그러면 그렇지. TVING 사태 번지는 중

저번에 살짝 얘기한 적은 있지만

유지보수하는 사이트 중 공공쪽이 꽤 있음.

이번에 TVING 이 털리셔서 CI, DI 값들이 전 세계에 오픈됨.

역시나, 해당 지자체에서 공문을 살포하여 (오늘 받음) 내일까지 실태 전수조사해 제출하라 함.

내용을 보면, 일단 CI쓰는 기능들은 전부 일시 사용중지하라고 함.

(DI에 대한 얘긴 없음)

문제가 된 사이트는 사실 이걸 악용할 방법이 아예 없음.

해당 간편인증 업체 (안알랴줌) 에서도 API 문서를 꽁꽁 숨겨뒀는데 이유가 있을거라 생각함.

하여튼 우리 서버는 CI, DI값을 매개변수로 받지 않음.

대신 간편인증 업체가

CI, DI를 비롯하여 여러 정보들을 묶어 통으로 암호화해 응답해준 데이터 뭉탱이를 받음.

우리는 이걸 패키지를 서버로 올려, 서버에서 이걸 풀어서 CI, DI를 체크함.

그래, CI, DI를 이 사이트에서는 악용할 방법이 없음.

(악용하려면 저걸 복호화할 방법부터 찾아야함. 간편인증 업체 제공 라이브러리도 해당업체 서비스ID로 로그인해야 구할 수 있음.)

하지만, 여하튼 CI 기능 쓰지 말라고 위에서 내려왔으니

그대로 따라야 함.

그래서 오늘부로 사용자분들께서는 간편인증 사용이 불가능하게 되셨음. ID/비번으로만 로그인하셔야 함.

뭐 그렇다구요.

아마 공공 플젝 전체에 공문이 살포가 됐을 겁니다.

저번 SKT 해킹때도 그랬거든요.