출처: 맥쓰사


안녕하세요. 여러분.
 
 
 
일단 전 네이트가 잘했다는건 소리를 하려는건 아닙니다.
 
하지만 전 네이트와 싸이월드 운영사인 SK 컴즈를 쉴드 치는 글을 써 봅니다. (주주라고는 말 못함.. )
 
어그로를 상당히 끌긴 하겠지만 정보에 대해 바로 잡을것은 잡아야겠다 싶어서 글을 써봅니다.
 
스크롤 압박도 약간 있어요 ^_^;
 

SBS 보도에서 암호가 순식간에 풀린다... 뭐 이런 뉴스를 접하신 분들이 계실겁니다.
 
강력한 암호화라면서 이놈들 거짓말 한다 라고 하시는 분들이 많더군요.
 
SK컴즈 보안담당이사(CSO)분이 단방향 암호화를 사용하여 주민번호 및 암호를 암호화 하였다고 했습니다.
 
강력한 암호화라서 현재는 해독 하기 어렵다라고 했지요.
 
다 맞는 말입니다. 비밀번호 및 주민번호 암호화는 네이트에서 사용한 기법을 다들 사용합니다.
 
근데 왜 기자는 왜 그렇게 썼을까요.
 
 
 
애초에 비전문자인 기자분께서 잘 모르시기 때문에 부족한 정보를 가지고 기사를 쓰신거 같습니다.
 
알고 계셨다고 가정한다면 독자들에게 자극이 되게끔 자극적인 찌라시 기사를 쓰신게 되겠고요.
 
그 문제의 보도를 링크 해보도록 하겠습니다. (http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000960683)
 
 
 
네이트에 사용된 암호화 기법은 MD5 (Message Digest 5)라고 불리는 기법입니다.
 
개발된지도 좀 되었지만 안깨지기로 유명한 암호화 기법 입니다.
 
흔히 비밀번호를 잊어먹었을때 비밀번호 찾을 때 임시 비밀번호를 발급하는 곳이 전부 MD5를 사용하여 비밀번호를
 
암호화 하여 저장합니다.
 
좀 더 자세히 들여다 볼까요?
 
 
이 MD5는 단방향 암호화 기법입니다.
 
평문 -------> 해쉬 형태로 암호화가 되며 수학적으로 역해쉬 즉, 역해독이 불가능합니다.
 
수십, 수백개의 문자를 넣어도 결과물은 32자리의 영문 숫자 조합이 나올뿐이죠.
 
왜 그런지는.... 깊게 수학적으로 파고 들어가셔야 하니.. 이런건 모르시는게 정신건강에 아주아주 좋습니다.
 
그럼 어찌 로그인할때 어찌 암호가 맞는지 알 수 있을까요?
 
답은 해쉬 대조입니다. 미리 내 컴퓨터에서 평문 -> MD5 해쉬 형태로 변환해서 서버로 비밀번호 정보를 날리고,
 
서버에는 미리 해쉬로 암호화 되어 저장된 비밀번호 데이터를 서로 대조하여 32자리 해쉬값이 맞을 경우 로그인이 성공하게 됩니다.
 
 
 
자, 그럼 왜 보도처럼 해독이 되었을까요?
 
다름 아닌 사전화 때문입니다. 미리 평문을 암호화 해서 해쉬형태로 저장해 놓습니다.
 
평문 -> 해쉬 이런 형식으로 쭉 저장합니다.
 
역방향으로 해독이 불가능한 시점에서 이 암호를 평문화 시키는 방법은 해쉬 대조밖에 답이 없습니다.
 
즉, 암호가 자릿수가 적던지, 쉬우면 노출된다는 것이죠.
 
 
 
예를 들어 테스트를 해볼까요?
 
평문인 "love" 의 MD5 해쉬값은 b5c0b187fe309af0f4d35982fd961d7e 입니다.
 
그럼 해독 툴을 이용해서 해독해 볼까요?
 

 
바로 나오네요.
 
 
 
몇가지 테스트를 더 해보겠습니다.
 
보도에 사용된 비밀번호 sbs911 -> 9c4be391980adfe67b90bd9c7848f25e
 

역시 나오네요.
 
 
보도에 사용된 비밀번호 abc1234 -> a141c47927929bc2d1fb6d336a256df4
 

 
 
그럼 약간 어렵게 바꿔 볼까요?
 
qorhvmstkfkddl12#$(배고픈사랑이12#$) -> e68ab3fa832c58d2b64fb01d7acad122
 

변환 가능한게 없다네요.
 
보도에 테스트한 비밀번호는 다 쉬운 조합이라 사전 공격 테스트에도 다 나옵니다.
 
어려운 조합에 대해서는 기자가 언급하질 않네요. (흥)
 
 
 
 
이와 같이 사전데이터를 기반으로, 또는 무작위 대입으로 하는 해독방법은 암호가 길고 어려울수록
 
평문화가 어렵습니다. SK측에서는 가입 시 암호를 특정 자리 이상, 그리고 최소 영문 숫자 조합을 필수 조건으로 하고 있죠.
 
또한 암호 설정 권고 조건이 8자리 이상의 암호, 영문 숫자 특수문자 모두 들어간 암호조합입니다.
 
아래의 사이트에서 자신의 비밀번호를 암호화 후 역해독 해보세요. 쉽게 된다면 자신의 비밀번호가 취약한 것이라고 보는게 맞습니다.
 
보안의식 부재라는게 이런거죠.
 
 
암호화 사이트 : http://www.yellowpipe.com/yis/tools/encrypter/index.php 하단의 메뉴에서 MD5 Crypt (one-way) 선택
해독 사이트 : http://md5.web-max.ca/
 
 
 
여기서 해독 되시는 분들은 반성하시고 비밀번호를 바꾸시길 권장드립니다.
 
아 물론 저는 해독 안되지 말입니다. ^ㅅ^
 
 
 
 
 
분명히 관리 소홀한 네이트는 잘못을 했고 거기에 대한 댓가는 치워야 합니다.
 
하지만 앞으로도 이런 유사한 사고가 자주 발생할겁니다.
 
아무리 보안을 철저하게 한다고 하더라도 나날이 발전하는 해킹을 모두 막을 수는 없습니다.
 
단순히 서비스 제공자를 욕할것만이 아니라 개개인의 보안 의식을 높이는 것이 피해를 줄이는데 도움이 많이 됩니다.
 
윈도우 업데이트는 발표된 즉시즉시 해주시고, 백신 점검을 주기적으로 해주셔서 본인 PC를 안전하게 지켜주시고
 
암호에 영문, 숫자, 특문 등을 섞어서 8자리 이상 설정하시면 많은 보안 위협의 절반 이상을 안전하게 지킬 수 있다고 볼 수 있습니다.
 
모쪼록 이 기회에 여러분들의 보안 의식이 조금 더 높아지는 계기가 되길 바랍니다.
 
긴글 읽어주시느라 감사합니다.
 
 
 
 
 
 
 
엇1. 이번 사고 관련 악성코드가 확인 되었습니다. 전 안랩직원은 아니지만 많은 분들이 V3 Lite를 사용하시는 관계로 V3기준
       악성코드 진단명을 알려드립니다.
 
      - Win-Trojan/Agent.166912.KH
      - Win-Trojan/Agent.166912.KG
      - Win-Trojan/Etso.149504
      - Win-AppCare/Hacktool.751607
 
       백신 점검 시 해당 리스트에 있는 악성코드에 감염이 되었을 경우 반드시 네이트온 비밀번호를 변경하시기 바랍니다.
 
 
 
 
 
** 약간 글을 수정하였습니다.