보안

야후, 핫메일, 지메일… 모두 비밀번호 해킹에 취약

Gregg Keizer | Computerworld 2008.09.22
지난 주 초 미국 공화당 부통령 후보 페일린의 야후 이메일이 해킹돼 화제가 된 바 있는데, 비밀번호 해킹에 취약한 서비스가 야후 이메일 뿐만이 아닌 것으로 나타났다.

구글 지메일, MS 윈도우 라이브 핫메일, 야후 메일 등은 비밀번호를 분실했을 때, 비밀번호 자동 재설정 매커니즘을 통해 비밀번호를 변경할 수 있도록 하는데, 이는 사용자 ID와 보안질문에 대한 답을 알고 있으면, 누구나 쉽게 비밀번호를 변경할 수 있도록 한다.

컴퓨터월드의 기자들이 지메일, 핫메일, 야후 메일을 모두 이용해서 동료의 이메일 비밀번호를 변경해본 결과, ID를 입력하고 , 어머니의 결혼 전 성, 가장 좋아하는 애완동물, 혹은 첫 번째 자동차의 메이커 등 일반적인 보안질문에 대한 답을 하나만 정확히 넣어 비밀번호를 재설정할 수 있었다.

이 외에 일부 개인적인 정보에 관련된 보안질문은 소셜 네트워킹 사이트나 인터넷에서 쉽게 답을 찾을 수 있는데, 페일린의 이메일을 해킹했다고 주장하고 있는 루비코(rubico)’ 역시 보안질문에 대한 답을 구글, 위키피디아 등을 이용해 알아냈다고 밝힌 바 있다.

결론적으로, ID CAPTCHA(Completely Automated Public Turing Test to Tell Computers and Humans Apart: 자동가입방지)만 정확히 입력하고 , 보안질문에 대한 답만 넣으면 이메일 비밀번호를 변경할 수 있다.

메시지 보안 관련 신흥 기업인 클라우드마크(Cloudmark) 대표 아담 오도넬(Adam O’Donnell)은 자동 비밀번호 재설정은 야후, 핫메일, 지메일과 같은 무료 서비스나 ISP가 제공하는 유료 서비스를 통틀어 모든 웹 기반 메일 서비스의 규칙이라고 말했다.

오도넬은 “ISP는 극히 적은 마진을 갖고 있기 때문에, 만일 누군가 문의처에 전화를 걸어 비밀번호를 재설정해달라고 요청한다면, ISP는 해당 사용자에게서 나올 수 있는 수익을 포기해야 하는 것과 같다고 덧붙였다.

더불어 오도넬은 일부 보안 전문가들이 페일린의 이메일을 해킹한 루비코가 비밀번호 재설정을 이용해 해킹했다는 것에 비판적임에도 불구하고 , “그럴듯한 말이라며 가능하다는 입장을 보였다.

한편, 테네시주 국회의원의 20살 아들로 추정되는 루비코는 온라인상에 있는 정보를 이용해 페일린의 이메일을 해킹하는데 45분밖에 걸리지 않았다고 주장했다. <IDG KOREA>

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.