애초에 쓸데 없는 개인정보를 저장하고 있는것 자체가 문제라는건 손가락 아프게 말하지 않아도 이미 다 하는 얘기고...
이 사건 자체가 열받지 않는건 아니지만 더 열받게 하는건 언론(SBS)의 무책임한 보도.
네이트에서 암호를 쉽게 풀 수 있는 암호화 방식(알고리즘)을 사용해 저장했다는 내용의 보도인데...
암호라는 것은 그 속성상 담겨있는 정보를 확인할 수 있어야 하기 때문에 원문과 암호문이 1:1로 매칭되어야 한다. 암호로 메시지를 전달할 경우는 그 암호를 다시 풀어 메시지 내용을 확인해야 하기 때문에 양방향(암호화-encoding, 복호화-decoding) 암호화 알고리즘을 사용하지만, 패스워드의 경우는 복호화 알고리즘이 존재하지 않는 단방향 암호화 알고리즘을 사용해도 된다. 처음 A라는 암호를 입력받아 암호화 한 A*를 저장해 두면 다음에 확인할 때는 입력된 암호를 암호화 한 것이 A*와 같은지만 비교하면 된다.
decoding 알고리즘이 존재하는 경우라면 그 알고리즘만 알면 일반적으로 A*에서 A를 알아내는데 길어야 초단위의 시간이 필요하다.(패스워드의 길이가 일반적으로 길어야 20자 남짓하다는 것을 고려할 때)
하지만 decoding 알고리즘이 존재하지 않는다면 A*에서 A를 직접 알아내는 것이 불가능하다. 유일한 방법은 가능한 모든 조합을 다 암호화 해서 A*과 비교해 같은 것을 찾는 것이다.
이는 여행가방에 흔히 쓰이는 3자리 숫자 자물쇠 푸는 법과 같다. 000부터 999까지 1000개의 숫자를 다 입력해 보면 암호가 무엇인지 알 수 있는 것이다.
실제로 네이트에서 어떤 암호화 알고리즘을 사용했는지 알 수 없으나 SBS에서는 이같이 모든 암호를 다 넣어보는 방식으로 암호를 해독하며, 네이트에서 제대로 암호화 하지 않았다는 메시지를 전달했다.
물론 네이트에서 보안에 소홀했던건 사실이지만 SBS에서 수행한 실험만 가지고 네이트의 암호화가 취약했다고 할 수는 없다.
다만 그 "암호화된 패스워드"가 네이트 서버에만 머물러 있었다면 이 같은 방식으로 비밀번호를 알아내는 것이 불가능했을 것이다. 일반적으로 로그인 시스템을 만들 때 짧은 시간 내에 여러번 틀린 비밀번호로 로그인을 시도하면 해킹으로 간주하도록 제작하기 때문이다. 하지만 "암호화된 패스워드"를 그냥 가지고 있다면 SBS 뉴스에서와 같이 시간만 들이면 쉽게 패스워드를 알아낼 수 있다.
SBS 뉴스에서 단 하나 유용했던 정보는 비밀번호를 충분히 길게, 영문자와 숫자를 포함해서 만들어야 한다는 것 뿐.
간단히 계산해 볼 때
숫자만으로 6자리 패스워드를 만들었다면, 0.1억번의 시도가 필요하다.
영어 소문자만으로 6자리 패스워드를 만들었다면 약 3억번의 시도가 필요하다.
영어 소문자와 숫자를 섞어 6자리 패스워드를 만들었다면 약 20억번의 시도가 필요하다.
숫자만으로 8자리 패스워드를 만들었다면, 1억번의 시도가 필요하다.
영어 소문자만으로 8자리 패스워드를 만들었다면 약 2000억번의 시도가 필요하다.
영어 소문자와 숫자를 섞어 8자리 패스워드를 만들었다면 약 2.8조번의 시도가 필요하다.
영어 소문자, 대문자, 숫자를 섞어 8자리 패스워드를 만들었다면 약 200조번의 시도가 필요하다.
영어 소문자, 대문자, 숫자, 특수문자 10종류 중에 골라서 8자리 패스워드를 만들었다면 약 700조번의 시도가 필요하다.
간단히 말해서... 패스워드를 충분히 복잡하게 만들었다면 "암호화된 패스워드"가 유출되었다고 해도 "확률적으로" 패스워드를 알아내는데 상당한 시간이 걸릴것이고 포기할 가능성이 높다.
언론은 그 어떤 이유에 앞서 사실을 전해야 하고, 특히 범죄급의 사고를 쳤다고 해도 사실과 다른 내용으로 비난하거나, 대중의 비난을 받도록 유도해서는 안된다.
어떤 이유로 SBS에서 이런 보도를 했는지는 모르겠지만 언론의 역할을 하지 못했다 할 수 있다.
그리고 주제와는 좀 동떨어진 얘기지만 우리나라에 제대로 된 언론이 있긴 한건지 모르겠다.
Posted by 알비
