안녕하세요, 데브공방입니다.

최근 대형 커머스 플랫폼(C모 회사)의 개인정보 노출 이슈로 인해, 많은 이용자께서 본인의 소중한 정보가 안전하게 관리되고 있는지 우려 섞인 문의를 주고 계십니다.

이에 데브런닷스튜디오가 운영하는 데브공방은 고객님의 데이터를 어떤 방식으로 보호하고 있는지 투명하게 안내해 드립니다.

* 해당 커머스 플랫폼의 사용자 식별값 보안 문제

해당 서비스의 서버에서는 순차 정수 증가 방식을 사용하고 있습니다.

쉽게 비유하자면, 우리 집 주소가 단순히 전국에서 152번째로 지어진 집이라고 등록되어 있는 것과 같습니다.

• 추측이 너무 쉽습니다: 내 회원 번호가 100번이라면, 99번과 101번 회원도 반드시 존재한다는 뜻입니다. 해커는 복잡한 해킹 기술 없이 숫자만 1씩 더하거나 빼보면서 다른 사람의 정보에 접근을 시도할 수 있습니다. 이를 전문 용어로 IDOR(부적절한 직접 객체 참조) 취약점이라고 합니다.

• 데이터 규모가 노출됩니다: 마지막 가입자의 번호가 1,000,000이라면, 이 서비스의 전체 회원 수가 몇 명인지 경쟁사나 외부인에게 고스란히 노출됩니다.

• 자동 수집(크롤링)에 취약합니다: 해커가 프로그램(봇)을 돌려 1번부터 100만 번까지 순서대로 정보를 요청하면, 순식간에 전체 데이터베이스를 긁어갈 수 있는 '고속도로'를 깔아주는 셈입니다.

1. 데브공방은 '예측 불가능한 식별값(UUID)'을 사용합니다.

일부 서비스에서 문제가 된 '순차적 정수(1, 2, 3...)' 방식은 번호를 단순히 1씩 더하는 것만으로도 타인의 정보에 접근할 가능성이 생기는 보안 취약점이 존재합니다.

하지만 데브공방은 서비스 설계 단계부터 보안을 최우선으로 하여, 모든 사용자 식별에 UUID(무작위 고유 식별자) 방식을 적용하고 있습니다.

2. 왜 UUID 방식이 더 안전한가요?

• 추측 불가능성: UUID는 수십 자의 문자와 숫자가 무작위로 조합된 형태입니다. 특정 사용자의 정보를 통해 다른 사용자의 정보를 유추하거나 추측하는 것이 물리적으로 불가능합니다.

• 자동 수집 차단: 번호가 순서대로 이어지지 않으므로, 악의적인 자동화 프로그램이 데이터를 수집하려는 시도를 근본적으로 차단합니다.

3. 보안에 타협하지 않는 데브런닷스튜디오

저희 데브런닷스튜디오는 단순히 기능을 구현하는 것에 그치지 않고, 고객님의 소중한 정보를 지키기 위해 업계 표준 이상의 보안 로직을 유지하고 있습니다.

이번 이슈와 관련하여 데브공방의 시스템은 구조적으로 해당 취약점으로부터 안전함을 확인하였으니, 안심하고 서비스를 이용해 주시기 바랍니다.

앞으로도 여러분의 신뢰에 보답하기 위해 보안 시스템 업데이트와 점검에 최선을 다하겠습니다.

감사합니다.

데브런닷스튜디오 | 데브공방 운영진 일동