'brute force'에 해당되는 글 1건

  1. 2011.07.31 네이트 사태, 비밀번호 30초만에 뚫림이 중요한가? (4)
오늘 메일을 확인하는데, "타인의 명의도용시도 차단 알림메일" 이 두 통 왔다.


실명인증을 차단해주는 서비스를 유료로 이용하고 있다. 요즘같은 시대에는 이런게 하나쯤 필요하다고 생각하여 꾸준히 사용중이다. 효과가 어느정도 되는지는 모르겠다.

이 메일을 보자마자 든 생각은, '암호화된 네이트 주민번호가 복호화 됐군.' 이었다. (물론 다른 경로로 유출된 민번이 정말 우연찮게도 갑자기 오늘 사용되었을 수도 있지만)


미투데이에 관련 글을 올렸더니 비번 푸는데 30초가 걸렸다고 하는 뉴스가 나왔다고 한다.
어떤 내용인지 예상은 가지만 그래도 한번 찾아봤다.

링크 : http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000960683

요약하자면 SBS에서는 brute force 방식의 강제 대입식으로 비밀번호를 추출해낸 것이었다. 네이트의 정확한 암호화방식은 모르는 듯 하고 그냥 시청율을 위한 쇼라고 생각되지만 그나마 사람들에게 이번 사태의 위험성을 알리는데 일조했다고 생각하기에 까지는 않겠다.

웃긴건 뉴스 중간에 보안최고책임자라는 사람이 하는 말이다.

[강은성/SK커뮤니케이션즈 보안담당 이사 : 현재 기술로 보았을 때 이것은 안전합니다.]

이해는 한다. 정보를 주면 줄 수록 크래커에게도 힌트를 주는 것이니까. 하지만 현재 기술로 보았을 때, 안전한 영역은 없다. 털린쪽에서 안전하고 싶을 뿐이겠지.

개인정보 유출에서 최대 쟁점은 두가지 이다. 비밀번호와 주민등록번호.

주민번호야 여러가지 부서에서 사용해야 하기 때문에 복호화가 가능한 양방향 암호화를 했을 것이고, 비밀번호는 단방향 암호화를 사용했을 것 이다.

양방향이면 암호화 방식과 암호화에 사용된 key만 찾으면 풀 수 있다는 소리이다. 이미 언론등을 통해서 네이트가 주민번호에 128비트의 AES 암호화를 사용했다고 알려졌다. 게다가 주민번호는 숫자로만 구성되어 있다. 여기서 중요한건 AES 알고리즘으로 만들어진 문자열을 해독할 수 있는 iv와 key 가 함께 노출되었는가 아닌가인데, 노출되었을 가능성이 적다고 해도 안심할 수 없다. 운이 좋으면 짧은 시간내에 복호화가 가능하기 때문이다.

누가 주도하든 자꾸만 비밀번호 쪽으로만 이슈를 몰아가는것 같아 안타깝다. 바꾸면 그만인 비밀번호 보다는 바꿀 수도 없는 주민번호가 더 문제라고 생각된다. 대한민국 웹서비스의 대부분에는 아이디/비밀번호찾기 서비스가 있기 때문이다.

이름과 주민번호만 알 수 있다면 웬만한 사이트의 비밀번호 또는 비밀번호 변경권을 손쉽게 얻어낼 수 있고, 아이디를 다르게 사용하는 사용자의 아이디도 노출되게 된다. 크래커들도 바보가 아닌 이상 얻기 어려운 곳에 투자 하기 보다는 좀 더 똑똑한 방식을 통해서 자신들이 원하는 것을 얻어낼 것이다.

안타깝다. 언론과 SK컴즈 모두 올바른 시각으로, 올바른 방향으로 문제를 해결하려는 모습을 보여줬으면 좋겠다. 옥션도 잘 넘겼고 심지어는 우리 돈과 가장 밀접한 연관이 있는 농협조차 은근슬쩍 잘 넘어갔는데 네이트라고 다르겠냐만. 
신고
Posted by onionmen

댓글을 달아 주세요

  1. Favicon of http://karma21.tistoryl.com BlogIcon 까모야 2011.07.31 15:14 신고  댓글주소  수정/삭제  댓글쓰기

    저같은 경우 오늘 점심에 네이트에서 온 사과 메일을 보다가 화가 났습니다. 그냥 사과뿐...하아 이래저래 개인정보 유출 차단이 쉬운 세상이 아닌데.. 트랙백 하나 걸고 가겠습니다!

    • Favicon of http://onionmen.kr BlogIcon onionmen 2011.07.31 15:35 신고  댓글주소  수정/삭제

      뉴스에서 고개숙이는 모습을 보니, 아 이제 저러고 끝나겠군 이라는 생각이 들어 씁쓸하더군요. 네이트에 대한 문제는 그렇다쳐도 이번 사태로 인해서 정부도 아이핀같은 눈가리고아웅 말고 정말 대안이 될 수 있는 대안을 내놓았으면 하네요. 실명인증 폐지같은.

  2. Favicon of http://appbay.co.kr BlogIcon appbay 2011.08.01 19:51 신고  댓글주소  수정/삭제  댓글쓰기

    문제는 암호가 빨리 풀린것보다 더 중요한게...

    어떻게 해서 유저DB를 통째로 뜯겼는가가 문제인데 그걸 인식하는 사람이 거의 없어요...

    이건 사실 심각한 보안문제입니다.

    • Favicon of http://onionmen.kr BlogIcon onionmen 2011.08.03 10:11 신고  댓글주소  수정/삭제

      저도 그게 궁금했는데, 이런 기사가 떴네요
      http://news.naver.com/main/ranking/read.nhn?mid=etc&sid1=111&rankingType=popular_day&oid=005&aid=0000472045&date=20110803&type=0&rankingSectionId=105&rankingSeq=1&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+naver_news_popular+%28NAVER+POPULAR+NEWS%29

      3대 포탈의 전산망이 어떻게 그리 쉽게 뚫렸을까 의아하긴해요.

이전버튼 1 이전버튼

블로그 이미지
손을 따뜻하게 만들어 주고 싶은 애인이 있습니다.
onionmen

달력

 « |  » 2017.12
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            
DNS Powered by DNSEver.com

최근에 올라온 글

Yesterday140
Today80
Total1,625,715

티스토리 툴바