2011. 7. 31. 13:06 Review/IT
네이트 사태, 비밀번호 30초만에 뚫림이 중요한가?
728x90
오늘 메일을 확인하는데, "타인의 명의도용시도 차단 알림메일" 이 두 통 왔다.
실명인증을 차단해주는 서비스를 유료로 이용하고 있다. 요즘같은 시대에는 이런게 하나쯤 필요하다고 생각하여 꾸준히 사용중이다. 효과가 어느정도 되는지는 모르겠다.
이 메일을 보자마자 든 생각은, '암호화된 네이트 주민번호가 복호화 됐군.' 이었다. (물론 다른 경로로 유출된 민번이 정말 우연찮게도 갑자기 오늘 사용되었을 수도 있지만)
어떤 내용인지 예상은 가지만 그래도 한번 찾아봤다.
링크 : http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000960683
요약하자면 SBS에서는 brute force 방식의 강제 대입식으로 비밀번호를 추출해낸 것이었다. 네이트의 정확한 암호화방식은 모르는 듯 하고 그냥 시청율을 위한 쇼라고 생각되지만 그나마 사람들에게 이번 사태의 위험성을 알리는데 일조했다고 생각하기에 까지는 않겠다.
웃긴건 뉴스 중간에 보안최고책임자라는 사람이 하는 말이다.
이해는 한다. 정보를 주면 줄 수록 크래커에게도 힌트를 주는 것이니까. 하지만 현재 기술로 보았을 때, 안전한 영역은 없다. 털린쪽에서 안전하고 싶을 뿐이겠지.
개인정보 유출에서 최대 쟁점은 두가지 이다. 비밀번호와 주민등록번호.
주민번호야 여러가지 부서에서 사용해야 하기 때문에 복호화가 가능한 양방향 암호화를 했을 것이고, 비밀번호는 단방향 암호화를 사용했을 것 이다.
양방향이면 암호화 방식과 암호화에 사용된 key만 찾으면 풀 수 있다는 소리이다. 이미 언론등을 통해서 네이트가 주민번호에 128비트의 AES 암호화를 사용했다고 알려졌다. 게다가 주민번호는 숫자로만 구성되어 있다. 여기서 중요한건 AES 알고리즘으로 만들어진 문자열을 해독할 수 있는 iv와 key 가 함께 노출되었는가 아닌가인데, 노출되었을 가능성이 적다고 해도 안심할 수 없다. 운이 좋으면 짧은 시간내에 복호화가 가능하기 때문이다.
누가 주도하든 자꾸만 비밀번호 쪽으로만 이슈를 몰아가는것 같아 안타깝다. 바꾸면 그만인 비밀번호 보다는 바꿀 수도 없는 주민번호가 더 문제라고 생각된다. 대한민국 웹서비스의 대부분에는 아이디/비밀번호찾기 서비스가 있기 때문이다.
이름과 주민번호만 알 수 있다면 웬만한 사이트의 비밀번호 또는 비밀번호 변경권을 손쉽게 얻어낼 수 있고, 아이디를 다르게 사용하는 사용자의 아이디도 노출되게 된다. 크래커들도 바보가 아닌 이상 얻기 어려운 곳에 투자 하기 보다는 좀 더 똑똑한 방식을 통해서 자신들이 원하는 것을 얻어낼 것이다.
안타깝다. 언론과 SK컴즈 모두 올바른 시각으로, 올바른 방향으로 문제를 해결하려는 모습을 보여줬으면 좋겠다. 옥션도 잘 넘겼고 심지어는 우리 돈과 가장 밀접한 연관이 있는 농협조차 은근슬쩍 잘 넘어갔는데 네이트라고 다르겠냐만.
실명인증을 차단해주는 서비스를 유료로 이용하고 있다. 요즘같은 시대에는 이런게 하나쯤 필요하다고 생각하여 꾸준히 사용중이다. 효과가 어느정도 되는지는 모르겠다.
이 메일을 보자마자 든 생각은, '암호화된 네이트 주민번호가 복호화 됐군.' 이었다. (물론 다른 경로로 유출된 민번이 정말 우연찮게도 갑자기 오늘 사용되었을 수도 있지만)
어떤 내용인지 예상은 가지만 그래도 한번 찾아봤다.
링크 : http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000960683
요약하자면 SBS에서는 brute force 방식의 강제 대입식으로 비밀번호를 추출해낸 것이었다. 네이트의 정확한 암호화방식은 모르는 듯 하고 그냥 시청율을 위한 쇼라고 생각되지만 그나마 사람들에게 이번 사태의 위험성을 알리는데 일조했다고 생각하기에 까지는 않겠다.
웃긴건 뉴스 중간에 보안최고책임자라는 사람이 하는 말이다.
[강은성/SK커뮤니케이션즈 보안담당 이사 : 현재 기술로 보았을 때 이것은 안전합니다.]
이해는 한다. 정보를 주면 줄 수록 크래커에게도 힌트를 주는 것이니까. 하지만 현재 기술로 보았을 때, 안전한 영역은 없다. 털린쪽에서 안전하고 싶을 뿐이겠지.
개인정보 유출에서 최대 쟁점은 두가지 이다. 비밀번호와 주민등록번호.
주민번호야 여러가지 부서에서 사용해야 하기 때문에 복호화가 가능한 양방향 암호화를 했을 것이고, 비밀번호는 단방향 암호화를 사용했을 것 이다.
양방향이면 암호화 방식과 암호화에 사용된 key만 찾으면 풀 수 있다는 소리이다. 이미 언론등을 통해서 네이트가 주민번호에 128비트의 AES 암호화를 사용했다고 알려졌다. 게다가 주민번호는 숫자로만 구성되어 있다. 여기서 중요한건 AES 알고리즘으로 만들어진 문자열을 해독할 수 있는 iv와 key 가 함께 노출되었는가 아닌가인데, 노출되었을 가능성이 적다고 해도 안심할 수 없다. 운이 좋으면 짧은 시간내에 복호화가 가능하기 때문이다.
누가 주도하든 자꾸만 비밀번호 쪽으로만 이슈를 몰아가는것 같아 안타깝다. 바꾸면 그만인 비밀번호 보다는 바꿀 수도 없는 주민번호가 더 문제라고 생각된다. 대한민국 웹서비스의 대부분에는 아이디/비밀번호찾기 서비스가 있기 때문이다.
이름과 주민번호만 알 수 있다면 웬만한 사이트의 비밀번호 또는 비밀번호 변경권을 손쉽게 얻어낼 수 있고, 아이디를 다르게 사용하는 사용자의 아이디도 노출되게 된다. 크래커들도 바보가 아닌 이상 얻기 어려운 곳에 투자 하기 보다는 좀 더 똑똑한 방식을 통해서 자신들이 원하는 것을 얻어낼 것이다.
안타깝다. 언론과 SK컴즈 모두 올바른 시각으로, 올바른 방향으로 문제를 해결하려는 모습을 보여줬으면 좋겠다. 옥션도 잘 넘겼고 심지어는 우리 돈과 가장 밀접한 연관이 있는 농협조차 은근슬쩍 잘 넘어갔는데 네이트라고 다르겠냐만.
'Review > IT' 카테고리의 다른 글
nodejs 알기 (1) - 활용과 설치 (0) | 2011.08.28 |
---|---|
아이폰 MTU 실패로 인식 안되는 경우 해결 방법 (0) | 2011.08.22 |
[NDC] 라이브서비스조직에서 웹개발자로 잘살기 발표자료 (0) | 2011.06.05 |
패스워드는 복잡성을 만족해야 할까? (0) | 2011.04.19 |
자바스크립트(1-2) - 클로저(closure) 에 대한 이해 (0) | 2011.04.16 |