네이트 해킹으로 본 DB 암호화의 허점 - 암호화되어 있다고 안심하지 말자.

네이트 해킹 사건이 오늘에 가장 관심 있는 사건으로 떠올랐습니다.

( 물론 제 개인적으로... )

네이트 서버가 해킹을 당해 약 3,500 만건의 데이터가 유출되었다고 합니다.

이때 주민등록번호와 비밀번호는 암호화 되어 있어 안전하나 타 사이트의 비밀번호는 변경해야 한다고 합니다.

암호화 되어 있으면 안전하지 않느냐?  그렇지 않습니다.

개인이 어떻게 비밀번호를 사용하느냐에 따라 결과는 달라집니다.

보통 저희의 경우는 암호화는 MD5 암호화를 주로 사용합니다.

이 암호화는 단반향 암호화로서 복호화 할수 없는 암호화 방식입니다.

입력하는 문자의 조합에 대해 1:1 로 매칭되는 암호구문만이 존재합니다.

이 부분에서 허점이 발생합니다.

1:1 로 매칭되는 모든 내용을 DB 화 해놓는다면?

이러면 유추하기 쉬운 단어들은 모두 MD5 로 변환을 해본 다음

그 내용을 DB 화 시켜서 오늘과 같이 암호화된 자료를 수집해서

자신들이 가지고 있는 DB 와 비교해서 비밀번호를 찾아낼수 있습니다.

제가 관리하고 있는 사이트들도 꽤나 많은 회원들이 너무나도 쉬운 비밀번호를 사용하고 계시더군요..


예제 사이트 한번 보시죠..

http://www.nth-dimension.org.uk/utils/ghash.php?wordvalue=12345&startline=0&aboutflag=0&copyrightflag=

이런식으로 기본적인 암호화 문구는 모두 MD5 코드가 인터넷에 널려 있으며

이에 쉽게 유추 가능하거나 숫자로만 이루어진 암호는 즉시 변경하는 것이 좋습니다.

숫자 + 영문 + 특수문자 의 조합으로 10 글자 이상의 암호를 권장합니다.


홈페이지 기획시에 암호를 8자로 제한하거나 최소 글자수를 정하지 않는 기획자들이 많은데

이 부분은 분명히 수정되어야 할 듯 합니다.

권장사항은 최소 6글자 이상 최대 16글자 정도까지는 입력할수 있게 하여야 할 듯 합니다.

그리고 최소한 영문과 숫자의 조합을 권장하는 방식으로 수정 되면 좋습니다.



그냥 갑자기 뉴스 보다가 생각나서 주절 거려 봅니다.

두서에 맞지 않더라도 이해를....