'예스24' 여전히 불안하다 … 티켓 예매 '비암호화' 접속

[이백현 기자]

구글 브라우저에서 HTTP(비 암호화) 기반 페이지에 접속하면 뜨는 경고 페이지

[디지털포스트(PC사랑)=이백현 기자] 예스24의 티켓 예매 페이지가 여전히 'http(비암호화 접속)' 방식으로 운영되고 있어 보안 취약성이 제기되고 있다. 특히 사용자 최초 예스24 페이지에서 'https' 보안 접속을 한 상태에서도 티켓 예매 페이지로 이동하면 자동으로 'http'로 리다이렉팅되는 구조여서, 사용자로 하여금 보안 연결이 된 것으로 착각하게 만들 수 있다는 점에서 논란이 예상된다.

20일 오전 10시 기준, 예스24 티켓 페이지는 보안 접속 주소인 https://ticket.yes24.com으로 진입을 시도하더라도 자동으로 http://ticket.yes24.com으로 전환된다. 기존 예스24 홈페이지에서 링크로 접속하더라도 http 페이지로 연결된다. http는 웹사이트와 사용자의 통신이 암호화되지 않은 '평문'으로 이뤄지게 만든다.

HTTP는 오래된 통신 규약(프로토콜)로, 데이터 전송 시 암호화를 적용하지 않아 악의적인 공격자가 통신을 가로채면 사용자 입력 정보를 그대로 들여다볼 수 있다. 특히 공연 예매 시 이메일, 전화번호, 카드사 정보 등 개인정보를 입력하게 되는 상황에서는 이러한 취약점이 심각한 보안 위협이 될 수 있다.

보안 전문가들은 공용 와이파이 환경에서 HTTP 접속이 특히 위험하다고 지적한다. 사용자가 입력한 정보가 '패킷 스니핑' 등 간단한 해킹 툴을 통해 손쉽게 탈취될 수 있기 때문이다. 실제로 2020년 http로 운영되던 '다음' 메일 서비스에서도 유사한 방식으로 타인의 메일 내용을 탈취하는 실험이 가능했음이 확인된 바 있다.

또한 HTTP 기반 페이지에서 외부 로그인 연동(예: 네이버 로그인) 기능을 사용할 경우, 해커가 해당 링크를 조작해 사용자 모르게 '가짜 로그인 페이지'로 유도할 수 있다는 점도 문제다. 실제와 유사한 UI로 제작된 피싱 사이트를 통해 개인정보 탈취가 가능해지기 때문이다.

예스24의 메인 페이지나 북클럽 등 다른 서비스는 모두 https를 적용하고 있어 기본적인 보안 연결이 유지된다. 그러나 예스 24 내의 티켓 예매 페이지 링크를 클릭하면 사용자 모르게 http로 리다이렉팅되는 구조가 유지되고 있어, 사이트 전반의 보안 정책이 일관되지 않다는 지적이 나온다. 특히 예스24 티켓 예매는 로그인이 반드시 필요한 구조로, 로그인 시도 시 yes24 자체 로그인 링크로 연결된다. 이에 티켓 예매 페이지에서만 보안 연결이 배제된 점은 우려를 낳고 있다.

20일 오전 10시 기준, 실제로 티켓 결제 페이지에서도 '보안 안됨'이라는 경고가 뜬다

국내 한 중견 IT 기업 개발자는 "패스워드가 설정되지 않은 공용 Wi-Fi 등에서 http 기반 사이트에 접속할 경우 패킷을 쉽사리 탈취할 수 있다"며, "최초 보안 접속이 된 상태에서 저도 모르게 비보안 페이지로 리다이렉팅된다면, 사용자 입장에선 문제를 인지하기 어려워 피해로 이어질 수 있다"고 지적했다.

<저작권자 Copyright ⓒ 디지털포스트(PC사랑) 무단전재 및 재배포 금지>