여러분은 비밀번호 유출 사고를 겪어본 적이 있나요? 2011년에 네이트와 싸이월드 사용자 3,500만 명의 개인정보가 유출된 사고가 발생하였습니다. 많은 인터넷 사용자의 개인정보가 유출되어 큰 이슈가 된 사건이었습니다.
이때 유출된 정보는 아이디, 이름, 휴대폰 번호, 이메일 주소, 암호화된 비밀번호, 암호화된 주민등록번호였습니다. 암호화되어 있기 때문에 안전하다는 공고문이었습니다.
그러면 암호화된 비밀번호는 무조건 안전할까요? 그 생각은 레인보우 테이블이 바꿔줄 수 있을 것 같습니다.
레인보우 테이블(Rainbow Table)은 비밀번호에 많이 사용되는 해시 함수를 사용하여 변환 가능한 모든 해시값을 미리 저장해놓은 표입니다.
사전 공격과 작동 방식은 거의 같습니다. 다만, 이미 암호화된 비밀번호를 레인보우 테이블에 매칭해서 대입 형식으로 공격한다는 점이 다릅니다.
해시 처리된 비밀번호의 값이 안전한 알고리즘과 다양한 방식의 Salt(별도의 임의의 초깃값을 추가하는 기법) 및 그 외의 보안 조치가 되어 있어서 복호화될 수 없다면 안전할 수 있으나, 이러한 조치 중 일부가 누락된 형태로 운영되었다면 일방향 처리된 암호화된 비밀번호가 유출되었다고 해도 안전하다고 보기는 어렵습니다.
증상
■ 가입된 여러 사이트에 로그인 시도가 발생합니다.
■ 유출된 사이트의 고객정보를 활용한 사고가 증가합니다.
■ 나의 아이디와 비밀번호가 여러 곳에서 이용되고 있다는 경고가 발생합니다.
예방 및 대처
앞에서 알아보았던 바와 같이 암호화 여부만으로는 유출된 비밀번호의 안전을 장담할 수 없으며, 어떠한 암호화 방식을 이용해서 관리했느냐가 더 큰 영향을 미칠 수 있습니다. 암호화가 능사가 아니라는 것입니다.
비밀번호가 포함된 개인정보가 유출되는 경우, 법적 의무조항에 따라서 기업은 유출된 당사자에게 홈페이지, 문자, 메일 등의 다양한 방법으로 안내할 것입니다. 그렇게 해서 나의 암호화된 비밀번호가 유출되었다는 것을 확인하였다면 같은 비밀번호를 사용하는 모든 사이트의 비밀번호를 변경해야 합니다. 암호화 알고리즘 기준에 따라 현재의 비밀번호가 수학적으로 안전하다고 해도 양자 컴퓨터(Quantum Computer)와 같이 컴퓨팅 성능이 높아지면 복호화될 수 있기 때문에 영원히 안전하다고는 할 수 없습니다.
그러면 기업의 공지로만 암호화된 나의 아이디와 비밀번호가 유출되어 이용되고 있는지를 알 수 있을까요?
구글에서는 크롬 브라우저에 사용자의 비밀번호가 유출되었을 때 경고하는 기능을 제공하고 있습니다. 다크 웹에서 유출되거나 온라인에서 유통되고 있는 40억 개 이상의 아이디와 비밀번호 데이터베이스를 수집해 이용자 로그인 정보와 대조하여 위험 여부를 알려주고 있습니다.
크롬에서 비밀번호가 노출된 경우 알람 설정 방법
위와 같은 설정하면 노출되었을 시에 알람 창을 통해 확인할 수 있습니다.
이와 같이 암호화된 비밀번호라도 안전한 것이 아니기 때문에 유출된 비밀번호는 반드시 변경하기를 권고합니다.
한 줄 대응
암호화된 비밀번호가 유출되었을 시에는 비밀번호를 변경하고, 브라우저의 비밀번호 노출 알림 서비스를 이용한다!
'컴퓨터·IT > <삐뽀삐뽀 보안 119>' 카테고리의 다른 글
| 05. 제가 저작권 위반으로 고소를 당한다고 해요. (4) | 2022.09.19 |
|---|---|
| 04. 타 사이트의 아이디/비밀번호가 도난당했어요. (3) | 2022.09.17 |
| 02. 불법 AP로는 무엇을 할까요? (3) | 2022.09.15 |
| 01. 무료 와이파이는 무조건 좋은 것이 아닌가요? (1) | 2022.09.14 |
| 00. <삐뽀삐뽀 보안 119> 연재 예고 (2) | 2022.09.13 |
댓글