공지 개인정보 보호를 위한 'XE core' 및 공식 사이트 '회원 정보' 변경 계획 공지.
2011.08.12 19:25
안녕하세요? XE개발팀입니다. 최근 네이트 개인정보 해킹 사건과 관련하여 XE개발팀에서도 XE 공식 웹 사이트 및 XE 운영 사이트의 개인정보보호를 위한 설계 변경을 결정 했습니다. 이에 결정된 내용을 미리 알려 드립니다. 결정된 내용은 XE core 1.5(배포 예정일 2011-09-28)에 추가될 예정입니다.
첫째, 회원정보에 접근하는 최고 관리자의 개인 식별이 가능해짐.
현재까지는 XE의 회원정보에 접근하는 최고 관리자가 이 계정을 여러 사람과 함께 공용으로 사용하는 경우 최고 관리자 중 한 명이 악의적으로 개인 정보를 유출하더라도 어느 개인의 책임인지 확인할 방법이 없었습니다. XE core 1.5 버전부터는 XE의 회원 정보에 접근 가능한 최고 관리자의 로그인 이후 활동이 서버에 저장됩니다. 공용 최고 관리자 아이디로 여러 사람이 로그인 하더라도 누가 어떤 행위를 했는지 IP 정보와 함께 기록되어 궁극적으로 개인 식별이 가능해 질 것입니다.(배포 예정일 2011-09-28)
둘째, 관리자 개인 식별을 위한 두 가지 인증 방법 적용 가능.
현재까지는 최고 관리자의 아이디와 비밀번호만 탈취하면 회원의 개인 정보도 탈취할 수 있었습니다. 그러나 개인정보를 보다 안전하게 보호하기 위하여 두 가지 인증을 동시에 사용할 수 있도록 개선하기로 했습니다. 기존의 아이디와 비밀번호 인증 이외에 접근할 수 있는 IP 대역을 제한함으로써 허가된 곳에서만 접근 가능하도록 설정할 수 있게 됩니다.(배포 예정일 2011-09-28)
셋째, 개인정보 최소화.
현재까지는 XE 사이트에 가입하기 위해 '아이디, 비밀번호, 이름, 닉네임, 이메일, 비밀번호 찾기 질답' 항목을 반드시 입력하고 '홈페이지, 블로그, 생일' 또는 그 밖의 정보를 선택적으로 받아 왔습니다. 그러나 이 정보들이 유출되는 경우 다른 웹 서비스에 불법으로 로그인 할 수 있는 결정적인 단서가 되기 때문에 XE는 필수 입력이 필요한 개인 정보를 최소화 하기로 결정 했습니다. 앞으로는 '이메일, 비밀번호, 비밀번호 찾기 질답' 항목만 입력해도 회원 가입이 가능해지도록 XE 코어를 개선할 예정입니다.(배포 예정일 2011-09-28)
XE 공식 웹 사이트에서는 '이메일, 닉네임, 비밀번호, 비밀번호 찾기 질답, 닉네임' 항목을 제외한 모든 개인 정보를 삭제할 예정입니다. 회원으로 가입하기 위해 '이메일, 닉네임, 비밀번호, 비밀번호 찾기 질답' 항목을 필수 항목으로 변경할 예정입니다.(변경 예정일 2011-10-31)
변경 전 | 변경 후 | |
---|---|---|
최고 관리자 개인 식별 | 불가능 | 가능(IP + LogRecord) |
최고 관리자 인증 | One-factor(ID/PW) | Two-factor(ID/PW + IP) |
필수 개인 정보 | 아이디 비밀번호 이름 닉네임 이메일 비밀번호 찾기 질답 |
이메일 닉네임 비밀번호 비밀번호 찾기 질답 |
변경 전 | 변경 후 | |
---|---|---|
필수 개인 정보 | 아이디 비밀번호 이름 닉네임 이메일 비밀번호 찾기 질답 |
이메일 닉네임 비밀번호 비밀번호 찾기 질답 |
선택 개인 정보 | 홈페이지 블로그 생일 |
댓글 20
-
파랑이지
2011.08.12 20:18
오~ 저는 member 모듈을 뜯어고쳐서 최소한의 정보만 받도록 수정했는데, 이게 공식화 되는 군요! -
fsfsdas
2011.08.12 20:23
이제야 개선이 결정되었군요... 그래도 기대하고 있습니다. -
비나무
2011.08.12 21:07
옳은 방향으로 결정이 되었군요. 환영합니다. 사이트 보안과 관련하여 중간 관리자 기능을 넣으실 의향은 없으십니까? 제가 아는 한 중간 관리자 기능에 대한 요구는 끊임없이 올라오고 있는 것으로 아는데, 개발자분들과 XE유저들의 생각차이 때문인지 항상 우선 순위에 있어서 뒤로 밀리고 있다는 느낌이 들더군요. 새로운 모듈 추가, 기능 추가도 좋지만, 현재 있는 기능에서 보완할 것을 정비하는 것을 다수의 유저들이 원하는 바가 아닐까 하네요... 유저들과의 소통에 오해가 없도록 다수의 지속적인 건의가 들어오는 것들은 우선 순위를 높게 잡아 주셨으면 합니다. -
비나무
2011.08.12 21:11
참!! 필수 개인 정보를 아이디가 아닌 이메일을 기본으로 한다면, 자신의 이메일이 변경되었을 경우 자신의 글등록 정보 및 포인트 등이 유지된 채로 이메일 변경이 가능하게 되나요? 아이디의 경우 한번 정하면 사실 변경불가의 개념이지 않나요? 하지만, 이메일은 필요에 따라 사용하는 이메일을 변경하기도 하니 사이트 內 자신의 정보(포인트, 등록한 글 등)는 유지한 채로 변경할 수 있도록 해주어야 할 것 같은데요... -
K.Soma
2011.08.12 21:16
IP 대역을 제한함이게 조금 걸리네요 솔직히 저희집같은경우는 아이피대역이 크게바뀝니다. 2xx인날도있고 14.x이렇게 시작하는 날도있고 171.x이렇게 가는경우도 있습니다. 그리고 pc방이나 모바일에서 관리를 할수도있구요 -
하늘종
2011.08.13 10:59
최고 관리자의 아이피 대역 제한은 '설정'으로 정할 수 있다고 하였으니, 불가피하게 필요치 않을 시에는 설정하지 않으면 큰 불편은 없을 것 같습니다. -
씨지
2011.08.13 01:20
중간관리자 기능 원츄~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 카페관리자와 최고관리권한(embed방어)분리 원츄~~~~~~~~~~~~~~~~~~~~~~ 입니다. 늘 감사드립니다. -
무한탐구
2011.08.13 09:32
이건 정말 좋은 소식이네요 !! -
루큐모닷컴
2011.08.13 18:01
좋내영 해커새기들 왜 해킹을 하는지 몰라 -
김재순
2011.08.14 15:31
주민번호입력도 없앴으면 하는데
어찌될까요? -
비나무
2011.08.14 21:23
???? XE 자체에 주민등록번호 입력하는 곳이 아예 없는데요????????? -
김재순
2011.08.14 23:19
죄송합니다.
제가 잘못알았네요. -
SeunghyunLee
2011.08.14 18:41
이메일 아이디가 훨씬좋은거같아요! -
snows96
2011.08.15 01:19
실명을 삭제한다면 개인정보보호에 도움이 되겠지만 아이디와 닉네임은 최악의 경우 유출되어도 개인정보라 치기 어렵지 않을까요? XE자체가 닉네임으로만 활동하고, ID는 공개를 안하는 방식이라, 그리고 ID만 안다고 해서 로그인 할 수 있는 것도 아니고, 닉네임도 ID처럼 그걸 안다고 해서 실명을 아는 것도 아닌데.... 그리고 E-mail로 하면 네이버나 다음은 ID방식으로 로그인 하는데 여기에 익숙해진 사용자들은 불편해 하지 않을까요?? (글자수도 길어지고...) -
kantsoft
2011.08.15 11:28
국내에도 이제 슬슬 이메일로 로그인을 하는 바람이 불기 시작한것 같습니다. (꼭 네이트온이나 싸이월드를 지칭하는것은 아님..) 차츰 익숙해질꺼 같기도 하지만, 그래도 전 여전히 e-mail로 치고 들어가는것이 불편하긴 합니다.ㅋㅋ -
하늘종
2011.08.15 12:20
같은 아이디와 비밀번호로 다른 사이트에서도 같은 계정을 사용하고 있으면 큰일이니까요. 최근 네이트/싸이월드에서 아이디와 (암호화된) 비밀번호가 유출된 것이 크게 논란이 된 것도, 비밀번호를 복호화 하는 것에 성공하여서 다른 사이트(네이버, 다음 등등)의 동일 아이디 계정도 덩달아 해킹이 될 수 있기 때문이기도 합니다. 한 대형 사이트에서 아이디와 비밀번호가 유출되었을 때에 범사이트적 비밀번호 변경 캠페인이 열리는 것도 그 때문입니다. -
데미나인
2011.08.15 17:29
다 좋은데 최고관리자 말고 회원 그룹까지 조정가능한 중간관리자 기능도 필요해요ㅜㅜ -
박노열
2011.08.19 11:04
다 좋은 것 만은 아닙니다. 아파트라든가 연락처, 주소(동. 호수)가 필요한 경우는 최소한 선택으로도 해 주어야 겠습니다. 특히 생년월일이 없으면 미성년자는 어떻게 구분하나요? 경우에 따라 필요한 곳도 있습니다. 만약 그것이 안된다면 저의 두 홈은 이사를 가야 하네요. 희망이 사라지지 안길 바랍니다. 4에서 xe로 올 때도 주소 연락처를 있어버려서 모두 제가입을 하게 하느라 욕먹고 애먹었는데........ 또 다시~~~~~~~~~~~~~ ㄱ리고 그리고 ~~~~~ 휴 ! -
박노열
2011.08.19 11:07
위와 같이 할 바에야 아예 회원 가입을 없애고 글을 쓸 때는 이메일과 비번을 넣게 함이 더 좋을 듯... 회원제가 왜 필요합니니까? 아무런 통제도 할 수 없지 않나요. 차라리 모두 가능하게 하시고 각자의 상황에 따라 선택할 수 있도록 함이 옳을 듯~~~~ 글쓸 때마다 에메일 쓰기 귀챃으면 항상고정 형식으로 로그온 시키면 되고.... .극심한 반대. -
톡깽이
2011.09.26 17:41
회원들한테 이메일주소 확실히 다시쓰라고 이야기 해야겠네요