보안 / 오피스ㆍ협업

구글 G 스위트 "2005년부터 비밀번호 평문으로 저장한 오류 발견"

Michael Simon  | PCWorld 2019.05.23
구글 클라우드 블로그가 화요일 포스트를 통해 2005년에 사용자 비밀번호를 해시 버전으로 스크램블해 저장하지 않고 실제 복사본을 저장해온 오류를 발견했다고 밝혔다. 당연히 외부 공격을 통해 실사용 가능한 비밀번호에 접근하는 것도 가능했다. 구글은 현재는 문제가 수정되었고 “외부에서 오용된 비밀번호나 부적절한 액세스의 증거는 발견하지 못했다”고 발표했다.

구글은 비밀번호가 계속 안전하게 암호화된 인프라에 저장되어 있다고 주장해 외부에서의 공격 가능성은 높지 않아 보인다.

구글은 이번 사태의 원인을 기존 기능이라고 주장한다. 2005년 G 스위트 도메인 관리자가 자사 사용자를 위해 클라이언트에서 암호를 설정하고 복구할 수 있는 권한이 생겼는데, 그래서 해시되지 않은 암호 액세스가 필요하게 됐다. 그래서 구글은 이 기능을 폐기하고, 지메일처럼 모든 G 스위트 비밀번호의 재설정을 요구하고 있다.

또한, 별도의 문제를 지난 1월에 발견해 해시되지 않은 비밀번호가 최장 14일까지만 저장하게 수정했다고밝혔다. 이 문제도 다른 문제와 마찬가지로 수정되었고 외부에서의 침입과 비밀번호 오용의 증거를 발견하지 못했다고 했다.

그래서 구글은 영향권 내에 있는 모든 가입 업체에 영향받은 비밀번호를 바꾸고, 수동으로 바뀌지 않는 비밀번호는 초기화하라고 알리고 있다. 사과와 함께 향후에는 더 나은 모습을 보일 것을 약속했다.

이번 문제는 지메일 사용자(즉, G 스위트 구독자 외부의)에게는 영향이 없지만, 핵심적인 웹 사이트나 서비스에 강력하고 흔하지 않은 비밀번호를 사용해야 하는 원칙에 대한 주의를 환기할 것이다. 아직 비밀번호 관리자 서비스를 사용하지 않는다면 고려하는 것이 좋다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.