가장 약한 암호화 알고리즘, 암호화 방식으로 사용

해킹에 의한 회원 정보 대량 유출 사건으로 큰 논란을 불러일으켰던 불륜 조장 인터넷 사이트 애슐리 매디슨이 회원들의 계정 비밀번호 역시 허술하게 관리해온 것으로 드러났다.
 
11일(현지시간) CNN 머니 등 미국 언론에 의하면, 비밀번호 크래킹 집단인 사이노슈어 프라임이 지난 8월 해커단체가 공개한 애슐리 매디슨의 회원 정보를 분석했더니 계정 비밀 번호를 암호화하는 과정에서 애슐리 매디슨의 큰 실수를 발견했다.
 
이에 따라 사이노슈어 프라임은 총 1천100만 개에 달하는 애슐리 매디슨의 회원 계정 비밀번호를 쉽게 알아낼 수 있었다고 설명했다.

사이노슈어 프라임은 애슐리 매디슨이 회원 계정 1천500만 개의 비밀번호를 암호화할 때 이를 모두 소문자로 변환함과 동시에 가장 약한 암호화 알고리즘 중 하나를 암호화 방식으로 사용했다고 언급했다.
 
이에 대해 CNN 머니는 두 방식 모두 비밀번호를 안전하게 보호하는 데 절대 써서는 안 되는 방식이라고 평했으며, 가령 비밀번호를 ‘Password’로 설정했다면 애슐리 매디슨의 암호화 과정을 거치면 ‘5f4dcc3b5aa765d61d8327deb882cf99’로 바뀐다.
 
이는 겉보기에 복잡해 보이긴 하나 해킹 전문 집단이나 다른 사람의 비밀번호를 찾아내는 크래킹 집단이 보면 소문자와 숫자만의 조합이어서 어렵지 않게 푼다는 게 CNN 머니의 설명이다.
 
실제 해킹이나 크래킹을 방지하기 위해 암호화 과정에 더 신경 썼다면, ‘$2a$10$ci9jdQQRdTe4U2wIncJt9uRs.HKatci/30iJcXDzsfqtX4APwTaLS’와 같은 특수문자와 영어 대문자, 소문자를 결합해 더 어렵게 변환할 수도 있었다는 얘기다.
 
이렇게 해서 알아낸 비밀번호를 사이버 보안 회사인 아바스트가 분석한 결과, 생각하고 외우기 쉬운 숫자나 영어 단어가 많은 것으로 나타났으며, 성인사이트이다 보니 외설적인 영어 단어를 비밀번호로 저장한 이들도 적지 않았다.
 
특히 12만 개가 넘는 계정의 비밀번호가 모두 ‘123456’이라는 단순한 숫자조합으로 드러나기도 했다.
 
CNN 머니는 예측 가능한 숫자나 문자 조합을 다양한 온라인 계정에서 똑같은 비밀번호로 사용하면 해커 집단에 쉽게 노출될 위험이 있다고 지적하며, 애슐리 매디슨과 같은 사이트에서 비밀번호를 훔친 해커가 해당 사용자의 은행 계좌나 이메일에 침입할 가능성도 있다고 경고했다. [시사포커스 / 김유빈 기자]
 
 

관련기사

• LG유플러스, ‘역차별’, ‘다단계’ 잇따른 논란 중심
• KISTI, ‘EDISON사업’ 중소기업까지 지원
• 여성 SW코딩 무료교육 ‘안랩샘’ 19일 시작
• SK떠난 SK커뮤니케이션즈, ‘네이트’로 새 출발
• 트위터, ‘페리스코프’ 가로모드촬영 가능
• “홈앤쇼핑, 민간업계와 수수료율 비슷”, 초심잃어?

김유빈 기자 junonfss@naver.com

다른기사 보기

저작권자 © 시사포커스 무단전재 및 재배포 금지