2016.06.01

텀블러 계정 6,500만 개 암시장서 거래... 비밀번호 초기화 필요

Lucian Constantin | IDG News Service
몇 주 전 텀블러 사용자들에게는 사용자 이메일 주소와 비밀번호가 유출됐다는 공지가 전달됐다. 텀블러는 정확한 피해 규모는 밝히지 않았는데, 최근 그 규모가 6,500만 개에 이른다는 보도가 나왔다.

현재 텀블러에서 유출된 데이터는 더리얼딜(TheRealDeal)이라는 토르의 암시장 웹사이트에서 사용자 ‘peace_of_mind’가 판매하고 있다. 이 사용자는 링크드인에서 훔친 1억 6,700만 개의 사용자 정보도 판매 한 바 있다. 최근 그는 마이스페이스에서 훔친 것으로 보이는 3억 6,000만 개의 계정과 성인용 데이트 사이트인 Fling.com의 계정 4,000만 개를 추가로 올렸다.

텀블러가 5월 12일 보낸 보안 안내문에 따르면, 거래되고 있는 데이터는 텀블러가 야후에 인수되기 전인 2013년 초에 도난당한 것으로 추정된다.

보안 연구원인 트로이 헌트는 해당 데이터의 사본을 입수해 웹사이트에 공개하고, 사용자들이 데이터 유출 사고에 관련이 있는지 스스로 알아볼 수 있도록 하고 있다. 헌트에 따르면, 이메일 주소와 비밀번호가 솔트(salted) 및 해시(hash) 처리되어 있다.

해싱(hashing)은 해시 함수를 이용해서 고유의 해시값을 생성하는 것으로, 이론적으로는 공격자가 해시값을 비밀번호로 복호화할 수 없어서 비밀번호 확인과 데이터베이스 저장에 유용하다.

하지만 MD5나 SHA1같은 일부 구형 해싱 알고리즘을 뚫을 수 있는 다양한 크랙 기법이 존재한다. 이것이 링크드인 데이터 유출에서 발생했던 문제인데, 링크드인의 비밀번호 해시는 바닐라 SHA1으로 생성되어, 연구원들이 전체의 80%를 크랙할 수 있었다.

다행히도 텀블러의 경우 이 해시들이 ‘솔트’ 처리되어 있다. 해시값을 생성하기 전에 비밀번호에 무작위 텍스트를 추가하는 방식이다. 이 방식을 이용하면 솔트 자체가 해킹당한 것이 아니라면 비밀번호 크랙이 더욱 어렵다.

그렇다 하더라도 사용자들은 완전히 안심할 수 없으며, 가능한 한 빨리 비밀번호를 변경해야 한다. 텀블러에 사용한 비밀번호를 다른 웹사이트에서도 사용했다면, 이 역시 바꾸는 것이 좋다.

또한, 이미 3년 전에 도난당한 데이터라는 점도 염두에 두어야 한다. 3년은 공격자들이 훔친 데이터로 수익을 만들어내기에 충분한 시간이다. editor@itworld.co.kr
 


2016.06.01

텀블러 계정 6,500만 개 암시장서 거래... 비밀번호 초기화 필요

Lucian Constantin | IDG News Service
몇 주 전 텀블러 사용자들에게는 사용자 이메일 주소와 비밀번호가 유출됐다는 공지가 전달됐다. 텀블러는 정확한 피해 규모는 밝히지 않았는데, 최근 그 규모가 6,500만 개에 이른다는 보도가 나왔다.

현재 텀블러에서 유출된 데이터는 더리얼딜(TheRealDeal)이라는 토르의 암시장 웹사이트에서 사용자 ‘peace_of_mind’가 판매하고 있다. 이 사용자는 링크드인에서 훔친 1억 6,700만 개의 사용자 정보도 판매 한 바 있다. 최근 그는 마이스페이스에서 훔친 것으로 보이는 3억 6,000만 개의 계정과 성인용 데이트 사이트인 Fling.com의 계정 4,000만 개를 추가로 올렸다.

텀블러가 5월 12일 보낸 보안 안내문에 따르면, 거래되고 있는 데이터는 텀블러가 야후에 인수되기 전인 2013년 초에 도난당한 것으로 추정된다.

보안 연구원인 트로이 헌트는 해당 데이터의 사본을 입수해 웹사이트에 공개하고, 사용자들이 데이터 유출 사고에 관련이 있는지 스스로 알아볼 수 있도록 하고 있다. 헌트에 따르면, 이메일 주소와 비밀번호가 솔트(salted) 및 해시(hash) 처리되어 있다.

해싱(hashing)은 해시 함수를 이용해서 고유의 해시값을 생성하는 것으로, 이론적으로는 공격자가 해시값을 비밀번호로 복호화할 수 없어서 비밀번호 확인과 데이터베이스 저장에 유용하다.

하지만 MD5나 SHA1같은 일부 구형 해싱 알고리즘을 뚫을 수 있는 다양한 크랙 기법이 존재한다. 이것이 링크드인 데이터 유출에서 발생했던 문제인데, 링크드인의 비밀번호 해시는 바닐라 SHA1으로 생성되어, 연구원들이 전체의 80%를 크랙할 수 있었다.

다행히도 텀블러의 경우 이 해시들이 ‘솔트’ 처리되어 있다. 해시값을 생성하기 전에 비밀번호에 무작위 텍스트를 추가하는 방식이다. 이 방식을 이용하면 솔트 자체가 해킹당한 것이 아니라면 비밀번호 크랙이 더욱 어렵다.

그렇다 하더라도 사용자들은 완전히 안심할 수 없으며, 가능한 한 빨리 비밀번호를 변경해야 한다. 텀블러에 사용한 비밀번호를 다른 웹사이트에서도 사용했다면, 이 역시 바꾸는 것이 좋다.

또한, 이미 3년 전에 도난당한 데이터라는 점도 염두에 두어야 한다. 3년은 공격자들이 훔친 데이터로 수익을 만들어내기에 충분한 시간이다. editor@itworld.co.kr
 


X