요즘 보안 전문가 사이에서는 ‘프릭’(FREAK)이라는 단어가 인기 아닌 인기를 끌고 있습니다. 바로 윈도 운영체제와 안드로이드 운영체제, OS X, iOS 등 거의 모든 운영체제를 위협하는 보안상 허점을 가리키는 말입니다.
복잡한 이야기는 모두 쳐 내고 간단히 설명하자면, 현재 대부분의 웹사이트는 민감한 개인정보나 금융정보를 주고 받을 때 2048비트 이상의 강력한 암호화를 적용합니다. 중간에 누군가가 주고 받는 내용을 가로채도 쉽게 그 내용을 들여다 볼 수 없게 말이죠.

그런데 패치나 업데이트를 통해 ‘프릭’을 고치지 않은 웹사이트에서는 이런 암호화도 소용이 없어집니다. 악의를 가지고 중간에서 통신 내용을 가로채는 해커가 2048비트 이상의 강력한 암호화 대신에 10여 년 전에나 쓰이던 구식 암호화 기법인 512비트 암호화를 쓰게 만드는 것입니다. 그 다음 가로챈 데이터를 분석하면 암호화가 몇 시간 안에 깨지는 데다 ID와 비밀번호를 포함한 중요한 정보를 고스란히 들여다 볼 수 있게 됩니다. 아무리 민감한 정보를 암호화해서 서버에 저장해 봤자 소용이 없는 겁니다.


애플과 마이크로소프트, 구글은 이런 사실이 알려진 뒤 업데이트를 적용해서 문제점 해결에 나섰지만 모바일 앱과 웹사이트는 여전히 해결될 기미가 보이지 않습니다. 프릭어택닷컴(freakattack.com)이 알렉사닷컴 1위부터 1만위에 해당하는 웹사이트를 기준으로 조사한 결과 3월 10일 기준 약 8.7%에 해당하는 웹사이트에 여전히 문제가 남아 있었습니다.
그런데 문제는 한국 사람들이 자주 찾는 웹사이트, 특히 금융정보, 개인정보가 집중되는 이동통신사, 취업정보 사이트가 아직도 이 버그에 대처하지 않고 있다는 것입니다. 3월 10일 현재 프릭 관련 문제를 아직도 해결하지 않은 한국 웹사이트 24개를 다음과 같이 공개하니 이 웹사이트에 접속할 때는 주의하시기 바랍니다.
단순히 접속해서 아무것도 입력하지 않은 채 열람만 하는 것은 아무런 문제가 없지만 주소, 전화번호 등 개인정보나 신용카드 번호 등을 입력하는 것은 당분간 자제하는 것이 좋겠습니다.
※ 순서는 알렉사닷컴 순위 기준
227위 뽐뿌(ppomppu.co.kr) – 쇼핑정보 사이트
1671위 LG그룹(lg.com) – 기업정보 사이트
1920위 오마이집(ohmyzip.com) – 해외직접구매, 배송대행 사이트
2235위 고비즈코리아(gobizkorea.com) – 온라인 글로벌 마케팅 지원
2403위 인크루트(incruit.com) – 취업정보 사이트
2756위 매일경제(mk.co.kr) – 언론사 사이트
2907위 쿨앤조이(coolenjoy.net) – PC 하드웨어 커뮤니티
3100위 올레닷컴(olleh.com) – 이동통신사 사이트
3272위 이하넥스(ehanex.com) – 해외 배송대행 사이트
3382위 에누리닷컴(enuri.com) – 가전제품 가격비교 사이트
3416위 아프리카(afreeca.com) – 동영상 생중계 사이트
4291위 CJ몰(cjmall.com) – 온라인 홈쇼핑 사이트
4383위 링크프라이스(linkprice.com) – 제휴마케팅 업체
4453위 예스24(yes24.com) – 온라인 쇼핑몰
6002위 서울신문(seoul.co.kr) – 언론사 사이트
6443위 한진해운(hanjin.co.kr)
6893위 투데이스피피씨(todaysppc.com) – 스마트 기기 커뮤니티
8163위 뉴스엔(newsen.com) – 언론사 사이트
8485위 LF몰(lfmall.co.kr) – 패션 쇼핑몰
8950위 한진택배(doortodoor.co.kr)
9348위 YTN(ytn.co.kr) – 언론사 사이트
9358위 코트리(kotree.com) – 해외 배송대행 사이트
9411위 아이포터(iporter.com) – 해외 배송대행 사이트
9985위 네이버(navercorp.com) – 네이버 기업정보 페이지
※ 추가 (3/19 15:40)
사람인(saramin.co.kr)은 프릭 관련 보안패치와 방화벽 정책 설정 등 필요한 조치를 3월 6일에 완료하였으며 현재 프릭 관련 이슈에서 안전하다고 해명했습니다. SSL 서버 테스트 결과 이와 같은 해명이 사실인 것으로 확인되었으므로 본문과 제목을 수정하였습니다.
※ 추가 (3/20 10:00)
NICE평가정보는 www.vno.co.kr 사이트에 대해, 해당 사이트에 개인 정보를 입력하는 난은 존재하지 않으며 실제 가입 정보 입력 페이지는 cert.vno.co.kr 도메인으로 전환되도록 구성하였다고 밝혔습니다. 또한 cert.vno.co.kr 도메인은 프릭 관련 조치를 완료한 상태라고 밝혔습니다. SSL 서버 테스트 결과 이와 같은 해명이 사실인 것으로 확인되었으므로 본문과 제목을 수정하였습니다.
※ 추가 (3/20 12:00)
경향신문은 khan.co.kr 사이트에 대해, ‘khan.co.kr’로 접속하면 자동으로 www.khan.co.kr 사이트로 포워딩 되며 ‘khan.co.kr’ 도메인은 단독으로 쓰이지 않는다고 밝혔습니다. 또한 www.khan.co.kr 도메인은 프릭 관련 조치를 완료한 상태라고 밝혔습니다. http://www.cnet.co.kr/view/129599