넥슨 해킹 2차 피해?…"암호화 수준이 열쇠" (지디넷 2011.11.29)
넥슨 해킹 2차 피해?…”암호화 수준이 열쇠”
1천320만명에 달하는 넥슨 메이플스토리 이용자들의 개인정보 유출로 2차 피해 여부에 관심이 집중되고 있다. 이번 유출된 정보는 이용자들의 성명, ID, 주민번호, 비밀번호 등이다. 이에 대해 넥슨 측은 비밀번호나 주민등록번호와 같은 민감한 정보는 암호화 돼 있어 쉽게 도용되지는 않을 것이라는 입장이다.
그러나 넥슨 게임 이용자들은 개인정보 도용이나 스팸피해와 같은 2차 피해 발생에 대해 마음을 놓을 수 있는 상황은 아니다. 넥슨 측 주장대로 암호화가 제대로 적용됐다면 안심할 수도 있지만 아직 어떤 방식으로 암호화돼 있는지 밝혀진 바가 없기 때문이다.
일단 넥슨은 암호화 방식과 관련해 언급을 회피하고 있다. 넥슨 관계자는 “수사가 진행 중이고, 암호화 관련 내용을 밝힐 경우 다른 피해가 발생할 우려가 있어 조심스럽다”고 설명했다.
■2차 피해 가능성 낮지만…관리자 PC 노렸다면 ‘변수’
결국 개인정보 유출로 인한 2차 피해 여부는 ‘암호화 키 값’에 달려있다는 것이 업계 의견이다.
사상초유의 개인정보 유출사태로 기록되고 있는 SK커뮤니케이션즈(이하 SK컴즈) 사태 당시에도 일파만파 퍼져나가는 2차 피해 확산여부는 암호화 키 값에 달려있다고 알려졌었다. 당시 SK컴즈 측도 비밀번호가 암호화돼 있어 안전하다는 입장을 고수했다.
암호화 수준이 낮을 경우 2차 피해가 파생될 수 있다는 보안업계의 의견도 있다. 그러나 일반적인 데이터베이스(DB) 암호화 솔루션 대부분이 암호화 알고리즘 키 값을 간단하게 풀기는 어렵다는 것이 지배적 의견이다. 암호화 키 값을 알아내기 위해서는 천문학적인 시간을 쏟아부어야만 풀 수 있다는 것이다.
그러나 해당 악성코드가 모니터링 기능을 통해 관리자 PC를 관찰하고 있었다면 사태는 새국면을 맞이할 것으로 보인다. 악성코드에 감염된 PC사용자가 암호화 키 값의 접근 권한을 가지고 있다면 모니터링을 통해 해커가 이를 쉽게 탈취할 수 있기 때문이다.
이충우 펜타시큐리티 사업기획부 이사는 “주로 비밀번호는 md5를 사용하고, 주민등록번호의 경우는 AES 128을 주로 사용한다”면서 “그러나 md5는 값은 모아놓은 표가 있기 때문에 낮은 수준에 알고리즘을 썼다면 쉽게 풀 수 있는 것은 물론 주민등록번호의 경우도 키 길이를 짧은 것으로 암호화했다면 상대적으로 빠른 시간 내 풀릴 수 있는 가능성이 있다”고 설명했다.
그러나 그는 “일반적으로 검증된 암호화 알고리즘을 사용해 키 길이가 긴 것을 이용했다면 암호화를 푸는 것이 기술적으로 쉽지는 않을 것”이라고 덧붙였다.
■비번 변경해야…넥슨, 2차피해 원천차단하겠다
현재 넥슨은 혹시 발생할지 모를 피해 예방을 위해서 메이플스토리 이용자들에게 비밀번호를 변경해 줄 것을 당부하고 있다. 뿐만 아니라 28일 긴급 기자회견을 통해 향후 보안강화 대책을 위해 적극 나서겠다는 방침을 밝혔다.
서민 넥슨 대표는 2차 피해 우려에 대해 “아직까지 파악된 실제 피해사례는 없다”면서 “언제든지 발생할 수 있는 피해확산을 막기 위해 모든 인력과 장비를 동원해 2차 피해 가능성을 원천차단하기 위해 노력하겠다”고 말했다.
한편, 보안업계 일각에서는 넥슨이 데이터베이스 암호화를 자체 개발했다면 2차 피해 가능성이 높아질 수 있다고 지적했다. 상용 솔루션 구입이 아닌 자체 개발의 경우 오픈소스 알고리즘을 사용해 그 키 값에 접근하기가 상대적으로 용이하다. 이 때문에 현재 진행 중인 수사결과에 귀추가 주목되고 있다.
기사 전문 보기 – 지디넷