옛 SNS 왕좌 지키던 플랫폼의 계정 정보 수억 건 유출
현재 다크웹에서 약 2천 8백 달러에 거래되고 있는 중


[보안뉴스 문가용] 한물 가긴했지만 한 때 최고의 SNS였던 마이스페이스(MySpace.com) 계정의 암호 정보 4억 2천 7백만 건이 유출되었다. 현재 이 정보들은 다크웹 시장에서 판매되고 있다고 한다.

이 소식을 처음 세상에 알린 릭트소스(LeakedSource)는 “3억 6천 2십 1만 3천 24건의 기록(record)들이 판매되고 있으며, 각 기록에는 이메일 주소, 사용자 이름, 암호 한두 개가 담겨 있다”고 설명했다. “3억 6천만 건의 기록 중 1억 2천 1백 3십 4만 1천 2백 58개의 계정에는 사용자 이름이 첨부되어 있고 6천 8백 4십 9만 3천 6백 51건에는 두 번째 암호 정보도 첨부되어 있습니다.”

기술 관련 매체인 머더보드(Motherboard)에 의하면 현재 해당 정보를 판매하고 있는 자는 피스(Peace)라는 닉을 사용하고 있는 해커이며, 이는 얼마 전 수백 만 건의 링크드인(LinkedIn) 사용자 정보를 판 사람과 동일한 인물이다. 현재 피스는 이메일 및 암호 정보를 6 비트코인에 팔고 있으며 이는 약 2천 8백 달러에 달하는 금액이다.

해킹 자체가 언제 일어난 일인지는 아직 밝혀지지 않았다. 다만 피스와 릭트소스는 “보도되거나 대중에게 공개되지 않은 해킹 사건을 통해 해당 정보를 취득했다”고 주장하고 있다.

한편 마이스페이스 사용자들이 가장 많이 사용한 암호는 순서대로 homelesspa, password1, abc123, 123456, myspace1인 것으로 나타났다. 마이스페이스 계정 암호들은 ‘더 이상 안전하지 않다’고 알려진 SHA1 방식으로 암호화되어 있었으며 ‘소금’도 첨가되지 않은 것으로 드러났다.

암호화에서 말하는 소금(salt)이란 무작위로 생성된 데이터로 암호화를 하기 전 원본 데이터에 첨가되어 복호화를 더 어렵게 만드는 것을 말한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)