의미할 것 같습니다.
저는 여기까지만 쓰겠습니다.
#CLiOS
정말이지 지속적으로 끈질기게 읽고 싶은 것만 읽으시네요.
게다가 제 논점의 핵심이 아닌 반박 가능한 다테일만 반론하시구요.
본인인증으로 패스워드 사용을 막는 이유도 제가 쓴 댓글에 분명히 적혀 있으니 다시 읽어보시는걸 추천합니다. 한번에 못 읽으면 여러번 읽는 수고라도 하셔야지요.
혹시 귀찮으실까봐 간단하게 다시 써드리면 "위험할 수도 있기 때문에 막은 것이고, 막은 것을 풀게 해주면 다시 위험해질 수 있기 때문에 막는 것"입니다. 여기에 서비스 개념이 끼어든 건 정말 답답하네요. 타테님은 지금 고객의 정보가 위험해질수도 있는 서비스를 제공해달라고 주장하시는 겁니다.
타테님과 유사한 접속 로그 패턴을 갖는 피해자가 단 한명도 없다는 걸 증명할 수 있습니까?
이걸 증명할 수 없을 때 저걸 초기화시키는 기능을 만드는 것이 얼마나 멍청한 짓이 되는지 다음 예시를 보면서 한번 곰곰히 생각해 보시기 바랍니다.
1. 위험하다고 추정되는 비밀번호 A
2. 비밀번호 A 사용 금지
3. 비밀번호 A 본인 인증하여 다시 사용
4. 다시 위험하다고 추정되는 비밀번호 A
5. 2~4 무한 반복
이게 타테님이 주장하는 문제 없는 서비스입니다.
정말로 문제가 없어보이시나요?
무한반복 중에 단 한건도 해킹 시도가 없을 것이라 장담할 수 있나요?
네이버 사용자 전체 로그 데이터를 갖고 계신가요?
모든 데이터에 대해 해킹 시도인지 아닌지 정답도 알고 계신가요?
제가 무슨 네이버 대변인도 아니고, 그저 잘한 일을 잘했다고 칭찬하는게 왜 이리 어려운지 모르겠네요.
#CLiOS
정말 할 말을 잃게 만들 정도로 비논리적이시네요.
'임의 판단'이 오판일 가능성은 보안에서 중요하지 않다구요.
'임의 판단'이 '정답'일 경우에 '피해자'가 생기니, '피해자'가 될 사람을 보호하는 게
가장 중요한 것입니다.
'임의 판단'에 의해 '소모품'이면서, '노출'되었을 '가능성'이 있는 비밀번호를 '차단'하는 것은
'임의 판단' -> '정답' -> '비밀번호' '노출' '가능성' -> '정답' -> '피해자' 발생
총 3가지 경우 중 피해자가 발생하지 않는 2가지 경우가 아닌,
위와 같은 단 한 가지 경우를 보호해야하는 '보안'의 영역입니다.
"'고객' 서비스"가 아니라 '보안'의 영역이예요.
'피해자'가 '소수'이고 '타테'가 아니더라도,
그 외 '계정 공격'에 의한 '피해자'가 있으면 '보안'의 영역입니다.
따라서,
'임의 판단' -> '정답' -> '비밀번호' '노출' '가능성' -> '정답' -> '소모품'인 '비밀번호' '차단' -> '피해자' 미발생
이 되는 것이 '보안'의 '정답'입니다.
'임의 판단'의 '정확도'를 높이는 것만이 '고객 서비스'의 영역이 될 수 있습니다.
지금 타테님은 '정확도'가 100프로가 아니니까 '개똥'이고 '엉망'이고
그래서 무턱대고 차단한 비밀번호를 열어주지 않는
'서비스'(사실은 '보안' 절차임에도)가 개똥이고 '엉망'이라는 논리인데,
'정확도'가 '0프로'가 아닌 이상 '개똥'도 '엉망'도 아닙니다.
제가 지속적으로 질문 드리는 것도 그 '정확도'가 '0프로'인지 증명하실 수 있냐는 겁니다.
'0프로'이면 '개똥'도 '엉망'도 맞습니다.
타테님 논리가 맞으려면 '임의 판단' '정확도'가 '0프로'라고 증명하셔야 한다는 얘기입니다.
비논리와 비아냥으로 어떻게든 이겨보려고 하시니까, 본인의 비논리에 갇혀서
본인 자신을 '2~4 반복을 시도하는 문제 있는 사용자'로
지칭하게 된 것도 모르시는거죠.
안쓰럽네요. 피곤하구요.
#CLiOS
from CV
펌웨어도 개발 새발 만들었을듯...
이거 당하신분들 공유기 모델이 어떻게 되나요?
제가 위에서 말했던 공유기는 애니게이트라는 제품이였습니다.
#CLiOS
대대적으로 뉴스화된건 아닌데, 클리앙이가 기타 커뮤니티에서는 꽤 오래 전부터 나오던 이야기들입니다. 불안불안하죠