비밀번호나 주민등록번호 알아내는게 그렇게 쉬운가요?
2011.07.30 17:59
그 어떠한 암호도
무작위로 대입하다보면 결국 비밀번호가 나오는 것은 알고 있는데...
그게 진짜로 맞는지 확인하려면 결국엔 로그인 해봐야 하는 것 아닌가요
로그인 시도가 엄청 날텐데 그것마저 감지할 수 없는건가요?
외쿸사이트에서는 로그인 할 때마다 잘 안보이는 이미지에 글자를 섞어넣어서 같이 넣으라고 하던데..
댓글 [15]
-
MMORPGbaram 2011.07.30 18:32
-
ESP 2011.07.30 18:33
이번의 사건은 각각의 사용자를 직접 로그인 시도 등을 통해 털어낸 사건이 아닙니다.
SK컴즈의 회원정보 DB가 있는 서버가 직접 털린 사건이라 로그인 같은 것과는 상관이 없습니다...
저도 로그인 기록은 확인해보았지만 아무것도 없었습니다...
-
토토마스 2011.07.30 18:39 예...저도 대충 무슨 사건인지는 아는데...제 말의 주요 내용은
암호화된 비밀번호와 주민등록번호가 암호형식이 어떻게 됐든간에 해커 입장에서 무작위 대입방식으로 진짜 비밀번호를 알아냈다고 검증할려면 실제로 로그인 해봐야 하는 것 아닌가 싶어서요.
그리고 무작위 대입인 만큼 그 만큼의 시도횟수가 남아있지 않을까하는 궁금증하고, 외국사이트의 흔한 이미지패스워드형식으로도 무작위 대입방식을 충분히 늦출 수 있지 않을까 하는 것이었습니다.
-
링크 2011.07.30 20:13
보니깐 MD5 암호화하던거같던데 이거 풀린다고 하더라구요 .. 시간문제지 ..
-
Goer 2011.07.30 21:26
숫자 12자리 이하
영문 소문자 10자리 이하
영문 소문자 + 숫자 8자리 이하
등등
위에 해당되는 암호들은 쉽게 풀수 있다더군요.
과거에는 언제가 풀리겠지였는데...
그 암호체계를 정리해서 저장해놓은 자료가 약 2테라 정도면 받을수 있다더라고요.
그거 받아놓고 암호풀면 순식간이랍니다.
파코즈에 올라온 내용 읽어보세요
-
초월신 2011.07.30 21:46 무작위 대입법이란게 로그인을 계속 해본다는게 아닙니다.
실제 서버에서 사용하는 암호화 알고리즘과 동일한 알고리즘을 사용해서
크래커(보통 해커라고 잘못 부르죠...)가 직접 암호화를 해서 비교해 보면 되는거죠.
MD5나 SHA1, CRC32 같은건 널리알려진 해쉬 알고리즘이기 때문에,
크래커도 그 알고리즘을 사용해서 비교작업 하면 됩니다.
(대부분의 해쉬나 암호화 알고리즘은 역연산이 불가능 하기 때문에, '해독' 작업이 아니죠.)
예를들면, 어떤 사용자가 1234567 이라는 암호를 쓰고, 서버에선 MD5 알고리즘을 쓴다고 가정한다면,
크래커가 훔쳐간 DB에는 MD5로 해쉬화 된 fcea920f7412b5da7be0cf42b8c93759 이라는 값이 들어있을겁니다.
그러면 크래커는 패스워드로 쓰일만한 문자열 목록을 직접 만들어서 (0123, 12345, a1235 ,1234567, .....)
그 문자열로 MD5 해쉬값을 생성합니다.
그 해쉬값을 가지고 훔쳐온 DB와 대조해서 같은걸 찾는겁니다.
아마 자주쓰이는 패스워드 문자열을 미리 해쉬화 시켜놓은 데이터도 있을겁니다.
(그 바닥에선 사전이라고 부르죠 아마...)
우리가 실제로 로그인 할때도 서버에서 똑같은 짓을 합니다.
DB에 저장된 암호화된 문자열을 다시 원래대로 복원시켜서 비교하는게 아니라,
우리가 입력한 패스워드를 다시 암호화 해서 DB에 저장된 암호화된 문자열과 비교하는거죠.
만약, 표준 알고리즘이 아니라 서버에서 자체적으로 만들어서 사용하는 알고리즘이 있다고 치고,
그걸 모르면 해쉬값 비교고 뭐고 할 수 없는 상황이라고 가정하더라도,
크래커가 서버의 DB를 훔쳐 올수 있을 정도면, 서버에서 쓰는 OS의 패키지도 몽땅 가져올 수도 있다고 봐야죠.
-
jskang 2011.07.30 23:12
젠장....
네이트 겨우 MD5로 암호화해놨다더군요...
13자리 MD5 돌리면 내주민 나오는건가...
진짜 그 데이터베이스 나한테 있으면 나라도 주민 뽑아낼수 있겠다
-
세분 2011.07.30 23:36 고수분들이 맘만 먹으면 뭘 못할까요... 정말 무서운 세상...
-
페블 2011.07.30 23:42 -
메리아 2011.07.31 00:09
저도 껴들어서 설명해보죠.
암호가 1234일때 나오는 암호화된 코드가 ABC789라는 6자리 코드라면,
단방향 암호화방식에 의해서 결코 ABC789에서 1234를 유추해낼 수는 없습니다.
그럼 로그인할때 비번인증은 어떻게 하냐구요?
'암호화 되는 코드'만 비교하면 되는거죠. 1234를 넣으면 똑같이 암호화코드가 ABC789라고 나오게됩니다.
이게 똑같은가 비교하는거죠.
그런데, 이 '암호화 방식'자체가 널리 알려져 있는 방식이기 때문에,
'암호화된 코드'만 얻는다면 누구라도 대입해볼 수 있는겁니다.
(저도 제 서버에 암호가 잘못되어 찾느라고 좀 해봤죠.)
0에서 9까지, 10에서 99까지 100에서 999까지 1000에서 9999....
이런식으로 프로그램만 무한대로 돌리면 '1234'라는 간단한 암호의 경우에는 순식간에 ABC789라는 암호화 코드가 툭 튀어나오는겁니다.
그래서 비번을 최대한 길고 복잡하게 하라고 권고하는겁니다. 이런 무한대입법이 현재 가장 많이 쓰이는 방식이거든요.
원칙적으로 이 코드가 저장된 파일은 최고권한을 가진 root계정만 복사 및 열람가능하게 되어있지만,
우회방법은 여러가지 있죠. 결국 그러다 '유출'이라는 결과를 낳고 맙니다.
그러므로 root계정 관리 제대로 안하는 사이트는 끔찍한 결과를 언제든지 초래할 수 있습니다.
항상 조심할 수 밖에요.
-
토토마스 2011.07.31 07:04 많은 의견 감사합니다. 좋은 의견 잘 받았습니다!
-
인생무상 2011.07.31 07:40 암호화 공부를 해봐야 겟네요...
-
미니100 2011.07.31 08:39
암호화 복호화 공부헀는데
아무 쓸데없는짓입니다
실제 전혀 필요 없는 것만 가르쳐주는 학교 ;;
-
스폰지s 2011.07.31 10:46 우리나라 개인정보 알아내려면 한가지만 있으면 됩니다.
'돈'이요.
-
메리아 2011.07.31 12:20
아참,
'단방향 암호화'라는게 무슨 방식인지 어떤 원리인지 이해가 안가시는 분들을 위해서 조금 더 주절거려 보겠습니다.
흔히 숫자 퀴즈 장난하는거 생각하시면 됩니다.
예를들어 1234라는 수에서 6이 나옵니다. 어떻게 나올까요?
1x2x3x4=24
2+4=6
또 예를들어 12345라는 수에서 3이 나옵니다.
1x2x3x4x5=120
1+2+0=3
이런식으로 '모든 자리 수를 곱하고, 나온 모든자리수를 한자리가 나올때까지 더한다'라는 함수가 있다고 하면,
결과값은 무조건 한자리 숫자가 나오겠죠.
그런데 과연 이 6에서 1234를, 이 3에서 12345를 도로 역산할 수 있을까요?
사실상 원래의 숫자에서 '데이터를 버렸기' 때문에 결코 역산을 할수가 없습니다.
이것을 '단방향 암호화' 혹은 '역함수가 없는 함수'라고 부르는거죠.
현재 대부분의 암호화들의 기본적인 원리가 이런식이죠.
비밀번호 암호화로 쓰이는 대부분의 방식은 반드시 '길이'를 정해놓습니다.
만약 길이를 16바이트로 정해놨다면(MD5를 비롯한 128비트 암호화),
정해진 연산을 수행하면, 1자리 암호도 수천,수만,수억자리 암호도 반드시 16바이트만 결과가 나오게 됩니다.
위의 예처럼 '데이터를 버리는' 연산을 수행하기 때문이죠.
서버에 저장해둘 비밀번호 암호코드인데 '데이터를 버려도' 괜찮을까 싶기도 하고,
데이터를 버린다면 다른 비밀번호를 넣었는데 우연히 내 비밀번호의 암호코드와 똑같은거 나오지 않을까 싶겠지만,
16바이트라면 128비트 암호화이고 2^128이라는 어마어마한 가짓수가 나오므로,
'로그인 비밀번호'정도라면 중복이 나올 가능성은 거의 없다고 봐도 무방하죠.
로또 1등 확률이 814만분의 1인데, 이의 2제곱수 근사치가 2^23정도입니다. 우연히 똑같을 확률은 없는거나 마찬가지죠.
('다른' 비번이 똑같은 코드일 확률을 말하는겁니다. '똑같은 비번'이라면 당연히 암호화 코드도 똑같고요. 다만 비밀번호 목적일 경우 그런 문제 회피를 위해 Salt값이라는 기법을 이용해서 '똑같은 비번도 다른 값이 나오는' 기법이 있고, 대부분 MD5를 그대로 이용하지 않고, Salt 암호화기법을 이용해서 암호화합니다. 다만 이 Salt값을 알아야 사용자가 로그인할때 계산해서 인증할 수 있으니, 이 값이 암호화코드에 표시되기 때문에, 컴퓨터 성능이 올라가면 해결될 문제죠.)
문제는 사람의 생각수준(?)으로는 우연한 중복이 있을 가능성이 없지만,
컴퓨터로 연산하면 그 '중복'을 찾아낼수도 있다는 점입니다.
이 '암호화 코드'만 확보하면 윗쪽 댓글에서 언급한 무한대입법으로 언젠가는 매치가 되는 '중복' 혹은 '원 비밀번호 자체'를 찾아낼 수도 있다는 겁니다.
과거에는 몇백년, 몇천년이 걸릴만한 작업이라며 안전하다고들 했지만,
날이 갈수록 발전하는 컴퓨터 성능과 기술에 의해, 결국 위험한 사정권에 들고야 말았습니다.
특히 위에 나온 파코즈 링크 https://www.parkoz.com/zboard/view.php?id=my_tips&no=14629 에 따르면,
2테라바이트 용량의 '코드북'이 있는데, 이것과 일치하는 원래 암호를 순식간에 찾아준다고 합니다.
이게 어떤거냐면, 위에서 예를 든 1234 - 6 , 12345 -3 라는 흔한 정보를 미리 저장해뒀다가,
암호화코드를 습득하면 6이랑 똑같은지, 3이랑 똑같은지 검사해서 '6과 똑같다'는 결과가 나오면 '이 암호화 코드의 원 암호는 1234입니다'라는 식으로 암호를 알아내는 방식입니다.(물론 암호화 코드가 1자리라고 쳤을때)
이런게 무지막지하게 많을테니 그 용량이 무려 2테라바이트나 된다는 겁니다.
과거에는 불가능에 가까운 것이었지만, 요즘 컴퓨터 사양으로는 충분히 감당할만한 수준이 되어버린거죠.
다만, 이 코드가 유출되지만 않는다면, 로그인 시도 제한이 대부분 있기에 비번 유출가능성은 거의 없어지죠.
결국 일차적으로는 이 '암호화 코드'를 지켜내는가 하는 것이 관건이고,
이것을 못 지켜냈다면, 암호화 방식과 비트수가 얼마나 높은가 하는 것이 관건입니다.
최근까지는 MD5 128비트 방식이 대다수였지만, 이번에 3초만에, 30분만에 깼다던 암호화가 바로 MD5이고 예전부터 계속 위험성이 제기되어서, 최근 몇년간은 SHA 160비트나 256비트로 높이고 있는 곳도 많습니다.
하지만 이건 결국 컴성능이 올라가면 언젠가는 깨질수밖에 없는 해법입니다.
절대무적의 해법이 있을수야 없겠지만, 서버에서 유출되지 않게 관리를 잘해주는 수밖에는 도리가 없습니다.
또한 애초에 유출되더라도, 별 필요가 없을정도로 개인정보를 최소화하는 것도 중요한거죠.
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] | gooddew | - | - |
10417 | 윈도우 8의 말 인식 기능 [4] |
|
2241 | 08-11 |
10416 | 윈도우7 64비트는 순정이 최고라던데.... [7] | SOW3 | 3045 | 08-11 |
10415 | 반기문 사무총장 방송기자클럽 초청 토론회 관련 독도발언... [1] |
|
1794 | 08-11 |
10414 | 언제부터인지 지역감정이 너무 판을 치네요. [14] | 김윈도 | 1975 | 08-11 |
10413 | 강호동 1박2일 하차 [8] | 시간초과 | 2205 | 08-11 |
10412 | Sunny [1] |
|
1887 | 08-11 |
10411 | 슴앗폰맹인데요.. [10] | 루시엘 | 2047 | 08-11 |
10410 | "노태우가 YS 돈 줄 때 녹음한 테이프 있다" [1] |
|
2250 | 08-11 |
10409 | 대한민국 IT 독재자 - 5. 스스로 신뢰를 떨어뜨리는 네이버 [9] |
|
1705 | 08-10 |
10408 | 대한민국 IT 독재자 - 4. 검색을 오염시키는 3가지 방법 |
|
1643 | 08-10 |
10407 | 국가대표 축구 보는 낙으로 사는데..ㅠㅠ [6] | 제이아이 | 2081 | 08-10 |
10406 | 벌레가 있나요? 없나요? [2] |
|
1602 | 08-10 |
10405 | 결국 예상하던 일이.....=.=;; [3] |
|
1830 | 08-10 |
10404 | 원숭이 새끼들... [2] |
|
1709 | 08-10 |
10403 | 아! 대한민국 축구... [3] | mac21 | 1600 | 08-10 |
10402 | 자막 종결 甲 [8] |
|
1958 | 08-10 |
10401 | 무엇을 달라고 할 때... [3] |
|
1724 | 08-10 |
10400 | 노턴 안티 바이러스 [14] |
|
2231 | 08-10 |
10399 | 자막 종결자.... [8] |
|
2203 | 08-10 |
10398 | 외장케이스 문제였나봐요 ㅡㅡ; [1] | 냉면도사 | 1514 | 08-10 |
짱깨들이 이미 우리들의 신상정보를 다 털어가서
주민번호를 알아내고 뭐고 할것 없이 이미 다 배포되고 있습니다... ㅠ;