누군가 내 비밀번호를 알고 있다

간혹 접수되는 들어오는 고객민원 중에, 보낸 문자함에 자기가 보내지 않은 문자가 있다는 것들이 있습니다. 아마도 그런 사용자들은 다른 사람에게 피해를 주었다는 생각에 민망하기도 하고, 막상 필요해서 문자를 보내려는데 남아있는 무료 문자가 없어서 억울하기도 하겠죠? 네이트온 문자창이 해킹을 당한 것은 아닌지, 자신의 개인정보가 어딘가에 노출된 것은 아닌지도 걱정스러울 테구요.

보통 그런 경우 서버 로그를 분석하여 그 계정이 어떻게 로그인하여 무엇을 했는지를 이력을 분석해보는데, 항상 올바른 아이디와 비밀번호를 입력하려 로그인했습니다. 정황상 민원을 제기한 사용자가 로그인한 것 같지 않고, 그동안의 패턴분석 경험들로 그 주장의 진위여부를 대략 추정할 수는 있지만, 일단 아이디와 비밀번호를 제대로 입력하고 로그인했으니 별달리 보상해줄 길이 없어 보기에도 안타까울 따름입니다.
물론 기존 패턴 분석 결과를 토대로, 계정도용을 감지하여 그X들을 불편하게 만들고, 차단하는 기능은 계속해서 보강되고 있습니다만, 사용자 PC에 지문인식기라도 달아놓지 않는 한, 100% 차단 한다는 것은 애초에 불가능합니다.

유출경로: 네이트 해킹?

네이트 및 컴즈를 해킹해서 가져갔을 가능성은 확실히 0% 입니다. 컴즈 뿐 아니라 다른 IT회사들도 비밀번호는 해독불가능하도록 암호화해서 저장하기 때문에, 해킹을 통해 계정목록을 확보했더라도 절대로 비밀번호를 알아낼 수는 없습니다. 암호화 알고리즘 자체가 해독이 불가능한 것을 사용하기때문에, 사이트 개발자나 DB관리자조차도 알아낼 수 없습니다.
해독불가능한 암호화라는게 그다지 어려운 기술도 아니고, MD5처럼 널리 알려진 무료 Hashing 알고리즘만 적용해도 충분히 안전한 것으로 알고 있습니다. 몇년 전에 중국 수학자가 MD5 디코딩 성공했다고 주장하기도 했는데, 아직까지 MD5가 쓰이는 것을 보면 사실이 아니었나봅니다. (컴즈가 MD5 를 쓴다는 말은 아닙니다. 저도 접근할 권한이 없어서 뭘쓰는지는 몰라요)

유출경로: 보안이 미비한 사이트

그럼, 대체 어디서 다른 사람의 아이디와 비밀번호를 얻어오는 것일까요? 보안 담당부서에 물어보면 좀더 확실하겠지만, 제 추측으로는 두 가지 경우가 아닐까 싶습니다.

우선은, MD5 Hashing 정도의 간단한 노력조차 들이지 않는 보안의식이 제로의 사이트들입니다. 비밀번호를 암호화놓지 않은 사이트들 의외로 많습니다. 이런 보안수준으로 해킹에 대한 대비가 제대로 되어있을리도 만무합니다. 비밀번호 분실해서 문의하면 새로운 비밀번호를 생성하지 않고 기존 비밀번호를 가르쳐주는 사이트라면 100% 지요. 암호화가 되어있더라도 해독이 가능한 암호화이기 때문에, 내부관계자가 계정목록을 유출시키는 경우엔 해독 가능한 알고리즘까지 첨부할테니, 암호화되어있지 않는 것과 마찬가지입니다. 만일 이런데서 아이디/비밀번호 목록을 얻어서, 네이트에 로그인하면 어떻게 될까요? 꽤나 많은 사람들이 항상 같은 비밀번호를 사용한다는 점을 감안하면 우울하죠?

유출경로: 공용 PC, 무선 공유기

또한, 학교전산실이나 PC방등, 공용 PC가 아닐까 합니다. keylogger나 기타 바이러스들은 대부분 V3 등에 잡히겠지만, 끊임없이 신종 바이러스들이 나타날테니 100% 안전하다고 말할 수는 없습니다. 바이러스가 깔려있는 공용PC에서 입력한 비밀번호가 어딘가에 쌓여있을 수도 있다니, 무시무시하군요.

게다가 요즘 많이 사용하는 무선 공유기들은 정말 위험합니다. 보통은 무선공유기 관리자 비밀번호를 공장 출하값 그대로 사용하기 때문에, 악의를 가진 해커가 몰래 연결하여 네트워크 세팅을 바꾸면, 인터넷 사용 내용을 몰래 엿볼 수도 있습니다. 예전에 TV에서 봤는데 아파트 단지 같은데서 노트북 켜면 이런 무선AP가 여러 개 잡히더군요.

비밀번호 유출을 막는 길

해결책은 흔히들 알고 있는 상식 그대로입니다.

1. 비밀번호를 사이트마다 다르게 사용하는 것입니다. 저는 정보의 중요도 순으로 4가지 정도로 분류해서(금전관련사이트/중요한정보가담긴 사이트/보안이 확실한 사이트/나머지) 각각 그룹별로 비밀번호를 다르게 합니다. 그러면 '나머지' 사이트들이 해킹당하더라도 다른 그룹의 사이트들은 안전하겠죠.
2. 전산실이나 PC방등, 공용 PC환경에서는 중요한 사이트에 접속하지 않는 것입니다.
3. 비밀번호를 자주 바꿔주는 것입니다.