교보문고 책검색 시스템의 오류

평소에도 교보문고에 자주 가는 편인데 오늘 신기한 점을 발견했다.

교보문고에는 책검색을 위하여 일정한 거리마다 컴퓨터가 설치되어 있고 여기에서 책 검색이 가능하다.

내가 오늘 사려고 한 책은 C# 네트워크에 대한 책이었다.  C#으로 네트워크를 별로 하고 싶지는 않지만 어쩌다보니… 쩝. 정확히는 정확히는 http://book.naver.com/bookdb/book_detail.nhn?bid=143707 이 책.

아래에 찍은 사진은 내가 직접 책 검색기를 찍은 사진. 클릭하면 확대 된다.

책 검색대에 가서 검색어에 ‘C# 네트워크’라고 쓰고 엔터를 눌렀더니…

반응이 한참 걸린다.

그러다가 내놓은 결과라고는 C라는 키워드로 검색했더니 책이 없덴다.

내가 잘못본건가 하고 몇번 다시 입력했는데 결과는 같았다. 한눈에 딱 봐도 책 검색프로그램이 #이라는 특수문자를 다르게 처리하고 있던 것이다. 정확히는 이걸 검색어로 처리한게 아니라 조건식의 일부로써 처리한 것이었겠지. 마치 SQL Injection처럼 말이다.

다른 특수문자 몇개를 넣어봤는데 역시나 책 제목에 특수문자가 들어가면 제대로 작동하지 않았다. 혹시나? 싶어서 사람들의 눈길이 적은 검색대로 가서 SQL Injection과 PHP Injection 공격에 쓰이는 몇가지 쿼리를 넣어봤는데 (너무 당연하겠지만;;) 공격이 이루어지진 않았고 그냥 단순히 검색결과를 뽑아내는데 시간이 많이 지연되었다. 이것저것 더 시도해보고 싶었는데 지나다니는 사람도 많고 해서 이것저것 시도해볼 수는 없었다. 책 검색용 컴퓨터를 가지고 조금 연구해보면 해킹에 쉽게 노출 될 것 같다.

교보문고는 얼른 검색프로그램을 패치해서 특수문자도 입력되게 해줬으면 좋겠다. (결국 저책은 매장내 검색컴퓨터로는 검색이 불가능했고 모바일 어플리케이션을 켜서 위치를 찾아냈다.)

아마 교보문고 전산팀에서 이런 문제들은 쉽게 파악했을 것 같은데 왜 안 고쳤을까나. 나처럼 책제목에 특수문자를 쓰는 고객이 적었을려나. 별거 아닌것 같지만 그래도 소비자 입장에서는 좀 불편했다. 혹시나 교보문고 관계자분들이 보면 귀찮더라도 좀 고쳐주셨으면. 🙂

희한하게도 교보문고 모바일 어플리케이션에서는 또 잘 검색되었다. 물론 교보문고 홈페이지에서도 잘 검색되었다. 역시나 우리나라 외주의 폐혜인건가. -_-;; 양쪽 프로그램 개발자들이 틀린가보다. 같은 개발자라면 저럴 수가 없을텐데.

2012년 7월 31일 추가 :: 며칠전 교보문고 페이스북을 통해 이 문제를 알렸고 오류사항을 수정하겠다는 친절한 메시지가 돌아왔다. 다음번 책 구입하러 갔을 때 다시 확인해보면 될 것 같다. 🙂

2012년 8월 11일 추가 :: 교보문고 페이스북을 통해 이 오류가 수정되었다는 메시지를 받았다. 교보문고 무인검색시스템의 URL을 알려주길래 실험해본 결과 제대로 작동된다. 무인검색시스템의 URL에 인젝션 코드를 넣어봤으나 역시나 제대로 막혔다.

Leave a Reply

Your email address will not be published. Required fields are marked *