본문 바로가기

보안

네이트 비번 암호화 3초만에 풀린 진실은?


네이트 비번 암호화 3초만에 풀린 진실은?



요 몇일 네이트해킹 사건으로 인해 상당히 시끄럽습니다. 그중 가장 뜨거운 감자는 네이트 비밀번호 암호화가 3초만에 풀렸다는 SBS 8시 뉴스 보도일 겁니다.

SBS 8시 뉴스는 SK컴즈에서 안전하다고 주장했던 암호화를 취재진이 3초만에 풀어내는 모습을 방송했고, 이러한 모습에 많은 국민들이자신의 주민등록번호와 비밀번호가 노출되진 않았을까 불안감을 더욱 증폭시켰기 때문입니다. 이에 SK컴즈는 SBS 8시 뉴스에서 테스트한 암호화 방식과 우리가 사용하는 암호화 방식은 다르다고 못박아 이야기 했습니다. 그렇다면 진실은 무엇일까요?

비밀번호와 주민등록번호는 다른 암호화를 사용했다

 
 

<AES 암호화 구조>

SK컴즈는 사용자들의 주민등록번호를 AES128비트 암호화 했고, 비밀번호는 단방향 방식의 암호화 했다고 합니다. 주민등록번호에 사용된 AES128비트 암호화는 현재로써 안전한 방식의 암호화라 말할 수 있지만 주민등록번호가 0~9까지의 조합이기 때문에 복호화될 위험성이 없지는 않습니다. 또한 논란이 되고 있는 비밀번호에 사용된 단방향 방식의 암호화는 MD5 해시라는 설이 강합니다.

MD5는 오래된 암호화로 지금은 역방향 조회를 통해 대부분의 간소한 문장은 손쉽게 평문을 찾아낼 수 있을 정도로 그 보안수준이 낮은 암호화입니다. SBS 취재진은 매우 단순한 비밀번호(sbs+숫자)를 기준으로 테스트 했기 때문에 몇초 걸리지 않았던 겁니다.


저 역시 제 블로그에 남겨진 댓글들의 비밀번호를 토대로 대입식 프로그램으로 테스트한 결과 위와 같이 단순한 숫자 및 평문은 수초내로 확인할 수 있었습니다. 1234는 0.2초, rkatk(감사)나 12311은 각각 1.1, 1.8초 걸렸습니다 [ *참고 2011/02/13 - [보안] - 티스토리 댓글 달 때 주의할 점 ]

네이트는 단순 MD5 방식이 아니었다




하지만 SK컴즈는 단순한 MD5 암호화가 아닌 각 회원별로 다른 키값을 사용하여 암호화 했기 때문에 문제될 것이 없다고 해명했습니다. 이는 수사기관과 한국인터넷진흥원에서도 인정했다고 합니다. 결국 이를 해독하기 위해서는 천문학적 시간이 걸리기 때문에 안심해도 된다는 소리입니다.

그렇다면 정작 중요하게 생각해야 할 부분은 비밀번호가 아닌 AES128비트로 암호화된 주민등록번호 입니다. AES는 단방향 방식이 아닌 복호화가 가능한 양방향 방식이기 때문에 0 ~9까지의 숫자로 이루어진 주민등록번호인 만큼 지속적으로 대입을 시도하면 비교적 쉽게 3500만여 개의 주민등록번호를 손에 넣을 수 있을 겁니다.


확실하지 않은 정보로 중구난방 떠들며 불안감을 조성하기 보다는 국민들에게 정확하고 신속한 정보를 제공해주는 언론이 되었으면 합니다. 부디 해킹당한 자료들이 악용되지 않도록 조기에 회수되길 바래 봅니다.