MS Live.com, ID 생성과정에서 악용될 소지가 있다

by hfkais | 2006. 11. 11. | 6 comments

마이크로소프트의 Live.com 계정발급 시작에 대한 네티즌들의 관심이 뜨겁다. 아직 정식으로 live.com 계정을 생성할 수 없음에도 불구하고, 자바스크립트를 이용해 크랙 비슷한 방식으로 live.com 계정을 만들어내고 있다. 이 방법은 이미 여러 블로그에는 물론 컴퓨터 전문 커뮤니티 사이트에까지 퍼져 큰 관심을 받고 있다.

한편, 필자는 이 스크립트를 이용해 허가되지 않은 계정으로의 live.com 계정생성이 가능함을 발견했다. mail@live.com 뿐만 아니라, mail@google.com 과 같은 식의 계정생성이 가능했던 것이다. 게다가 이렇게 만들어진 계정들은 실제로도 Windows Live Messenger에서 사용이 가능했다. 다음 스크린샷을 참조하기 바란다. msft@google.com 주소로 계정이 생성되었으며, 이를 이용해 Live Messenger에 로그인할 수 있었다.

단지 이메일을 통한 인증 절차만 거치지 않았을 뿐(가짜 주소이기 때문에), 메신저에서 대화를 나누는 등의 행동이 가능했다. 이러한 '확인되지 않은 계정생성'이 가능한 이유는 아마도 passport.net에서 타 이메일 계정으로의 계정생성이 가능하기 때문으로 풀이된다. 이것은 Live.com 내의 계정생성 페이지에서의 버그(혹은 보안구멍)와는 다른 이야기다. MS의 passport.net은 하나의 아이디로 여러 개의 사이트를 이용할 수 있게 해주는 사이트. 이 사이트에서 계정을 생성할 땐, 사용자가 자신이 가입한 이메일 서비스의 주소를 마음대로 쓸 수 있다. 가령 사용자가 tiger@gmail.com 이란 메일계정을 사용한다면, 이 주소 그대로 passport.net에 가입할 수 있게 된다. 정상적인 가입 절차라면 이메일 계정을 통한 인증절차가 필요하지만, 인증절차 없이도 메신저를 비롯한 몇몇 MS 서비스의 이용이 가능하다. 여기엔 물론 MS Live도 포함된다. Live.com 의 개인화 홈페이지 등을 만들 수 있는 것이다.

그런데 MS의 이러한 계정생성 과정은 자칫 악용될 소지를 안고있다. MS에서는 계정생성시 주민등록번호를 요구하지 않기 때문에, 한 사람이 여러 개의 계정을 자유롭게 생성해서 사용할 수 있다. 이를 이용해 메신저에서 남을 속이는데 쓰이거나 스팸메일의 발송처 등으로 사용된다면? 혹은 타인의 이메일 주소를 이용해 가짜 계정을 만들어 남을 속이는 일이 발생한다면? 글쎄, 실제로이를 범죄에 이용할 사람이 있을지는 모르겠으나 전혀 불가능할 것 같지만도 않다.

(급하게 쓴 글이라 상당히 조잡하고 정신없다. 양해해주기 바란다. 기회가 된다면 나중에 다시 제대로 써볼 생각이다. 우선은 '이럴 수도 있다'는 것만 알아주면 고맙겠다.)

태그 : , , , , ,

댓글 6개:

  1. RhoMooHyun@cwd.go.kr 주소는 ID로 사용할 수 있습니다.

    이런 것도 가능하겠군요 -_-......
    (감히 등록하진 못했습니다만, 등록은 되는 듯 합니다. 다른 주소를 이용해서 해보니 진짜 된다는 분들도 나타나시는..;)

    답글삭제
  2. 문제는 라이브.머시기 가 아니면 2G메일을 사용못하죠 -ㅂ-;;; 그게 라이브랑 아닌것의 차이일껍니다.

    답글삭제
  3. 윗분. 그렇지 않습니다.

    제 경우 라이브 메일 베타에 참여했었는데.. 랄까 지금도 핫메일 대신 라이브 메일이 나오고 있죠 -_-;

    아무튼 제 메일계정은 @hotmail.com 으로 끝납니다. 입력한 주소가 한국주소가 아니긴 한데, 한국 2였나 5mb일때 25mb인가 주더니 좀있으니 250을 주더나, 2gb가 되었더군요. ..지금이야 gmail을 주로 쓰니까 핫메일은 사이트 가입용으로나 쓰지만.

    답글삭제
  4. 그런데 원래 그렇지 않나요. 핫메일이라도 확인되지 않은 메일주소로 메신저 채팅가능했습니다. 라이브닷컴만의 문제가 아닌거 같은데요.

    답글삭제
  5. 김민섭 님 / 본문에 passport.net에서도 가능하다고 쓰여있습니다. 메신저 채팅에만 국한된 이야기가 아닙니다. 요지는 그렇게 만들어진 '비 hotmail.com 또는 비 live.com' 계정을 MS에서 새롭게 내세우고 있는 Live.com 에서도 사용할 수 있다는 것이었습니다 :)

    아울러 live.com 또는 live+허가된 지역도메인이 아닌 경우, live.com mail 계정을 사용할 수 없습니다. mail서비스를 이용하려고 하면 올바른 계정이 아니라고 하면서 거부합니다. 대신 본문에서 언급한 대로 메신저는 물론 live.com 개인화 페이지 등의 서비스 사용이 가능합니다.

    답글삭제
  6. live메일만 관심이 있어서...
    계정을 생성했는데..
    메신저에선 사용이 가능하니..
    충분히 악용될 가능성이 많겠군요..
    흠...그런데
    딱히 대책이 없을 듯하네요..orz..

    답글삭제

- 스팸 방지를 위해 보안문자(캡차) 확인을 사용하고 있습니다.
- 스팸댓글이 너무 많이 달려 댓글 검토 기능을 쓰고 있습니다. 입력하신 댓글이 당장 화면에 나타나지 않아도, 블로그 주인장은 댓글을 보고 있으니 안심하세요. 1~3일 내에 검토가 완료되면 댓글이 게시됩니다.

덧글 페이지로 이동합니다. 스팸방지를 위해 '단어확인'을 사용하고 있습니다.