40년 된 암호화 알고리즘은 DE스크립트로 보호되어 있어
애슐린 매디슨 사태 때처럼 추가 범죄 이어질 것으로 예상돼
[보안뉴스 문가용 기자] 성인물 사이트인 와이프 러버스(Wife Lovers)의 데이터베이스가 해킹된 것으로 보인다. 여기에 가입된 사용자들의 정보가 유출됐을 가능성이 매우 높다. 왜냐하면 이 데이터베이스는 굉장히 오래된 해싱 기법으로만 보호되어 있었기 때문이다.
[이미지 = iclickart]
이 사건이 드러난 것은 지난 주말. 와이프 러버스를 비롯해 유사 자매 사이트 7군데가 비슷한 방법으로 침해된 사실이 알려졌다. 이 사이트들은 다음과 같다.
1) a_____4u.com
2) b_____4u.com
3) i_____4u.com
4) n_____ca.com
5) n_____ns.com
6) n_____en.com
7) w_____er.com
이 사이트들의 데이터베이스 전부 비슷한 방법으로 보호되고 있었으며, 1백 2십만 개가 넘는 이메일 주소들이 저장되어 있었다. 이 사건을 조사하고 나선 보안 전문가 트로이 헌트(Troy Hunt)는 “와이프 러버스 측에 의하면 이번 사고로 침해됐을 가능성이 높은 정보가 회원의 실명, ID, 이메일 주소, IP 주소, 비밀번호라고 한다”고 설명했다. 현재 와이프 러버스 사이트는 접속이 불가한 상태다.
2015년 불륜 조장 사이트인 애슐리 매디슨(Ashley Madison) 해킹 사태가 발생했을 때, 3천 6백만 명의 이용자 정보를 취득한 공격자들은 협박을 통한 갈취 및 괴롭힘 등 추가 범행을 실시했고, 이 때문에 자살한 사람도 나왔다. 이번 사건 역시 비슷한 방향으로 흘러갈 가능성이 높다고 전문가들은 입을 모은다.
IT 전문 매체 아스 테크니카(Ars Technica)는 이번 사건과 관련된 이메일 주소들을 웹에서 검색해보는 실험을 진행했다고 보도했다. 그랬더니 “인스타그램, 아마존 등 대형 웹 서비스에서 같은 메일 주소가 나왔으며, 해당 계정의 사용자 이름과 위치, 취미, 습관, 가족 등의 정보를 어렵지 않게 찾아낼 수 있었다”고 한다. 즉, 현재 와이프 러버스를 비롯해 7개 자매 사이트에 가입한 사용자들은 추가 범죄에 크게 노출되어 있다는 것이다.
군사 분석 전문가인 세드릭 레이튼(Cedric Leighton) 대령은 보안 전문 매체 쓰레트포스트(ThreatPost)와의 인터뷰를 통해 “개인적인 정보 중에서도 가장 민감하고 은밀한 정보가 침해되었기 때문에, 피해자들은 현재 굉장한 위험에 노출되어 있다고 볼 수 있다”고 설명했다. 그러면서 “협박 범죄가 이들을 대상으로 벌어질 것으로 예상되며, 앞으로 이런 식의 공격으로도 충분한 개인정보와 신원 확보가 가능하다는 점이 증명될 것이기 때문에 더 많은 유사 사이트들에도 피해가 번질 것으로 보인다”고 말했다.
와이프 러버스 측은 웹사이트를 통해 공격 정황을 설명하는 글을 올렸다. “익명의 보안 전문가 한 명이 메시지 보드의 등록 정보를 다운로드 할 수 있다고 사이트 소유자인 로버트 안젤리니(Robert Angelini)에 알려왔습니다. 이메일, 사용자 이름, 비밀번호, IP 주소 등이 여기에 포함됩니다. 그 전문가는 저희가 사용하고 있던 스크립트를 익스플로잇 하는 게 가능하다고 주장했습니다. 실제로 데이터를 다운로드 하는 데 성공하기도 했고요. 하지만 그는 그 정보를 공개하지 않을 것이라고는 했지만, 비슷한 문제를 가지고 있는 다른 웹사이트들을 꽤나 많이 발견할 수 있었다고 알려왔습니다. 이 사람이 이러한 공격을 시도한 첫 사례라고 믿을 수 있는 근거가 저희에겐 없습니다. 오히려 나쁜 의도를 가진 사람들이 그 동안 해당 정보를 다운로드 받았을 가능성이 더 높습니다.”
그러면서 안젤리니는 “이번에 침해 가능성이 제기된 건 무료 사용자의 개인정보”라고 강조했다. 유료 고객과 무료 고객은 철저하게 따로 관리되는데, 이번에 당한 것은 전부 무료 사용자라는 것이다. “유료 고객들이 관리되는 시스템으로는 침해가 일어나지 않았습니다.”
한편 아스 테크니카는 이번에 침해된 것으로 보이는 데이터베이스가 21년 동안 축적되어 온 것이라고 밝히기도 했다. “안젤리니가 말한 바에 의하면 현재 활동하는 사용자와 이전에 등록된 사용자 등 총 120만 명의 데이터가 들어 있습니다.”
이 사건의 핵심은 암호화 알고리즘인 DES크립트(DEScrypt)다. 70년대에 만들어진 것으로 지금 기준으로 너무나 약해 사실상 암호화 알고리즘이라고 부르기도 민망한 수준이라고 한다. IBM이 주도적으로 개발하고 NSA가 사용했을 정도지만, 얼마 가지 않아 약점이 드러난, 폐기 처리 수준의 기술인 것이다. 실제 트로이 헌트는 DE스크립트를 7분 만에 깨기도 했다.
레이튼은 “이 암호화 알고리즘을 사용했다는 건 개발자나 사이트 운영자가 개인정보 보호에 신경을 거의 쓰지 않았다는 뜻”이라며, “이번 사건의 책임이 이 암호화 알고리즘을 사용하기로 결정한 사람에게 있다고 해도 과언이 아니”라고 주장했다. “40년이나 지난 알고리즘이 지금도 잘 통할 거라고 생각하는 게 이상한 일이죠. 몰랐다고 한들, 핑계가 되지 않습니다.”
3줄 요약
1. 해외 성인 사이트 와이프 러버스 해킹 당하다. 유사 사이트 7군데도 사정 비슷한 듯.
2. 문제는 데이터베이스 보호하는 데 사용됐던 암호화 알고리즘이 40년 전의 것이라는 부분.
3. 애슐리 매디슨 사태 때처럼 협박 범죄 등 추가로 발생할 가능성 높음.
[국제부 문가용 기자(globoan@boannews.com)]
애슐린 매디슨 사태 때처럼 추가 범죄 이어질 것으로 예상돼
[보안뉴스 문가용 기자] 성인물 사이트인 와이프 러버스(Wife Lovers)의 데이터베이스가 해킹된 것으로 보인다. 여기에 가입된 사용자들의 정보가 유출됐을 가능성이 매우 높다. 왜냐하면 이 데이터베이스는 굉장히 오래된 해싱 기법으로만 보호되어 있었기 때문이다.
[이미지 = iclickart]
이 사건이 드러난 것은 지난 주말. 와이프 러버스를 비롯해 유사 자매 사이트 7군데가 비슷한 방법으로 침해된 사실이 알려졌다. 이 사이트들은 다음과 같다.
1) a_____4u.com
2) b_____4u.com
3) i_____4u.com
4) n_____ca.com
5) n_____ns.com
6) n_____en.com
7) w_____er.com
이 사이트들의 데이터베이스 전부 비슷한 방법으로 보호되고 있었으며, 1백 2십만 개가 넘는 이메일 주소들이 저장되어 있었다. 이 사건을 조사하고 나선 보안 전문가 트로이 헌트(Troy Hunt)는 “와이프 러버스 측에 의하면 이번 사고로 침해됐을 가능성이 높은 정보가 회원의 실명, ID, 이메일 주소, IP 주소, 비밀번호라고 한다”고 설명했다. 현재 와이프 러버스 사이트는 접속이 불가한 상태다.
2015년 불륜 조장 사이트인 애슐리 매디슨(Ashley Madison) 해킹 사태가 발생했을 때, 3천 6백만 명의 이용자 정보를 취득한 공격자들은 협박을 통한 갈취 및 괴롭힘 등 추가 범행을 실시했고, 이 때문에 자살한 사람도 나왔다. 이번 사건 역시 비슷한 방향으로 흘러갈 가능성이 높다고 전문가들은 입을 모은다.
IT 전문 매체 아스 테크니카(Ars Technica)는 이번 사건과 관련된 이메일 주소들을 웹에서 검색해보는 실험을 진행했다고 보도했다. 그랬더니 “인스타그램, 아마존 등 대형 웹 서비스에서 같은 메일 주소가 나왔으며, 해당 계정의 사용자 이름과 위치, 취미, 습관, 가족 등의 정보를 어렵지 않게 찾아낼 수 있었다”고 한다. 즉, 현재 와이프 러버스를 비롯해 7개 자매 사이트에 가입한 사용자들은 추가 범죄에 크게 노출되어 있다는 것이다.
군사 분석 전문가인 세드릭 레이튼(Cedric Leighton) 대령은 보안 전문 매체 쓰레트포스트(ThreatPost)와의 인터뷰를 통해 “개인적인 정보 중에서도 가장 민감하고 은밀한 정보가 침해되었기 때문에, 피해자들은 현재 굉장한 위험에 노출되어 있다고 볼 수 있다”고 설명했다. 그러면서 “협박 범죄가 이들을 대상으로 벌어질 것으로 예상되며, 앞으로 이런 식의 공격으로도 충분한 개인정보와 신원 확보가 가능하다는 점이 증명될 것이기 때문에 더 많은 유사 사이트들에도 피해가 번질 것으로 보인다”고 말했다.
와이프 러버스 측은 웹사이트를 통해 공격 정황을 설명하는 글을 올렸다. “익명의 보안 전문가 한 명이 메시지 보드의 등록 정보를 다운로드 할 수 있다고 사이트 소유자인 로버트 안젤리니(Robert Angelini)에 알려왔습니다. 이메일, 사용자 이름, 비밀번호, IP 주소 등이 여기에 포함됩니다. 그 전문가는 저희가 사용하고 있던 스크립트를 익스플로잇 하는 게 가능하다고 주장했습니다. 실제로 데이터를 다운로드 하는 데 성공하기도 했고요. 하지만 그는 그 정보를 공개하지 않을 것이라고는 했지만, 비슷한 문제를 가지고 있는 다른 웹사이트들을 꽤나 많이 발견할 수 있었다고 알려왔습니다. 이 사람이 이러한 공격을 시도한 첫 사례라고 믿을 수 있는 근거가 저희에겐 없습니다. 오히려 나쁜 의도를 가진 사람들이 그 동안 해당 정보를 다운로드 받았을 가능성이 더 높습니다.”
그러면서 안젤리니는 “이번에 침해 가능성이 제기된 건 무료 사용자의 개인정보”라고 강조했다. 유료 고객과 무료 고객은 철저하게 따로 관리되는데, 이번에 당한 것은 전부 무료 사용자라는 것이다. “유료 고객들이 관리되는 시스템으로는 침해가 일어나지 않았습니다.”
한편 아스 테크니카는 이번에 침해된 것으로 보이는 데이터베이스가 21년 동안 축적되어 온 것이라고 밝히기도 했다. “안젤리니가 말한 바에 의하면 현재 활동하는 사용자와 이전에 등록된 사용자 등 총 120만 명의 데이터가 들어 있습니다.”
이 사건의 핵심은 암호화 알고리즘인 DES크립트(DEScrypt)다. 70년대에 만들어진 것으로 지금 기준으로 너무나 약해 사실상 암호화 알고리즘이라고 부르기도 민망한 수준이라고 한다. IBM이 주도적으로 개발하고 NSA가 사용했을 정도지만, 얼마 가지 않아 약점이 드러난, 폐기 처리 수준의 기술인 것이다. 실제 트로이 헌트는 DE스크립트를 7분 만에 깨기도 했다.
레이튼은 “이 암호화 알고리즘을 사용했다는 건 개발자나 사이트 운영자가 개인정보 보호에 신경을 거의 쓰지 않았다는 뜻”이라며, “이번 사건의 책임이 이 암호화 알고리즘을 사용하기로 결정한 사람에게 있다고 해도 과언이 아니”라고 주장했다. “40년이나 지난 알고리즘이 지금도 잘 통할 거라고 생각하는 게 이상한 일이죠. 몰랐다고 한들, 핑계가 되지 않습니다.”
3줄 요약
1. 해외 성인 사이트 와이프 러버스 해킹 당하다. 유사 사이트 7군데도 사정 비슷한 듯.
2. 문제는 데이터베이스 보호하는 데 사용됐던 암호화 알고리즘이 40년 전의 것이라는 부분.
3. 애슐리 매디슨 사태 때처럼 협박 범죄 등 추가로 발생할 가능성 높음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
