76,000명의 이메일 주소와 4,000명의 암호화된 패스워드 유출

[보안뉴스 민세아] 모질라 재단에서 운영하고 있는 모질라 개발자 네트워크(MDN, Mozilla Development Network)에서 약 76,000개의 이메일 주소와 4천개의 암호화된 패스워드가 유출되는 사고가 발생했다.

모질라 개발자 릴레이션 디렉터인 스토미 패터스 씨는 지난 1일 모질라 블로그를 통해 데이터베이스 결함으로 수천명의 이메일 주소와 암호화된 패스워드가 유출되는 사건이 발생했음을 공지했다.

이 사건은 모질라 개발자의 제보를 통해 알려졌으며, 지난 6월 23일부터 30일 동안 모질라 개발자 네트워크 사이트의 데이터베이스 영구 삭제 프로세스가 동작하지 않아 정보가 유출된 것으로 확인됐다. 해당 기간 동안 데이터베이스 덤프 파일에 존재한 76,000명의 이메일 주소와 4,000명의 암호화 된 패스워드가 유출된 것이다.

현재 스토미 패터스는 데이터베이스 덤프 파일을 즉시 삭제하고 덤프 파일 생성을 중단했으며, 모질라 서버로 의심스러운 악성활동이 발견되지 않음을 확인했지만 어떤 접근이 있었는지는 확신할 수 없다고 설명하고 있다.

더불어 정보가 유출된 개발자에 한해서 해당 유출 사실을 메일로 통보했으며, 가급적이면 패스워드를 바꿀 것을 권고하고 있다.

그는 유출된 패스워드는 솔트(Salt) 방식으로 암호화되었기 때문에 무차별 대입 공격(Brute Force Attack)을 통해 정보를 완전히 빼내는 것은 어렵다고 설명했다.

또한 암호화된 패스워드가 공개된 계정에 한해 웹사이트 인증에 사용할 수 없도록 조취를 취했기 때문에 암호를 푼다고 해도 이를 악용할 수 없을 것이라고 밝혔다.

모질라는 이와 같은 사고에 대한 공식적인 사과와  피해 사용자들에게 유출 사실을 통보하는 것에 그치지 않고, 다시는 이런 일이 발생하지 않도록 만반의 준비를 하겠다고 공식적으로 발표했다.

이와 관련한 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터 웹사이트 또는 아래의 출처를 참고하면 된다.

[출처]

1. http://www.theguardian.com/technology/2014/aug/05/mozilla-leak-developer-email-addresses-passwords-firefox

2. https://blog.mozilla.org/security/2014/08/01/mdn-database-disclosure/

[용어설명]

1. 모질라 재단(Mozilla Foundation) : 자유 소프트웨어 기반의 모질라 프로젝트를 지원하고 이끌기 위해 설립된 비영리 재단으로 파이어폭스 웹 브라우저를 만든 것으로 유명함

2. 모질라 개발자 네트워크 사이트 : http://developer.mozilla.org

3. 데이터베이스 덤프(dump) : 현재 데이터 테이블의 구조와 입력된 레코드를 저장하는 방법으로 백업할 때도 사용 가능함

4. 솔트(Salt) : 임의의 문자를 암호 앞이나 뒤에 넣어 길이를 길게 하고, 원래 암호에 추가 정보를 넣어서 암호화 하는 방법

5. 무차별 대입 공격(Brute Force Attack) : 특정한 암호를 풀기 위해 가능한 모든 값을 대입하여 공격하는 것을 의미함

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>