여긴 아직도 암호를 어떻게 저장하는걸까?

By | 2014/08/27

  약 6년 전에 이런 글을 하나 적었습니다.

여긴 암호를 어떻게 저장하는걸까?

  저작권이니 개인정보 유출이니 하며 이용하지 않는 사이트들의 탈퇴를 권장하던 때였습니다. 그런데 너무 오랜만에 들어가는지라 아이디와 비밀번호가 기억이 나지 않았기에 아이디 및 비밀번호 찾기를 한 것입니다.

  하지만 몇몇 사이트에서는 아이디를 비롯하여 비밀번호를 전부 다 메일에 적어서 보내준 것입니다. 이는 DB에 저장된 암호를 쉽게 복구할 수 있다는 뜻으로 만약 DB 데이터가 해킹 되었다면 그것을 해커는 손쉽게 평문으로 볼 수 있다는 뜻입니다. 따라서 암호는 DB에 저장할 때 hash 등을 사용하여 복구가 어렵도록 해야할 것이며, 실제 여러 회사들이 해킹을 당했어도 괜찮다고 주장하는 이유가 되기도 합니다. 즉, 암호화 하여 DB에 저장하였고, 그것을 해커가 가져갔기에 이를 다시 평문으로 돌려 해커가 사용하기 어렵다는 주장입니다.

  이처럼 보안에 있어서 기본이라고 할 수 있는 암호화 하여 DB에 저장한다는 것이 해당 사이트들에서는 지켜지지 않았습니다.

 

  6년이 지났습니다. 어제 한 사이트를 가입하였습니다. 가입 후 환영 메일이 왔는데 충격이었습니다.

c001

  Your account password가 정확하게 찍혀 있더군요. 더하여 보낸 이는 naver.com의 메일 주소를 사용하고 있었습니다.

 

  6년 전의 충격 이후로 자주 사용하지 않거나 믿을 수 없는 사이트에 가입할 때는 랜덤한 암호를 생성하여 이를 사용합니다. (그렇기에 제가 위의 메일을 큰 변경 없이 보여드릴 수 있는 것입니다. 물론 지금은 암호를 바꿨습니다.) 그래도 ‘에이 설마…’라고 했는데 저렇게 당당하게 메일 안에 비밀번호를 넣어서 보낼 줄 몰랐습니다. 만약 이 곳에 다른 곳에서도 사용하는 비밀번호를 적었다면, 해커뿐만 아니라 사이트 관리자도 이를 확인하여 악용할 수 있다는 뜻입니다.

  더군다나 해당 사이트는 서울의 한 유스 호스텔인데, 홈페이지 하단에는 이렇게 적혀 있습니다.

하이서울유스호스텔은 서울특별시에서 설립하고 한국청소년연맹에서 위탁운영하고 있습니다.

  그렇다면 분명 개인이 운영하는 것은 아닐 것인데, 네이버 메일이라니 충격적이네요. 네이버 메일이 단체가 가입할 수 있는지 모르겠습니다만, 한국 법 상 가입 이후 개인의 주민등록번호가 필요한 것이 아닌가 싶습니다. 그렇기에 충격이라는 것입니다.

 

  6년이 지나도 변하지 않게 나타나는 것을 보면 사이트를 만들고 운영하는 것을 너무 안이하게 생각하는 것 아닌가 싶습니다. 혹은 이렇게 비밀번호가 유출되어도 크게 손해를 보지 않으니 ‘그까이거 대충~’이라는 마인드로 하는 것이 아닌가 싶습니다. 그런 점에서 ‘서울특별시’에 실망하였고, ‘한국청소년연맹’에 실망하였습니다.

One thought on “여긴 아직도 암호를 어떻게 저장하는걸까?

Leave a Reply