보안전문가 “Salt 없는 단순 MD5 암호화... 해시값 사전 통해 크랙되어 패스워드 알 수 있어”
[보안뉴스 원병철 기자] 항공권 특가 알림 앱으로 알려진 여행 플랫폼 ‘플레이윙즈’가 고객 개인정보 유출을 당했다고 공지했다. 플레이윙즈는 지난 4월 16일 허가받지 않은 외부 접속자가 서버접속 키를 탈취한 후 DB에 접속해 고객정보를 탈취했다고 밝혔다. 이렇게 탈취된 고객정보는 <보안뉴스>가 29일 보도한 것처럼 다크웹에서 거래되고 있었다.
▲플레이윙즈 공지사항[캡처=보안뉴스]
플레이윙즈는 공지사항을 통해 2020년 4월 16일경 허가받지 않은 외부 접속자가 당사의 서버 접속 key를 탈취해 일부 회원 정보에 비정상적인 방식으로 접근했으며, 플레이윙즈 데이터베이스에 적재된 회원의 개인정보를 탈취한 것을 6월 29일 확인했다고 밝혔다.
유출된 개인정보 항목은 이메일 주소로 가입한 회원(SNS 가입 유저 제외)의 △이메일 △암호화된 비밀번호 △닉네임 등 3개 항목이며, 플레이윙즈는 개인정보 최소 수집 원칙에 따라 SNS 로그인을 병행 이용하고 있어 회원의 성명, 주민등록번호, 카드번호 등 금융정보는 원칙적으로 보관(수집)하지 않고 있다고 설명했다. 또한, SNS로 가입한 유저는 어떠한 정보도 유출되지 않았다고 설명했다.
이번 사건과 관련해 플레이윙즈는 지난 4월 22일 서버접속 Key를 변경해 취약점 제거를 완료했다고 밝혔다. 다만 서버접속 Key를 변경한 4월 22일에는 별도의 외부 유출 정황을 추가로 검토하지 못해 개인정보 유출에 대한 인지가 늦어졌다고 사과했다. 아울러 2020년 7월 런칭이 예정된 플레이윙즈 리뉴얼 서비스에서는 보안이 보다 강화된 User DB를 사용할 예정이며, 추가적으로 이메일 아이디 양방향 암호화를 진행할 방침이라고 덧붙였다.
또한, 고객 개인을 특정할 수 있는 민감 정보는 포함되지 않았지만, 유출된 정보를 통해 해커가 피싱 메일 등을 발송할 수 있으므로 출처가 불분명한 이메일 수신 시 주의를 기울여 달라고 밝혔다. 이와 함께 혹시 모를 피해 추가 피해를 최소화하기 위해 비밀번호를 변경해 달라고 당부했다.
한편, 본지가 보도한 것처럼 플레이윙즈에서 유출된 고객정보는 이미 다크웹에 공개됐다. 이와 관련 한 보안전문가는 “유출된 사용자 패스워드 중 과거에 사용했던 일부 패스워드는 Salt 없는 단순 MD5로 암호화했기 때문에 레인보우 테이블 등 해시값 사전을 통해 크랙되어 패스워드를 쉽게 알 수 있다”고 지적했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>