이글루스 | 로그인  

2008년 02월 29일

여긴 암호를 어떻게 저장하는걸까?

최근 제가 가는 커뮤니티에서 저작권 문제 얘기가 나왔습니다.

그러면서 자신이 가입한 사이트를 확인할 수 있는 곳이 소개되었습니다.

 

001

http://www.sitecheck.co.kr

 

여기서는 자신이 가입한 곳 중 20곳을 무료로 보여줍니다.

한 번 확인해보자는 생각에 저도 해보았습니다.

 

002

총 122개나 되는군요.

그 중 공개된 20개를 살펴보니 제가 가끔 쓰는 곳입니다.

 

 

그런데 잠시 후 메일을 열어보니 아이디와 비밀번호를 가르쳐주는 메일이 날아왔습니다.

c3

이 외에 많은 곳에서 날왔습니다.

 

해당 사이트에서 찾아보니 답변이 있습니다.

c4

그러니까 아이디/비밀번호를 물어보는 것으로 확인한 것입니까?;;;

 

 

이렇게 메일이 날아온 것도 황당한데, 그 내용을 보니 더 황당합니다.

c5

c6

c7

c8

회색상자로 된 부분은 바로 제 아이디와 비밀번호가 적혀있습니다.

아이디는 공개가 가능할지라도 비밀번호까지 공개되어있다니...

 

무슨 말이냐 하면 운영자가 마음만 먹으면

제 아이디와 비밀번호를 그대로 볼 수 있다는 뜻 아닙니까?

설령 운영자가 아니라도 크래커가 아이디와 비밀번호를 그대로 뽑을 수 있지않나요?

 

제가 보안 쪽에 대해서 잘 모릅니다만,

저렇게 이메일로 비밀번호를 그대로 가르쳐 줄 수 있다는 것은

비밀번호를 DB에 저장할 때 MD5와 같은 함수를 쓰지 않았다는 뜻이 아닌가요?

(제가 알기로 제로보드는 MD5를 쓰는 것으로 알고 있습니다.

또, PHP 서적에서도 MD5와 같은 함수를 써서 저장하기를 권장하는 것으로 기억합니다.)

 

즉, 비밀번호를 그대로 단문으로 저장하였거나

암호화 된 문자열을 다시 돌릴 수 있는 함수가 존재한다는 뜻이니까요.

그럼 그 DB가 유출될 경우 크래커는 제 아이디와 비밀번호를 너무 쉽게 얻어갑니다.

 

c9

그렇기에 위처럼 아이디는 가르쳐주고, 비밀번호는 새로 설정하여

그 비밀번호로 로그인 후 원하는 비밀번호로 바꿉니다.

원래 비밀번호를 알 수 없기에 저와 같은 방법을 쓴다고 들었습니다.

 

 

몇 주 전, 옥션의 아이디와 비밀번호가 유출되는 사건이 발생하였습니다.

그러면서 대대적으로 비밀번호를 바꾸자는 캠페인이 열렸는데,

그와 동시에 위와 같은 사이트에서 어떻게 관리하는지 확인하는 것도 좋을 듯싶습니다.

 

 

참조

http://www.sitecheck.co.kr

 

 

PS

가입확인사이트에 들어가 ActiveX를 설치하면 바탕화면에 아이콘이 생깁니다.

c10

이 아이콘을 삭제한 후 다시 해당 사이트를 들어가면 또다시 생깁니다.

이거 악성코드 수준이네요.

 

해당 ActiveX를 지우는 방법은 다음과 같습니다.

C:\WINDOWS\Downloaded Program Files에 있는

AXSiteChecker Control을 삭제하시면 됩니다.

c11

그러니 바탕화면에 아이콘이 생기지 않습니다.^^

by NoSyu | 2008/02/29 14:27 | in Windows | 트랙백 | 덧글(14)

트랙백 주소 : http://NoSyu.egloos.com/tb/4190731
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Commented by Mr.Dust at 2008/02/29 15:23
우리나라의 많은 대형사이트들이 회원들의 비밀번호를 암호화없이 string 으로 저장하는 것으로 알고 있습니다. 그것은 NoSyu 님이 추측하신 부분과 아주 간혹이지만 회원 정보가 누출되었을때 호들갑을 떠는 것으로도 알 수 있습니다. 비밀번호가 암호화되었다면, 비밀번호 재발급은 가능해도 알려주는 것은 불가하며, 노출이 되어도 그닥 신경쓰지 않아도 되지요. 일전의 옥션 사태처럼 비밀번호 바꾸란 말이 나오는 것은 그런 식으로 암호화하지 않고 저장하고 있다라는 반증이고요.
Commented by Sikuru at 2008/02/29 16:51
개념없는 사이트들 여전히 많군요-_-; 저건 정말 법령으로라도 정하든가... (한숨)

MD5 조차도 사전식 리버스가 이루어지는데 텍스트 스트링은 정말 '뭘 믿고' 저러는지 모르겠어요.
Commented by 권남 at 2008/02/29 16:54
MD5를 두 번해야 하는 것이 정석으로 알고 있습니다.
MD5 를 한 번만 하면 사전식 공격으로 뚫릴 가능성이 전혀 없지는 않거든요. - 아마도 옥션이 그랬지 않을까 싶은 예상이 드네요. 암호화를 하긴 했지만 한번만.

그리고, 비밀번호는 무조건 암호화해야 하는데...

그래서 오픈 ID가 많이 퍼졌으며 좋겠습니다.

비밀번호 암호화 잘 해놓는 서비스 제공자를 사용하면 일일이 다른 사이트에 비밀번호를 안 알려줘도 되니까요.
Commented by imc84 at 2008/02/29 16:58
음.. 간만에 흥미로운 소재라서 잘 보았습니다. 저도 개인정보 문제에 민감한 편인데(민번도용 건 이후로 매우 ㄱ-;;) 확실히 국내사이트들 중에는 비밀번호를 암호화하지 않고 저장하는 사이트가 많은가봅니다.

그리고 저 "가입확인 요청에 의해서 계정/비번 알려주는 메일"이 날아오는 곳 말고, 요청한 순간에 임시비밀번호로 바꾸고 그것을 알려주는 사이트도 더러 있더군요. 그런 사이트들이 비번을 암호화 저장하는 곳일까 하고 생각해보았습니다.

여담이지만 상당히 당황스런 경우도 있는데, 최초 가입 후에 가입확인 메일을 보내는데 그 메일 내용에 계정과 비밀번호가 그대로 나타나는 경우도 있지요. 아이디 정도만 알려줘도 별로 문제되지 않을텐데 어째서 그러는지 모르겠습니다.
Commented by 니트 at 2008/02/29 20:26
메일로 물어봐서 확인을 하는 저 사이트나 그것에 저렇게 답하는 사이트나 답이 없군요..-_-;;;
Commented by 루돌프 at 2008/02/29 21:04
암호화 같은거 전혀 안하는것 맞는것 같습니다 -_-

제 메일에도 종종 날아오거든요. 다른 사람의 가입확인 메일이......
Commented by Laputian at 2008/02/29 22:20
말씀하신대로, 웹사이트 중에, 비밀번호 찾기를 했을 때 비밀번호가 임의로 지정되지 않고 그대로 오는 것들은 전부 암호화가 되지 않은 채로 저장되는 사이트들이니 주의를 요한다고 하더군요.


여하간 여러모로 불안합니다 --;
Commented by NoSyu at 2008/03/01 12:47
/Mr.Dust/
그렇군요.
암호를 그냥 저장하다니...
MD5를 하라고 하는 권고를 간단히 무시하는 이유는 무엇인지..~_~
Commented by NoSyu at 2008/03/01 12:48
/Sikuru/
반갑습니다.
MD5도 리버스가 되는군요.;;;;
이런 상황에서도 전혀 하지 않는다니..~_~
Commented by NoSyu at 2008/03/01 12:49
/권남/
반갑습니다.
아.. 그러고보니 여러 번 할 수있으니 그렇게 하는 것이 좋겠네요.
두 번이 정석이군요.

오픈ID는 그 뜻은 좋아보이나 아직 미흡한 점이 보여서 아쉽습니다.ㅜㅜ
이글루스에서도 댓글 쓰기에 오픈ID를 넣으면 좋겠건만...
Commented by NoSyu at 2008/03/01 12:51
/imc84/
그러고보니 그 때 문제가 되었죠.
해결보셨나요?

네.. IPTIME은 그런 식으로 운영하더군요.
저것이 맞는 방법이 아닌가 생각합니다.

그러고보니 가입 확인 메일이라면서 아이디와 비밀번호를 보내주더군요.
그걸 중간에 가로채거나 다른 메일로 날아가면 어떻게 하려고...-_-;;;
Commented by NoSyu at 2008/03/01 12:51
/니트/
네.. 답이 없습니다.;;;;
Commented by NoSyu at 2008/03/01 12:51
/루돌프/
역시 전혀 하지 않는군요.OTL...
그러고보니 저도 예전에 다른 사람의 메일이 날아온 기억이...~_~
Commented by NoSyu at 2008/03/01 12:51
/Laputian/
정말 그러하군요.
불안합니다.ㅜㅜ

:         :

:

비공개 덧글

◀ 이전 페이지          다음 페이지 ▶