해킹 툴과 노하우 공유하는 남미 커뮤니티, 타링가 지난 달 뚫려
사용자 비밀번호 MD5 알고리즘으로 보호...거의 평문 저장한 격

[보안뉴스 문가용 기자] 남아메리카 지역의 레딧(Reddit)이라고 불리는 타링가(Taringa)에서 2천 8백만 건의 개인정보가 유출됐다. 2천 8백만이라고 하면 사실상 타링가 회원 전부라고 볼 수 있다. 특히 로그인 크리덴셜을 집중적으로 노린 공격이 발생한 것으로 보인다.


타링가는 남미 지역 사용자들을 중심으로 한 인기 높은 커뮤니티 플랫폼으로, 일상 해킹 기법, 튜토리얼, 도구, 특정 툴에 대한 리뷰 등이 활발히 공유되는 곳이다. 하지만 타링가는 비밀번호 해싱을 위해 아주 오래된 알고리즘을 사용해온 것으로 나타났다. 바로 MD5로 이는 2012년 이전부터도 ‘쓸모없다’는 평을 받아온 것이다.

실제 해킹 사건이 벌어진 건 지난 달로 보인다. 타링가는 이를 인지하고 블로그를 통해 사용자들에게 비밀번호를 바꾸라고 권고했다. “공격자들이 사용자 여러분의 ID, 이메일 주소, 암호화된 비밀번호를 탈취해간 것으로 보입니다. 전화번호나 타 소셜미디어를 통한 로그인 정보는 무사합니다. 비트코인 지갑 주소 역시 안전합니다.” 현재 타링가는 사용자들을 보호하기 위해 비밀번호 변경 창을 띄우고 있다.

한편 유출된 데이터베이스는 리크베이스(LeakBase)라는 침해사고 경고 서비스에서 확보했고, 이를 해커뉴스라는 매체에서 분석했다. 해커뉴스는 “비밀번호를 MD5 알고리즘으로 보호하는 게 얼마나 약한지, (전문 기술을 보유하고 있지 않은) 해커뉴스 자체적으로도 93.79%를 크래킹할 수 있었다”고 밝혔다.

“비밀번호 분석 결과 1) 대부분 평범한 소문자 알파벳으로 구성되어 있었고, 2) 특수문자는 거의 없었으며, 3) 123456~0 류의 비밀번호가 상당히 많이 사용되고 있었다는 걸 발견했습니다. 한편 여섯 자리 비밀번호가 가장 많이 사용되고 있었고, 그 다음은 여덟 자리가 많았습니다. 그것보다 긴 비밀번호의 비율은 급격히 낮았습니다.”

이메일 주소의 경우 hotmail.com과 gmail.com, hotmail.es가 순서대로 가장 많았으며 그 뒤로는 야후, 라이브, 아웃룩 등의 인기 높은 이메일 주소들도 열손가락 안에 들었다. 해커뉴스는 “데이터베이스가 입수된 김에 분석을 해본 것이지 사용자의 나쁜 비밀번호 설정 습관과 이번 사건은 아무런 상관이 없다”고 못을 박았다. “오히려 이런 비밀번호로 등록을 시켜준 타링가 측의 잘못이 더 큽니다.”

또한 “비밀번호 관련 사건만 터지면 사용자들이 비밀번호를 엉터리로 만든다는 소리들을 하는데, 애초에 그렇게 쉽게 만들지 못하게 시스템을 구축하지 못한 잘못도 분명 크다”고 해커뉴스는 주장했다. “타링가의 경우는 비밀번호를 MD5라는 오래된 알고리즘으로 보호하고 있었다는 잘못도 있죠. 평문으로 저장한 거나 다름없습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>