야후에 이어 SNS ‘폼스프링’, 안드로이드 커뮤니티 ‘판드로이드’까지
보안에 취약한 암호화 방식 개선해야...주기적인 PW 변경도 중요!    

[보안뉴스 호애진] 최근 계정 정보 유출 사고가 잇따라 발생하면서 사용자의 불안감이 고조되고 있다.

야후는 12일(현지시각) ‘야후 기고가 네트워크(Yahoo! Contributor Network)’가 해킹을 당해 45만개의 계정 정보가 유출됐다고 밝혔다.

 

‘D33ds Company’라는 이름의 해커집단이 SQL 인젝션 공격을 통해 정보를 탈취, 이를 온라인상에 공개해 물의를 빚었다.

야후 해킹 사건은 이번 주만 벌써 세번째 발생한 계정유출 사고다. 앞서 10일에는 안드로이드폰 커뮤니티인 ‘판드로이드(http://www.phandroid.com/)’가 해킹돼 100만개의 계정 정보가 유출된 바 있다.

판드로이드는 해커가 백엔드 데이타베이스에 침입한 사실을 확인하고 이를 회원들에게 공지했다. 여기에는 계정정보뿐만 아니라 사용자 이름, 이메일 주소, 암호화된 비밀번호, IP 주소 등이 담겨 있는 것으로 알려졌다.

판드로이드는 해커가 대량 스팸 메일을 발송하려는 목적으로 이메일을 수집하기 위해 공격을 감행한 것으로 보고 있다. 그러나 IP 주소도 포함돼 있어 이를 통해 타깃형 공격에 이용하려 했다는 가능성도 배제하지 않고 있다.

또한, 11일 소셜 네트워크 사이트 ‘폼스프링(www.formspring.me)’이 해킹돼 42만개의 비밀번호가 유출됐다. 야후의 경우와 동일하게 해커는 이를 온라인상에 공개했고, 이에 폼스프링은 모든 사용자의 비밀번호를 초기화했다.

폼스프링은 사용자마다 알려지지 않은 값인 솔트(salt)를 추가해 나온 값에 SHA-256 암호화 알고리즘을 사용, 암호화한 후 저장해 왔으나 이번 사고 후 암호화 방식을 Bcrypt로 바꿨다.

어떤 방식으로 암호화를 했는지 여부도 중요하기 때문이다. 지난달 링크드인 계정 650만개가 유출됐을 당시 링크드인이 취약한 암호화 알고리즘인 SHA-1을 사용했다는 이유로 사용자의 비밀번호를 안전하게 관리하지 않은 책임을 물어 미국의 한 여성이 집단소송을 제기한 바 있다.

보안전문가들은 “암호화된 비밀번호의 경우 일반적으로 바로 사용할 수 없지만 해커가 해독할 가능성이 있고, 이에 따라 추가 피해가 발생할 수 있다”면서 “사용자는 여러 사이트에 동일한 비밀번호를 적용하지 말고, 이를 주기적으로 변경해야 한다”고 강조했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>